[GTER] Sobre Logs de Identificação de Usuários em CGNAT

Fernando Frediani fhfrediani at gmail.com
Thu Jan 17 15:21:18 -02 2019 

Prezados colegas

Volto a este assunto pois chegou ao meu conhecimento que vários ISPs 
sobre orientação de outras pessoas e até mesmo de Profissionais da área 
do Direito tem recomendado aos provedores que implementam CGNAT para que 
guardem os registros apenas dos grupo de usuários que está vinculado à 
um IP Público e quando receber a solicitação de um juiz entregar a 
relação daquele grupo de usuários, seja ele 32, 64, etc.

Infelizmente esta orientação esta duplamente errada. Peço aos 
interessados que leiam com atenção como também procurem outras fontes de 
informação **jurídica e técnica** para se embasarem e evitar que a 
empresa que você é responsável seja advertida ou até mesmo multada por 
não estar cumprindo corretamente o que Lei determina.

Como é um assunto que tenho acompanhado bem de perto, inclusive tomando 
ciência de decisões judiciais baseadas no Marco Civil tenho podido 
observar em muitas delas que o entendimento que tem se consolidado é de 
que uma das essências da Lei é a Identificação do Usuário 
(individualmente) e não de um "grupo de usuários".
Quando o provedor fornece uma lista de usuários à autoridade legal 
solicitante acreditando estar cumprindo sua obrigação e colaborando para 
a resolução de um ilícito na verdade não está, pois fica muito difícil, 
senão impossível utilizar aquela informação como prova de que era aquele 
usuário especificamente que cometeu o ato.

Além disso quando o provedor envia informações de outros usuários que 
nada tinham a ver com aquela demanda está violando a privacidade de 
pessoas que não são investigadas e nada devem. Podem com isso estar 
violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a 
sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se 
complicar ainda mais.

O argumento usado por aqueles que defendem ser correto informar apenas o 
grupo de usuários atrás de um IP Público é que isso "se deve à uma 
limitação técnica imposta pela escassez de endereços IPv4" o que nós 
sabemos que não é verdade.
A necessidade de utilização do CGNAT é sim uma imposição decorrente de 
uma limitação de endereços IPv4, porém a possibilidade de identificação 
**individual** do usuário não é.

Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT 
é plenamente possível identificar individualmente o usuário a qualquer 
momento desde que o CGNAT e a guarda de logs sejam configurados da 
maneira correta.

Não se deixem levar pelo caminho mais fácil e confortável que dá uma 
falsa sensação de cumprimento da exigências. Na hora que o situação 
complicar e aparecer um juiz ou um promotor público que não concordam 
com isso (e reitero que este não é o entendimento majoritário) não vai 
adiantar explicar que seguiu a recomendação de fulano porque parecia 
muito crível.

Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou 
os que estão seguindo esta orientação equivocada a adequarem seus 
sistemas para passarem a fazer da maneira correta.

Fernando Frediani

More information about the gter mailing list