[GTER] Sobre Logs de Identificação de Usuários em CGNAT
Fernando Frediani
fhfrediani at gmail.com
Thu Jan 17 15:21:18 -02 2019
Prezados colegas
Volto a este assunto pois chegou ao meu conhecimento que vários ISPs
sobre orientação de outras pessoas e até mesmo de Profissionais da área
do Direito tem recomendado aos provedores que implementam CGNAT para que
guardem os registros apenas dos grupo de usuários que está vinculado à
um IP Público e quando receber a solicitação de um juiz entregar a
relação daquele grupo de usuários, seja ele 32, 64, etc.
Infelizmente esta orientação esta duplamente errada. Peço aos
interessados que leiam com atenção como também procurem outras fontes de
informação **jurídica e técnica** para se embasarem e evitar que a
empresa que você é responsável seja advertida ou até mesmo multada por
não estar cumprindo corretamente o que Lei determina.
Como é um assunto que tenho acompanhado bem de perto, inclusive tomando
ciência de decisões judiciais baseadas no Marco Civil tenho podido
observar em muitas delas que o entendimento que tem se consolidado é de
que uma das essências da Lei é a Identificação do Usuário
(individualmente) e não de um "grupo de usuários".
Quando o provedor fornece uma lista de usuários à autoridade legal
solicitante acreditando estar cumprindo sua obrigação e colaborando para
a resolução de um ilícito na verdade não está, pois fica muito difícil,
senão impossível utilizar aquela informação como prova de que era aquele
usuário especificamente que cometeu o ato.
Além disso quando o provedor envia informações de outros usuários que
nada tinham a ver com aquela demanda está violando a privacidade de
pessoas que não são investigadas e nada devem. Podem com isso estar
violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a
sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se
complicar ainda mais.
O argumento usado por aqueles que defendem ser correto informar apenas o
grupo de usuários atrás de um IP Público é que isso "se deve à uma
limitação técnica imposta pela escassez de endereços IPv4" o que nós
sabemos que não é verdade.
A necessidade de utilização do CGNAT é sim uma imposição decorrente de
uma limitação de endereços IPv4, porém a possibilidade de identificação
**individual** do usuário não é.
Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT
é plenamente possível identificar individualmente o usuário a qualquer
momento desde que o CGNAT e a guarda de logs sejam configurados da
maneira correta.
Não se deixem levar pelo caminho mais fácil e confortável que dá uma
falsa sensação de cumprimento da exigências. Na hora que o situação
complicar e aparecer um juiz ou um promotor público que não concordam
com isso (e reitero que este não é o entendimento majoritário) não vai
adiantar explicar que seguiu a recomendação de fulano porque parecia
muito crível.
Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou
os que estão seguindo esta orientação equivocada a adequarem seus
sistemas para passarem a fazer da maneira correta.
Fernando Frediani
More information about the gter
mailing list