[GTER] Sobre Logs de Identificação de Usuários em CGNAT

[Fernando Frediani]

Um adendo à primeira mensagem

Sobre, essa questão de "registros de conexão" obrigar ou não o registro 
das portas, isso tem sido uma argumentação de alguns operadores do 
direito que ignoram a questão da essência da Lei e bastante confortável 
para quem não quer fazer o serviço completo de logar também as portas de 
origem.
A Lei não especifica a forma e nem deve fazer isso e ter tamanha 
especificidade ou engessamento, mas o judiciário a quem cabe interpretar 
tem esclarecido isso. Felizmente existem decisões que vão no sentido 
contrário a isso e reafirmam a necessidade de guarda também da porta de 
origem.

Reproduzo abaixo dois despachos um do TJ/SP e outro do TJ/AM discorrendo 
à respeito deste assunto. Peço desculpas pelo juridiquês que obviamente 
não é de minha autoria.

TJ/SP - "/Para que se concretize a guarda dos registros de acesso a 
aplicações de internet determinada pelo caput do artigo 15 da lei 
12.965/14, possibilitando que o provedor de conexão identifique o 
usuário final dos serviços de internet, faz-se necessário o registro não 
somente dos elementos trazidos no artigo 5º, inciso VIII (endereço IP e 
da data e hora de utilização), mas também a identificação da porta 
lógica de origem. Marco Civil da Internet que, dada sua natureza 
intimamente ligada à tecnologia da informação, não pode ser interpretado 
de forma restritiva, sob pena de inviabilizar a identificação de um 
usuário que está fazendo uso de um determinado IP compartilhado 
inteligência do artigo 6º da lei 12.965/14. Decisão mantida./"

TJ/AM - "/1. Ao  exigir  a  identificação  das  "portas lógicas de 
origem" o juízo a quo não excedeu os limites do pedido, mas apenas 
adotou providência necessária  à  obtenção  do resultado  prático 
perseguido pela demandante .//.. //3. As  "portas  lógicas  de  origem"  
integram  os "registros de   acesso"   cujo   dever   de 
guarda/exposição é consagrado pelo artigo 22 do Marco  Civil  da  
Internet  (Lei  n. 12.965/14). Interpretação contextualizada e voltada 
ao fim social  da  norma,  em  atenção  ao  artigo  5º  da LINDB //...//
//Por  derradeiro,  consoante  o  sobredito  relatório elaborado  pela  
ANATEL,  agência  regulamentadora  com  amplo e profundo conhecimento 
técnico sobre a matéria, há sim condições técnicas para a identificação 
e consequente fornecimento destes dados./"

Fernando Frediani

On 17/01/2019 16:58, Rubens Marins Schner wrote:
> O marco civil determina que seja feito guarda dos registros de conexão, mas
> não especifica a forma.
> *"Na provisão de conexão à internet, cabe ao administrador de sistema
> autônomo respectivo o dever de manter os registros de conexão, sob sigilo,
> em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos
> do regulamento."*
>
> Então se eu guardo os registros de conexão, pelo período de 1 (um) ano como
> esta no regulamento, mas para consultar a informação no registros de
> conexão, é necessário Endereço de IP de origem, porta lógica de origem
> juntamente com a data e hora, estou cumprindo o que manda a legislação, mas
> a autoridade que requisita informações esta me fornecendo dados
> insuficientes para que a pesquisa seja feita de modo satisfatório.
> Seria o mesmo que eles terem a foto de um veiculo de um criminoso, mas não
> tem a placa, só sabe o modelo do carro e a cor do mesmo.
>
> Isso quer dizer que se a autoridade mandar um requisito de informação, mas
> de forma "incompleta", não será possível individualizar, exemplo:
> - Quero identificar quem usou o IP XXX.YYY.ZZZ.AAA no dia 01/01/2019.
> Como não foi informado data/hora assim como fuso horário, mesmo com IPV4
> sobrando, possivelmente dezenas de pessoas poderiam ter usado esse IP no
> mesmo dia.
> Mesmo que forneça a hora e minuto, se não especifica o segundo, é
> possível que duas pessoas usavam o IP no mesmo minuto.
> Se não especificar o Fuso Horário, o requisito está incompleto, por que
> existem estados que não seguem o fuso horário de Brasilia ou que não tem
> horário de verão, além do fato que a base de logs que eles estão utilizando
> pode ser em UTC.
>
> Em vários casos de GCNAT, seria necessário a autoridade informar o
> enderenço IP de origem em conjunto porta lógica de origem, assim mesmo que
> a autoridade informa a data e hora detalhada, os dados são incompletos para
> quem utiliza CGNAT para fornecer uma informação individualizada, em alguns
> provedores é necessário que a autoridade que requisite as informações
> forneça:
>
> - Endereço IP de Origem
> - Data e Hora com fuso horário
> - Porta de Origem
>
> Outro ponto, sobre enviar dados de usuário que não tinham nada a ver com
> aquela demanda, eu não sei quem tem ligações com a demanda ou não. Uma
> autoridade, requisitou saber quem usou endereço IP em determinado momento,
> eu mando os dados que eu tenho. A quantidade de pessoas afetadas vai
> depender do buraco da peneira, se foi requisitado um dia inteiro,
> possivelmente  milhares de pessoas usaram o mesmo IP no mesmo dia, se foi
> fornecido a hora, esse número cai para centenas e por ae vai,isso não tem
> relação com GCNAT.
>
> Se o pedido da autoridade caiu sobre dezenas de pessoas, eu cumpro a lei
> mandando os dados de dezenas de pessoas.
>
> Rubens Marins
> Administrador de Sistemas
> rubens.marins at gmail dot com
>
>
> On Thu, Jan 17, 2019 at 2:22 PM Fernando Frediani<fhfrediani at gmail.com>
> wrote:
>
>> Prezados colegas
>>
>> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs
>> sobre orientação de outras pessoas e até mesmo de Profissionais da área
>> do Direito tem recomendado aos provedores que implementam CGNAT para que
>> guardem os registros apenas dos grupo de usuários que está vinculado à
>> um IP Público e quando receber a solicitação de um juiz entregar a
>> relação daquele grupo de usuários, seja ele 32, 64, etc.
>>
>> Infelizmente esta orientação esta duplamente errada. Peço aos
>> interessados que leiam com atenção como também procurem outras fontes de
>> informação **jurídica e técnica** para se embasarem e evitar que a
>> empresa que você é responsável seja advertida ou até mesmo multada por
>> não estar cumprindo corretamente o que Lei determina.
>>
>> Como é um assunto que tenho acompanhado bem de perto, inclusive tomando
>> ciência de decisões judiciais baseadas no Marco Civil tenho podido
>> observar em muitas delas que o entendimento que tem se consolidado é de
>> que uma das essências da Lei é a Identificação do Usuário
>> (individualmente) e não de um "grupo de usuários".
>> Quando o provedor fornece uma lista de usuários à autoridade legal
>> solicitante acreditando estar cumprindo sua obrigação e colaborando para
>> a resolução de um ilícito na verdade não está, pois fica muito difícil,
>> senão impossível utilizar aquela informação como prova de que era aquele
>> usuário especificamente que cometeu o ato.
>>
>> Além disso quando o provedor envia informações de outros usuários que
>> nada tinham a ver com aquela demanda está violando a privacidade de
>> pessoas que não são investigadas e nada devem. Podem com isso estar
>> violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a
>> sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se
>> complicar ainda mais.
>>
>> O argumento usado por aqueles que defendem ser correto informar apenas o
>> grupo de usuários atrás de um IP Público é que isso "se deve à uma
>> limitação técnica imposta pela escassez de endereços IPv4" o que nós
>> sabemos que não é verdade.
>> A necessidade de utilização do CGNAT é sim uma imposição decorrente de
>> uma limitação de endereços IPv4, porém a possibilidade de identificação
>> **individual** do usuário não é.
>>
>> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT
>> é plenamente possível identificar individualmente o usuário a qualquer
>> momento desde que o CGNAT e a guarda de logs sejam configurados da
>> maneira correta.
>>
>> Não se deixem levar pelo caminho mais fácil e confortável que dá uma
>> falsa sensação de cumprimento da exigências. Na hora que o situação
>> complicar e aparecer um juiz ou um promotor público que não concordam
>> com isso (e reitero que este não é o entendimento majoritário) não vai
>> adiantar explicar que seguiu a recomendação de fulano porque parecia
>> muito crível.
>>
>> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou
>> os que estão seguindo esta orientação equivocada a adequarem seus
>> sistemas para passarem a fazer da maneira correta.
>>
>> Fernando Frediani
>>
>> --
>> gter listhttps://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter listhttps://eng.registro.br/mailman/listinfo/gter