[GTER] Sobre Logs de Identificação de Usuários em CGNAT
Fernando Frediani
fhfrediani at gmail.com
Fri Jan 18 23:54:37 -02 2019
Gabriel, tem 2 pontos a se levar em conta ai:
1 - O primeiro é o que foi comentado anteriormente. Se vier sem porta de
origem não tem muito o que fazer além de tentar explicar da forma mais
didática possível para um leigo que é materialmente possível identificar
o usuário sem essa informação. Mas não apenas isso, explicar também que
o Provedor de Acesso cumpre integralmente a obrigação dele e é
imperativo que o Provedor de Aplicação também faça para que a
identificação seja possível, pois essa é uma das confusões mais comuns
que se pode encontrar hoje em dia.
2 - Essa questão de quem pode solicitar acesso aos dados é uma questão
controversa na área do Direito. O Marco Civil diz de uma maneira
bastante clara e que não deixa dúvidas no Art. 10 e no Art. 13 que
qualquer disponibilização de registros é precedida da ordem judicial, ou
seja, do juiz apenas e não do promotor, do delegado ou de quem mais for.
Ou seja, se alguém deles que não seja o juiz vier requisitar essas
informações diretamente o que eu costumo recomendar é: explicar para a
autoridade essa questão, citar o MC, pedir a ela que faça a solicitação
ao juiz e mostrar boa vontade dizendo que se dispõe a adiantar a coleta
dos dados para tão logo receba o despacho do juiz você terá as
informações prontas para serem entregues para agilizar o processo.
Mas ... existe uma outra interpretação que de que existem outros
instrumentos legais contidos em outras leis que dão à esses outros
agentes do Estado além do juiz o direito de requisitar essas informações
sem a necessidade de solicitar ao juiz. Eu particularmente refuto essa
possibilidade pois o MC é bastante claro e específico sobre isso, então
vale como está nele. Por isso na dúvida a empresa deve fornecer essas
informações ao Advogado que faz a assessoria jurídica para a empresa e
seguir a interpretação que ele passar.
Fernando Frediani
On 18/01/2019 22:43, Gabriel Siena wrote:
> Boa noite a todos,
> Fernando, mais uma duvida, referente ao pedido dos registros de conexão por
> autoridades,
> Ja vi casos do pedido de identificação do usuario chegar ao provedor, vindo
> de autoridades municipais (delegacia de policia, promotoria)
> Todos sem porta de origem... contendo apenas o IP, solicitado com um
> simples oficio, sem um numero de processo na justiça ou algo do tipo.
> Como proceder nesses casos? Posso estar errado, mas até onde fui informado
> somente há obrigação de fornecer os dados mediante processo Judicial.
> Delegacias de Policia tem essa autonomia de solicitar o log de conexão , o
> provedor é obrigado informar nesse caso ?
>
>
>
> Em sex, 18 de jan de 2019 às 18:54, Fernando Frediani <fhfrediani at gmail.com>
> escreveu:
>
>> Um adendo à primeira mensagem
>>
>> Sobre, essa questão de "registros de conexão" obrigar ou não o registro
>> das portas, isso tem sido uma argumentação de alguns operadores do
>> direito que ignoram a questão da essência da Lei e bastante confortável
>> para quem não quer fazer o serviço completo de logar também as portas de
>> origem.
>> A Lei não especifica a forma e nem deve fazer isso e ter tamanha
>> especificidade ou engessamento, mas o judiciário a quem cabe interpretar
>> tem esclarecido isso. Felizmente existem decisões que vão no sentido
>> contrário a isso e reafirmam a necessidade de guarda também da porta de
>> origem.
>>
>> Reproduzo abaixo dois despachos um do TJ/SP e outro do TJ/AM discorrendo
>> à respeito deste assunto. Peço desculpas pelo juridiquês que obviamente
>> não é de minha autoria.
>>
>> TJ/SP - "/Para que se concretize a guarda dos registros de acesso a
>> aplicações de internet determinada pelo caput do artigo 15 da lei
>> 12.965/14, possibilitando que o provedor de conexão identifique o
>> usuário final dos serviços de internet, faz-se necessário o registro não
>> somente dos elementos trazidos no artigo 5º, inciso VIII (endereço IP e
>> da data e hora de utilização), mas também a identificação da porta
>> lógica de origem. Marco Civil da Internet que, dada sua natureza
>> intimamente ligada à tecnologia da informação, não pode ser interpretado
>> de forma restritiva, sob pena de inviabilizar a identificação de um
>> usuário que está fazendo uso de um determinado IP compartilhado
>> inteligência do artigo 6º da lei 12.965/14. Decisão mantida./"
>>
>> TJ/AM - "/1. Ao exigir a identificação das "portas lógicas de
>> origem" o juízo a quo não excedeu os limites do pedido, mas apenas
>> adotou providência necessária à obtenção do resultado prático
>> perseguido pela demandante .//.. //3. As "portas lógicas de origem"
>> integram os "registros de acesso" cujo dever de
>> guarda/exposição é consagrado pelo artigo 22 do Marco Civil da
>> Internet (Lei n. 12.965/14). Interpretação contextualizada e voltada
>> ao fim social da norma, em atenção ao artigo 5º da LINDB //...//
>> //Por derradeiro, consoante o sobredito relatório elaborado pela
>> ANATEL, agência regulamentadora com amplo e profundo conhecimento
>> técnico sobre a matéria, há sim condições técnicas para a identificação
>> e consequente fornecimento destes dados./"
>>
>> Fernando Frediani
>>
>> On 17/01/2019 16:58, Rubens Marins Schner wrote:
>>> O marco civil determina que seja feito guarda dos registros de conexão,
>> mas
>>> não especifica a forma.
>>> *"Na provisão de conexão à internet, cabe ao administrador de sistema
>>> autônomo respectivo o dever de manter os registros de conexão, sob
>> sigilo,
>>> em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos
>> termos
>>> do regulamento."*
>>>
>>> Então se eu guardo os registros de conexão, pelo período de 1 (um) ano
>> como
>>> esta no regulamento, mas para consultar a informação no registros de
>>> conexão, é necessário Endereço de IP de origem, porta lógica de origem
>>> juntamente com a data e hora, estou cumprindo o que manda a legislação,
>> mas
>>> a autoridade que requisita informações esta me fornecendo dados
>>> insuficientes para que a pesquisa seja feita de modo satisfatório.
>>> Seria o mesmo que eles terem a foto de um veiculo de um criminoso, mas
>> não
>>> tem a placa, só sabe o modelo do carro e a cor do mesmo.
>>>
>>> Isso quer dizer que se a autoridade mandar um requisito de informação,
>> mas
>>> de forma "incompleta", não será possível individualizar, exemplo:
>>> - Quero identificar quem usou o IP XXX.YYY.ZZZ.AAA no dia 01/01/2019.
>>> Como não foi informado data/hora assim como fuso horário, mesmo com IPV4
>>> sobrando, possivelmente dezenas de pessoas poderiam ter usado esse IP no
>>> mesmo dia.
>>> Mesmo que forneça a hora e minuto, se não especifica o segundo, é
>>> possível que duas pessoas usavam o IP no mesmo minuto.
>>> Se não especificar o Fuso Horário, o requisito está incompleto, por que
>>> existem estados que não seguem o fuso horário de Brasilia ou que não tem
>>> horário de verão, além do fato que a base de logs que eles estão
>> utilizando
>>> pode ser em UTC.
>>>
>>> Em vários casos de GCNAT, seria necessário a autoridade informar o
>>> enderenço IP de origem em conjunto porta lógica de origem, assim mesmo
>> que
>>> a autoridade informa a data e hora detalhada, os dados são incompletos
>> para
>>> quem utiliza CGNAT para fornecer uma informação individualizada, em
>> alguns
>>> provedores é necessário que a autoridade que requisite as informações
>>> forneça:
>>>
>>> - Endereço IP de Origem
>>> - Data e Hora com fuso horário
>>> - Porta de Origem
>>>
>>> Outro ponto, sobre enviar dados de usuário que não tinham nada a ver com
>>> aquela demanda, eu não sei quem tem ligações com a demanda ou não. Uma
>>> autoridade, requisitou saber quem usou endereço IP em determinado
>> momento,
>>> eu mando os dados que eu tenho. A quantidade de pessoas afetadas vai
>>> depender do buraco da peneira, se foi requisitado um dia inteiro,
>>> possivelmente milhares de pessoas usaram o mesmo IP no mesmo dia, se foi
>>> fornecido a hora, esse número cai para centenas e por ae vai,isso não tem
>>> relação com GCNAT.
>>>
>>> Se o pedido da autoridade caiu sobre dezenas de pessoas, eu cumpro a lei
>>> mandando os dados de dezenas de pessoas.
>>>
>>> Rubens Marins
>>> Administrador de Sistemas
>>> rubens.marins at gmail dot com
>>>
>>>
>>> On Thu, Jan 17, 2019 at 2:22 PM Fernando Frediani<fhfrediani at gmail.com>
>>> wrote:
>>>
>>>> Prezados colegas
>>>>
>>>> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs
>>>> sobre orientação de outras pessoas e até mesmo de Profissionais da área
>>>> do Direito tem recomendado aos provedores que implementam CGNAT para que
>>>> guardem os registros apenas dos grupo de usuários que está vinculado à
>>>> um IP Público e quando receber a solicitação de um juiz entregar a
>>>> relação daquele grupo de usuários, seja ele 32, 64, etc.
>>>>
>>>> Infelizmente esta orientação esta duplamente errada. Peço aos
>>>> interessados que leiam com atenção como também procurem outras fontes de
>>>> informação **jurídica e técnica** para se embasarem e evitar que a
>>>> empresa que você é responsável seja advertida ou até mesmo multada por
>>>> não estar cumprindo corretamente o que Lei determina.
>>>>
>>>> Como é um assunto que tenho acompanhado bem de perto, inclusive tomando
>>>> ciência de decisões judiciais baseadas no Marco Civil tenho podido
>>>> observar em muitas delas que o entendimento que tem se consolidado é de
>>>> que uma das essências da Lei é a Identificação do Usuário
>>>> (individualmente) e não de um "grupo de usuários".
>>>> Quando o provedor fornece uma lista de usuários à autoridade legal
>>>> solicitante acreditando estar cumprindo sua obrigação e colaborando para
>>>> a resolução de um ilícito na verdade não está, pois fica muito difícil,
>>>> senão impossível utilizar aquela informação como prova de que era aquele
>>>> usuário especificamente que cometeu o ato.
>>>>
>>>> Além disso quando o provedor envia informações de outros usuários que
>>>> nada tinham a ver com aquela demanda está violando a privacidade de
>>>> pessoas que não são investigadas e nada devem. Podem com isso estar
>>>> violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a
>>>> sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se
>>>> complicar ainda mais.
>>>>
>>>> O argumento usado por aqueles que defendem ser correto informar apenas o
>>>> grupo de usuários atrás de um IP Público é que isso "se deve à uma
>>>> limitação técnica imposta pela escassez de endereços IPv4" o que nós
>>>> sabemos que não é verdade.
>>>> A necessidade de utilização do CGNAT é sim uma imposição decorrente de
>>>> uma limitação de endereços IPv4, porém a possibilidade de identificação
>>>> **individual** do usuário não é.
>>>>
>>>> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT
>>>> é plenamente possível identificar individualmente o usuário a qualquer
>>>> momento desde que o CGNAT e a guarda de logs sejam configurados da
>>>> maneira correta.
>>>>
>>>> Não se deixem levar pelo caminho mais fácil e confortável que dá uma
>>>> falsa sensação de cumprimento da exigências. Na hora que o situação
>>>> complicar e aparecer um juiz ou um promotor público que não concordam
>>>> com isso (e reitero que este não é o entendimento majoritário) não vai
>>>> adiantar explicar que seguiu a recomendação de fulano porque parecia
>>>> muito crível.
>>>>
>>>> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou
>>>> os que estão seguindo esta orientação equivocada a adequarem seus
>>>> sistemas para passarem a fazer da maneira correta.
>>>>
>>>> Fernando Frediani
>>>>
>>>> --
>>>> gter listhttps://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter listhttps://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list