Recentemente, o Superior Tribunal de Justiça (STJ), no REsp 2.170.872, estabeleceu novo padrão para a responsabilização por conteúdo digital. Agora, para identificar o usuário acusado de ilícito, como a prática de difamação, basta o número IP e o período de uso do serviço, mesmo que breve (como dez minutos). Isso significa que não é mais preciso que provedores de aplicação (como serviço de e-mail ou redes sociais) informem a porta lógica ou o minuto exato do fato. Apenas o IP e o intervalo de tempo são suficientes.
A decisão pode ser um alívio para as vítimas e um avanço na busca por responsabilização online, reforçando que privacidade e liberdade de expressão não podem significar impunidade. O caso que originou a decisão envolveu uma empresa que buscava identificar, junto ao serviço de internet (provedor de conexão), o responsável por e-mails difamatórios enviados a clientes e colaboradores.
O provedor de conexão alegava que não conseguiria individualizar o usuário sem a porta lógica informada pelo provedor de aplicação (e-mail) e o horário exato do ocorrido. Argumentava que um IP e um período de dez minutos poderiam resultar em centenas de conexões, dificultando a identificação e expondo outros usuários.
Contudo, o STJ reiterou que os próprios provedores de conexão devem guardar a porta lógica e que a precisão do minuto exato não é exigida pelo Marco Civil da Internet. Com o IP, a porta lógica e o intervalo de tempo, o provedor tem as condições técnicas para identificar o usuário, sem comprometer a privacidade de terceiros.
A porta lógica, junto com o IP, é crucial para individualizar o usuário. Imagine o IP como o endereço de um prédio; a porta lógica seria o apartamento. Ambos são essenciais para que os dados cheguem ao destinatário correto. Exigir que os provedores de conexão mantenham esses “números de apartamento” garante que o rastro digital do usuário possa ser perseguido.
A decisão pode ser um divisor de águas na prática jurídica. Ela oferece mais segurança para ações de identificação, desburocratizando processos que antes eram complexos e ineficazes. Vítimas de difamação e outros ilícitos terão um caminho menos custoso para buscar a responsabilização do agressor e a reparação de danos.
Já para os provedores de conexão, a decisão exigirá a adequação de sistemas e políticas de retenção de dados, garantindo que as informações para identificação de usuários estejam disponíveis quando solicitadas. É um chamado à governança de dados e conformidade legal.
Por fim, também é necessário esclarecer que o STJ não flexibilizou a proteção de dados pessoais indiscriminadamente. O acesso a essas informações continua condicionado a uma decisão judicial fundamentada. Em tempos de fake news, equilibrar liberdade de expressão, proteção da privacidade e combate a práticas ilícitas é um desafio constante.
Gabriel Fortes, especialista em Direito Digital e Compliance, Head de Proteção de Dados do Escritório Fortes Nasar Advogados e Marianna Cardim, estagiária do Núcleo de Proteção de Dados do Escritório Fortes Nasar Advogados
