A identificabilidade de acessos e o armazenamento de logs

A importância do destaque das questões de controle de acesso tecnológico nesse trabalho, remete ao fato de estabelecer que o dever de segurança da informação e de confidencialidade desdobra-se também no dever de identificabilidade digital. O responsável pelos sistemas informáticos deve manter mecanismos específicos que permitam a identificação dos usuários daquela estrutura, bem como reconhecer as ações realizadas em seu ambiente. Só é

Inclusive o decreto 1.558/2001, que regulamenta referida lei, ao tratar da regulamentação específica do art. 9º, assim dispõe: “promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que suscitenla confianza en los sistemas de información, así como en susmodalidades de provisión y utilización.” 410 HÉLIE-GHERNAOUTI, Solange. Internet et sécurité. 2ª Ed. Paris: Puf, 2002, p. 43.

possível permitir o acesso autorizado a uma informação se houver a identificação da pessoa que tenta realizá-lo.

A não identificação dos usuários em uma estrutura computacional pode permitir que o instrumento seja utilizado para fins ilícitos, frente à possibilidade de não identificação411

. Ademais, deve ser observada a vedação do anonimato assim prevista pela Constituição Federal.412

Além do mais, o fornecedor que não cumpre com o dever adequado de identificabilidade no ambiente virtual, arca com a obrigação de indenizar o consumidor em função da impossibilidade da identificação do autor de fato.413

411 Cf. DE VILLIERS, Meiring. Ibid, p. 142: “The Internet provides the technological platform and opportunity to a skilled operator to assume different identities, erase his digital footprints, and transfer incriminating evidence electronically to innocent computers, often without leaving a trace. Courts have recognized the perverse incentives and law enforcement problems created by anonymous defendants in cyberspace. ”

412 Cf. o Art. 5o, inc. IV da Constituição Federal. No mesmo sentido de estabelecer um dever de identificabilidade nas estruturas ou sistemas computacionais, temos a lei do estado de São Paulo n. 12.228/2006 que "Dispõe sobre os estabelecimentos comerciais que colocam a disposição, mediante locação, computadores e máquinas para acesso à Internet e dá outras providências.” Nela, o requisito da identificabilidade também é encontrado.

413 TRIBUNAL DE JUSTIÇA DO RIO GRANDE DO SUL. 6ª Câmara Cível. Apelação n. 70013361043. Jocelei Perdomo das Neves X Terra Networks Brasil S/A. Relator: Des. Artur Arnildo Ludwig. Porto Alegre, 21 de Dezembro de 2006. Ementa: APELAÇÃO CÍVEL. INDENIZAÇÃO POR DANO MORAL. ANÚNCIO INVERÍDICO OFENSIVO À HONRA DA AUTORA VEICULADO NO SITE DA REQUERIDA. RESPONSABILIDADE DO PROVEDOR E DO FORNECEDOR DE SERVIÇOS. APLICAÇÃO DA TEORIA DA CARGA DINÂMICA DO ÔNUS DA PROVA. VALOR DA INDENIZAÇÃO. ATENÇÃO AO CRITÉRIO PUNITIVO-PEDAGÓGICO AO OFENSOR E COMPENSATÓRIO À VÍTIMA. INAPLICABILIDADE AO CASO PELO JUÍZO A QUO DO INSTITUTO NORTE-AMERICANO DO PUNITIVE-DAMAGES. 1 – Incontroverso o fato de que o anúncio registrado no site “Almas Gêmeas” pertencente à requerida, foi efetuado por terceiro alheio ao processo. 2- Atuando a ré como provedora de acesso à Internet e não sendo possível a identificação do real responsável pelo conteúdo ofensivo do anúncio, é seu o dever de indenizar pelos danos à personalidade da autora. Aplicação da Teoria da Carga Dinâmica da Prova, ou seja, incumbe a quem tem mais condições a prova de fato pertinente ao caso. 3 - Não só como provedora de acesso em sentido amplo atuou a ré na relação em análise, como atuou também como prestadora de serviços, mesmo que gratuitamente. Evidencia-se a desmaterialização e despersonalização das relações havidas pelo uso da Internet, não sendo mais possível identificar o objeto e muito menos os sujeitos de tais relações. Assim, sendo a ré empresa que possui site na Internet de relacionamentos deve, a fim de evitar a incomensurável dimensão dos danos oriundos do mau uso de seus serviços, adotar medidas de segurança que diminuam tais riscos. 4 – Valor da Indenização que atendeu o caráter punitivo-pedagógico ao ofensor e compensatório à vítima pelo dano sofrido. Ademais, para o arbitramento do dano moral deve-se levar em conta as condições econômicas da vítima e do ofensor. Inaplicabilidade do instituto norte-americano do punitive damages. Aplicação ao caso dos critérios para aferição do quantum a indenizar em consonância com o instituto da responsabilidade civil do direito brasileiro. NEGADO PROVIMENTO AOS APELOS, COM EXPLICITAÇÃO.

O dever de identificabilidade deve ser visto, portanto, dentro dos limites do ambiente digital em questão. Ele é limitado tecnicamente às características do serviço e aos dados que são recolhidos naquela atividade. O fornecedor de serviços, por óbvio, não pode ser compelido a fornecer dados que não possui. Nos casos das redes sociais, por exemplo, são armazenados os dados da conta criada pelo usuário, além de endereço IP bem como a hora de utilização de serviços. Como, via de regra, os provedores não solicitam CPF, RG e endereço pessoal dos usuários, não podem, portanto, fornecê-los.414

Marcel Leonardi explica que o dever de possibilitar a identificação dos usuários de provedores de serviços, ocorre: “para que tais informações sejam disponibilizadas a quem de direito em caso de ato ilícito, pois nem sempre os dados cadastrais contendo os nomes, endereços e demais dados pessoais dos usuários estarão corretos ou atualizados. ”415

A lição de Leonardi é esclarecedora, porém entende-se que o dever é mais amplo e não se aplicaria apenas aos provedores de serviços, mas sim a todo aquele que dispõe de uma estrutura computacional acessada por diversas pessoas. Uma empresa que apenas mantém seu site institucional na Internet, mediante seus próprios esforços, pode não ser considerada um provedor de serviços. No entanto, caso a referida empresa mantenha um fórum de discussão em seu site, e alguém

414 Cf. TRIBUNAL DE JUSTIÇA DO RIO GRANDE DO SUL. 10ª Câmara Cível. Agravo de Instrumento n. 70028102291. Google Brasil Internet Ltda. X Sabemi Seguradora S.A e Luiz Carlos Franca Martinez. Relator: Des. Paulo Antônio Kretzmann. Porto Alegre, 19 de Março de 2009. Ementa: AGRAVO DE INSTRUMENTO. Internet. COMUNIDADE ORKUT. GOOGLE BRASIL. IDENTIFICAÇÃO DO CRIADOR DA PÁGINA. IMPOSSIBILIDADE. Considerado o fato de que o Google, como provedor de hospedagem da página na Internet, não possui os dados relativos aos nomes, endereço e outros identificadores dos hospedantes, a não ser o número do IP (Internet Protocol), e também pelo fato de que não é obrigado a armazenar dados pessoais de seus usuários, então não pode ser compelido a fornecer informações que não possui em seu banco de dados, tais como o nome, o CPF, o RG e o endereço pessoal de seu usuário. AGRAVO PROVIDO.

415 LEONARDI, Marcel. Determinação da Responsabilidade Civil pelos Ilícitos na Rede: Os Deveres dos Provedores de Serviços de Internet. In: SANTOS, Manoel J. Pereira dos; SILVA, Regina Beatriz Tavares da Silva. (coord). Responsabilidade Civil na Internet e nos Demais Meios de Comunicação. São Paulo: Saraiva, 2007, p. 74-75.

manifeste-se anonimamente nele causando dano a um terceiro, teria a empresa o dever de identificar os referidos autores.

Da mesma forma, as próprias “lan houses” (cibercafés), apesar de não figurarem como um provedor de serviços, ou provedor de acesso, por disponibilizarem uma infraestrutura de acesso, teriam o dever de identificabilidade do ambiente, “mantendo um cadastro atualizado dos usuários a fim de que estes não se favoreçam do anonimato quando da prática de ilícitos”416

No âmbito de acesso a dados de consumidores, a lei 12.414/2011 estabelece um dever geral de identificabilidade no ambiente de sistemas que envolvem os cadastros positivos, por meio do inc. IV do art. 6º417_{. Note-se que, além do} pressuposto de identificabilidade, há também o dever de armazenar os registros de consultas pelo período de seis meses. Mais adiante, no art. 9º, parágrafo 4º, da mesma lei, é estipulado o dever de manter a identificação “do equipamento ou terminal a partir do qual foi processada tal ocorrência”, referente à inscrição e atualização de dados cadastrados.

Portanto, em qualquer situação de acesso a dados pessoais de consumidores sempre deve ser mantido o registro dos acessos, visando identificar quem os efetuou.

416 Conforme julgado neste sentido que ressalta a aplicabilidade da lei 12.228/2006 naquele estado. TRIBUNAL DE JUSTIÇA DE SÃO PAULO. 8ª Câmara de Direito Privado. Apelação n. 604.346.4/7-00. Gisele Colombo de Andrade Rodrigues x Maifa Café Ltda. - EPP. Relator: Salles Rosso. São Paulo, 11 de Dezembro de 2008. Ementa: AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM PERDAS E DANOS - Mensagem eletrônica recebida pela autora de teor ofensivo à sua honra - Obrigação do estabelecimento de onde partiu o envio de manter cadastro atualizado dos usuários, a fim de que estes não se favoreçam do anonimato quando da prática de ilícitos - Aplicação da Lei Estadual n 12.228/06 que obriga os estabelecimentos que fornecem serviços de acesso à Internet de manter referido cadastro - Atividade destes estabelecimentos que pode ser considerada de risco, caso não tomem as medidas necessárias que possibilitem a identificação dos usuários (art. 927, parágrafo único, do Código Civil) - Responsabilidade civil pelos danos causados caracterizada - Cabimento do pedido alternativo para conversão em perdas e danos - Procedência mantida - Recurso desprovido.

417 Art. 6º - Ficam os gestores de bancos de dados obrigados, quando solicitados, a fornecer ao cadastrado: IV - indicação de todos os consulentes que tiveram acesso a qualquer informação sobre ele nos 6 (seis) meses anteriores à solicitação;

Quanto ao armazenamento de logs, cabe primeiro sua conceituação. Um log ou um “log de dados” é nada mais do que registro que permite identificar quem realizou determinada ação em um ambiente virtual. Basicamente eles são “provas” automaticamente produzidas pelos sistemas que registram detalhes sobre um acesso.418

A norma NBR ISO/IEC 27002, trata sobre a questão dos logs no título 10.10.1 - Registros de auditoria. Ela estabelece, nesse controle, o seguinte:

Convém que registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso.

Diretrizes para implementação:

Convém que os registros (log) de auditoria incluam, quando relevante:

a) identificação dos usuários;

b) datas, horários e detalhes de eventos-chave, como, por exemplo, horário de entrada (log-on) e saída (log-off) no sistema;

c) identidade do terminal ou, quando possível, a sua localização;

d) registros das tentativas de acesso ao sistema aceitas e rejeitadas;

e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados;

f) alterações na configuração do sistema; g) uso de privilégios;

h) uso de aplicações e utilitários do sistema;

418 Um dos deveres dos provedores de serviços, de acordo com Marcel Leonardi, é o de manter informações por tempo determinado, cf. LEONARDI, Marcel. Responsabilidade civil dos provedores de serviços de internet. São Paulo: Juarez de Oliveira, 2005, p. 84.

i) arquivos acessados e tipo de acesso; j) endereços e protocolos de rede;

k) alarmes provocados pelo sistema de controle de acesso;

l) ativação e desativação dos sistemas de proteção, tais como sistemas de antivírus e sistemas de detecção de intrusos. 419

Embora a referida norma contenha detalhes técnicos relacionados aos processos informáticos de segurança da informação, ela estabelece importantes requisitos que podem ser transpostos para o direito. Por exemplo, ao definir a importância da identificação dos usuários, o terminal usado, as datas e horários, os arquivos acessados, os endereços e protocolos de rede ela orienta o próprio dever de identificabilidade em um ambiente computacional. Ora, os responsáveis por bancos de dados contendo informações pessoais dos consumidores precisam, necessariamente, cumprir esses requisitos para, em um incidente, poderem identificar adequadamente quem realizou os acessos aos dados. A própria lei 12.414/2011, como já se viu, estabelece a necessidade de identificabilidade do ambiente e o apontamento de quem realizou as consultas.420