O Superior Tribunal de Justiça (STJ) reafirmou, no julgamento do Recurso Especial nº 2.170.872/SP, que o provedor de conexão à internet deve identificar o usuário de seus serviços com base apenas no número do IP e em um intervalo de tempo razoável, mesmo sem a prévia indicação da porta lógica de origem ou do minuto exato do suposto ilícito digital.

A controvérsia teve origem em ação movida pela Companhia Brasileira de Offshore (CBO), que buscava identificar o autor de mensagem difamatória enviada por e-mail a partir de endereço eletrônico vinculado a uma embarcação corporativa.

Com base no número de IP utilizado e no intervalo entre 16h20 e 16h30 de 09/02/2023, a autora obteve sentença favorável para compelir a operadora Telefônica Brasil S.A. ao fornecimento dos dados cadastrais do responsável.

No recurso especial, a operadora alegou a impossibilidade técnica de individualização do usuário sem a informação da porta lógica, argumentando que, no intervalo de dez minutos, foram identificadas 588 conexões distintas com o mesmo IP, o que poderia comprometer a precisão da identificação e a privacidade de terceiros.

Provedor de conexão deve guardar porta lógica, decide STJ
A relatora, ministra Nancy Andrighi, negou provimento ao recurso. Segundo ela, a jurisprudência do STJ é pacífica no sentido de que tanto os provedores de conexão quanto os de aplicação estão obrigados, nos termos do Marco Civil da Internet (Lei nº 12.965/2014), a armazenar e fornecer a porta lógica de origem como desdobramento necessário para a identificação do usuário.

“A recorrente deve ter condições tecnológicas de identificar o usuário, pois está obrigada a guardar e disponibilizar os dados de conexão, incluindo o IP e, portanto, a porta lógica”, afirmou a relatora no voto, destacando que a informação é parte integrante dos registros de conexão previstos no artigo 5º, VI, da lei.

Intervalo de tempo é suficiente para cumprimento da ordem judicial
A decisão também afastou a alegação de que a ausência do minuto exato da prática do ilícito impediria o cumprimento da ordem judicial. De acordo com o artigo 10, §1º, do Marco Civil da Internet, não há exigência legal quanto à especificidade temporal absoluta, desde que haja elementos razoáveis para a individualização da conexão.

Nesse sentido, o STJ entendeu que o intervalo de dez minutos indicado na petição inicial foi suficiente, cabendo ao provedor de conexão localizar a porta lógica correspondente e fornecer os dados apenas do usuário vinculado àquela conexão, preservando a privacidade dos demais.

Marco Civil da Internet: responsabilidades bem definidas
A decisão da Terceira Turma consolida o entendimento de que há uma distribuição de responsabilidades entre os provedores de conexão e de aplicação. Os primeiros, como operadoras de telefonia e internet, devem guardar os registros de conexão (IP, horário de início e término e porta lógica); já os segundos, como plataformas e serviços digitais, respondem pelos registros de acesso às aplicações (como login, ações realizadas e conteúdo acessado).

A distinção, embora técnica, é essencial para assegurar a efetividade das medidas judiciais voltadas à responsabilização civil ou criminal por atos ilícitos cometidos no ambiente digital, especialmente diante do uso compartilhado de IPs em redes NAT (Network Address Translation).
REsp 2170872