Introdução
No contexto atual, em que a internet tornou-se canal imprescindível para comunicação, comércio e expressão individual, a responsabilização por atos ilícitos praticados em ambiente digital coloca em xeque tanto princípios de privacidade quanto a efetividade das investigações. Em 28 de maio de 2025, a Terceira Turma do Superior Tribunal de Justiça (STJ) consolidou, no julgamento do REsp 2.170.872, o entendimento de que os provedores de conexão devem identificar internautas acusados de ato ilícito apenas pelo número de IP e por um intervalo aproximado de tempo — usualmente dez minutos — sem a necessidade de prévia indicação ou fornecimento de dados da porta lógica utilizada.
Este artigo oferece uma análise aprofundada sobre a fundamentação jurídica desse posicionamento, sua evolução jurisprudencial, os desafios técnicos apontados por especialistas, as implicações práticas para provedores e as lacunas identificadas no âmbito acadêmico e internacional. Busca-se, com isso, fornecer um panorama crítico e integrado das principais questões suscitadas por essa importante decisão.
1. O Marco Civil da Internet e as Obrigações de Retenção de Dados
Instituído pela Lei 12.965/2014, o Marco Civil da Internet (MCI) estabeleceu regramentos específicos para a guarda e disponibilização de registros de conexão e de acesso. Destacam-se, em especial:
- Art. 10, §1º: autoriza a requisição judicial de registros de conexão mediante indicação do endereço IP e de um período aproximado, sem a necessidade de especificar o minuto exato ou a porta lógica.
- Art. 13: impõe aos provedores de conexão a retenção de dados de data, hora de início e término, duração e endereço IP por, no mínimo, um ano.
- Art. 15: obriga provedores de aplicação a conservar registros de data, hora, aplicação utilizada e IP por pelo menos seis meses.
O Decreto 8.771/2016 detalha procedimentos técnicos e de segurança para cumprimento dessas obrigações, reforçando a importância de sistemas de logging robustos e auditáveis.
2. Evolução Jurisprudencial do STJ
2.1 REsp 1.784.156 (03/12/2019)
Nesse precedente, a Terceira Turma entendeu que provedores de aplicação devem fornecer IP e porta lógica (no caso de IPv4) como elementos indissociáveis de identificação. Diante de dúvidas sobre a viabilidade técnica, o mérito foi remetido à instância de origem para verificar as condições operacionais de cumprimento.
2.2 REsp 2.170.872 (21/03/2025 e 28/05/2025)
Em março de 2025, o STJ modulou o art. 10, §1º do MCI, definindo que basta ao juiz indicar o IP e um intervalo aproximado — por exemplo, dez minutos — para obrigar provedores de conexão a apresentar os registros. Em 28 de maio, sob relatoria da ministra Nancy Andrighi, foi reafirmado que não há necessidade de requisição judicial específica quanto à porta lógica: este dado integra naturalmente os registros de conexão dos provedores e sua extração cabe à própria operadora.
2.3 Precedente Paulista
A 31ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo realçou a importância de adaptação dos bancos de dados de provedores para incluir o campo “porta lógica de origem”, visando atender pedidos judiciais pautados em IP e intervalo de tempo, mesmo sem requisição expressa da porta.
3. Fundamentação Jurídica e Técnica do Entendimento do STJ
A decisão do STJ fundamenta-se em dois eixos principais:
- Princípio da simplicidade procedimental: o art. 10, §1º do MCI objetiva evitar formalismos excessivos, exigindo apenas IP e período aproximado para acesso a registros.
- Presunção de capacidade tecnológica: ao afirmar que a porta lógica “integra os próprios registros de conexão”, a ministra Nancy Andrighi consolidou o entendimento de que os provedores dispõem de sistemas de logging capazes de extrair, filtrar e fornecer tais dados sem necessidade de solicitação judicial específica.
Essa abordagem busca equilibrar a necessidade de informações para investigação e a agilidade processual, transferindo ao provedor o ônus de operacionalizar tecnicamente a extração de dados pertinentes.
4. Desafios Técnicos e Implicações Práticas
Apesar de juridicamente consistente, o posicionamento do STJ enfrentou críticas relevantes:
- Ambientes NAT e isolamento de usuários: em redes que utilizam Network Address Translation, múltiplos usuários compartilham o mesmo IP público, fazendo da porta lógica o único elemento distintivo. Sem sua identificação prévia, a separação de registros de um usuário específico torna-se, na visão de alguns especialistas (ConJur, 28/05/2025), tecnicamente inviável e potencialmente lesiva à privacidade de terceiros.
- Desenvolvimento de mecanismos de filtragem: a decisão impõe aos provedores a criação de processos operacionais que extraiam apenas o dado requisitado, preservando demais informações de outros usuários. Isso demanda:
- Reengenharia de sistemas de logging para indexação de registros por porta lógica.
- Protocolos de segurança que restrinjam o acesso ao escopo exato da ordem judicial.
- Treinamento de equipes técnicas e jurídicas internas.
Até o momento, não se verificou na literatura ou na imprensa especializada descrição de casos concretos de provedores brasileiros que tenham implantado tais soluções, apontando lacuna prática no setor.
5. Comparação com Precedentes Internacionais e Lacunas Acadêmicas
Não foram identificadas, entre 2024 e 2025, decisões de tribunais nos Estados Unidos ou na União Europeia que abordem a exigência de dados de porta lógica em ordens judiciais para identificação de usuários de internet. Essa ausência ressalta a singularidade brasileira e a falta de um debate comparado com regimes de proteção de dados, como o GDPR, que privilegia o princípio da minimização e da necessidade de fundamentação clara para tratamento de metadados.
No âmbito acadêmico nacional, não se encontraram artigos favoráveis ao REsp 2.170.872 nem estudos de caso sobre a adaptação de provedores de conexão, evidenciando um vácuo doutrinário que merece ser preenchido com pesquisas empíricas e análises críticas.
6. Considerações Finais e Perspectivas
A consolidação do entendimento de que basta IP e período aproximado para identificação de internautas por provedores de conexão, sem exigência expressa da porta lógica, representa avanço no sentido de simplificar procedimentos e conferir maior agilidade às investigações. Contudo, para que esse modelo seja efetivo sem comprometer a privacidade de usuários inocentes, faz-se necessário:
- Investimentos em tecnologia de logging e filtragem avançada.
- Normatização técnica complementar, preferencialmente em nível infralegal, para orientar provedores sobre as melhores práticas de extração de dados.
- Estudos e auditorias independentes que avaliem a real capacidade das operadoras de cumprir a determinação sem exposição indevida de registros.
Ademais, recomenda-se o estímulo a pesquisas comparativas com experiências internacionais e o fomento ao debate acadêmico sobre implicações de confidencialidade, segurança e responsabilidade civil dos provedores. Só assim será possível consolidar um ambiente jurídico-tecnológico equilibrado, capaz de conciliar direitos fundamentais e efetividade na persecução de ilícitos online.
Tabela 1 – Principais Julgados do STJ sobre IP e Porta Lógica
| Data | Processo/Câmara | Tema | Resultado |
|---|---|---|---|
| 03/12/2019 | REsp 1.784.156 (STJ, 3ª Turma) | Indissociabilidade de IP e porta lógica | Reconheceu obrigação, remeteu à origem para análise de viabilidade técnica |
| 21/03/2025 | REsp 2.170.872 (STJ, 3ª Turma) | Modulação do art. 10, §1º do MCI | Estabeleceu que IP e período aproximado bastam para requisição de registros |
| 28/05/2025 | REsp 2.170.872 (STJ, 3ª Turma) | Obrigação de identificação sem requerer porta lógica | Confirmou dever de provedores de conexão em fornecer IP e intervalo de 10 minutos sem prévia solicitação de porta lógica |
