NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Os logs de acesso e sua guarda pelos provedores
02 MAR 2010

Os logs de acesso e sua guarda pelos provedores






Plantão News - 02/03/2010 - [ gif ]
Autor: Fabiano Rabaneda
Assunto: Internet

ReproduçãoDiante dos inúmeros ilícitos cometidos pela Internet, o principal meio eficaz para a localização do agente causador do fato é o cruzamento das informações obtidas pelo número Internet Protocol (IP), a data e hora do fato com o registro de informações de acesso (log) do provedor que ofertou a conexão.

Entretanto, a maior celeuma ocorre quando o provedor passa a não disponibilizar essas informações por não tê-las, já que, em tese, não existe nenhuma matéria que regulamente o tempo mínimo de guarda desses dados.

Sem poder relacionar as informações, o cyber-criminoso ficará impune, já que os vestígios do inter criminis restarão deletados para sempre.

Nessa seara, qual é a responsabilidade do provedor diante da omissão da guarda dos logs?

O arcabouço jurídico pátrio aloca pesos especiais para a hierarquia de leis, seguindo uma sistemática qualitativa para cada diploma. A Constituição Federal é a mãe de todas as Leis, e por isso tem peso decisório quando colocada em contraponto à leis de hierarquia inferior, denominadas normas infraconstitucionais.

Nessa regra, o artigo 5º inciso II assegura que “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”.

Estariam os provedores isentos da responsabilidade, por não haver na lei determinação especificando a guarda das informações de log de acesso?

São inúmeras as tendências para que o Brasil legisle sobre o tempo de guarda: 1) O projeto de Lei CD-PL-84/99, com substitutivo do Senado (Projeto Eduardo Azeredo) prevê, no artigo 22, que os provedores guardem, pelo prazo de três anos, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial; 2) A Convenção de Budapeste, assinada por treze países, não o Brasil, cujo conteúdo versa sobre os crimes transnacionais estipula o prazo mínimo de guarda por noventa dias.

Cabe dizer que essas tendências não estão insculpidas no ordenamento jurídico vigente, portanto, não é norma cogente, sem força de vigência e coerção.

A doutrina tem relacionado a omissão dos provedores à responsabilidade objetiva inserida do Código de Defesa do Consumidor, alocando espaço indenizatório, reconhecendo-o como co-responsável pela conduta ilícita.

Entretanto, há de afirmarmos que a responsabilidade objetiva do fornecedor de serviços não é plena e sua relatividade está condicionada ao artigo 14 parágrafo terceiro do Código de Defesa do Consumidor, quando o provedor de serviços não responderá quando provar a culpa de terceiro, que no caso é o causador do ilícito.

Não só, devido às peculiaridades do ambiente informático é muito fácil comprovar que a guarda dessas informações geraria um custo excessivo para o provedor de acesso, inviabilizando a operação.

O Comitê Gestor da Internet no Brasil (cg.org.br) recomenda os provedores à manter, pelo período de três anos, os dados de conexão e comunicação realizados por seus equipamentos.

Recomendação não é lei, e por isso trata-se de discricionalidade do provedor cumprir, ou não.

Visando estabelecer técnicas para segurança, como código de prática para a gestão da Tecnologia da Informação, Associação Brasileira de Normas Técnicas – ABNT, publicou em 30/08/05 a norma ISO/IEC/ABNT/NBR 17799, dispondo no item 10.10.3 (Proteção das informações dos registros “Log”) que os registros de auditoria podem ser guardados como parte da política de retenção de registros ou devido aos requisitos para a coleta e retenção de evidências.

A política de coleta e retenção de evidências tem espaço no item 13.2.3 da norma citada, e dispõe que “nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s)”.

Arremata o item, “quando um evento de segurança da informação é detectado, pode não ser óbvio que ele resultará num possível processo jurídico. Entretanto, existe o perigo de que a evidência seja destruída intencional ou acidentalmente antes que seja percebida a seriedade do incidente. É conveniente envolver um advogado ou a polícia tão logo seja constatada a possibilidade de processo jurídico e obter consultoria sobre as evidências necessárias”.

A eficácia da norma ISO/IEC/ABNT/NBR 17799 tem guarida quando interpretada sob os olhos do Código de Defesa do Consumidor, que veda ao fornecedor de serviços (art. 39, inciso VIII) “colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro)”.

A norma não estipula o prazo máximo da guarda das informações, cabendo ao provedor se responsabilizar-se pela política de retenção.

Nessa ótica, o provedor poderá ser responsabilizado pela omissão da guarda das informações de log, já que a norma atribui ao administrador do sistema essa tarefa.

A responsabilidade por eventual dano se estende ao usuário, que deverá manter seus sistemas atualizados, com firewall ativo, inclusive evitando de acessar sites desconhecidos, abrir mensagens eletrônicas de desconhecidos ou com anexos executáveis.

Disso tudo, deverá informar o provedor sobre qualquer atividade suspeita, de preferência por escrito, para que seja iniciado o monitoramento e guarda do log. Não esperar o tempo esvair-se é fundamental para o sucesso do rastreamento.

Exaurido essas etapas, consumado o ilícito, deverá o lesado buscar o acalento da Justiça, de modo a restabelecer os pilares do conviver e ser indenizado pelos seus danos. Um advogado especialista é recomendável para melhor conduzir o feito, especialmente no que tange à produção antecipada de provas.

No deserto legislativo do Direito Eletrônico, a sociedade aguarda com muita expectativa pelas normas que estão nas discussões. Regras claras que colocarão ordem na casa.

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso