Créditos: Conjur
O Marco Civil da Internet estabelece que subsidiárias brasileiras de grupos de tecnologia respondem de forma solidária por ordens de fornecimento de dados. A obrigação se mantém mesmo se a conta e o armazenamento ocorrerem em servidores estrangeiros da matriz.
Com base nesse entendimento, o juiz Marcio Luigi Teixeira Pinto, da 38ª Vara Cível do Foro Central Cível de São Paulo, condenou a filial brasileira de uma plataforma de tecnologia a fornecer registros para identificar os autores de uma fraude cibernética contra uma empresa administradora de programas de fidelidade.
A empresa identificou acessos indevidos em seu sistema interno. Terceiros desconhecidos fizeram transações fraudulentas para acúmulo e resgate de pontos que atingiram a marca de um milhão, o equivalente a R$ 10 mil. A companhia contratou uma investigação forense digital, que rastreou os endereços de protocolo de internet (IPs) e indicou quais empresas detinham as informações necessárias para a individualização dos infratores.
Diante da fraude, a empresa ajuizou ação pedindo que quatro provedores entregassem os registros. Três deles cumpriram a ordem liminar, mas uma delas apresentou contestação argumentando ser parte ilegítima, pelo fato de atuar como entidade autônoma.
Segundo a subsidiária, os dados estariam em contas estrangeiras da plataforma e a identificação era tecnicamente impossível devido ao uso de um IP compartilhado.
Ao analisar o caso, o magistrado afastou a tese de ilegitimidade. Ele aplicou a Teoria da Aparência para destacar que grandes empresas transnacionais respondem solidariamente em solo nacional.
“Pela Teoria da Aparência, as subsidiárias brasileiras de grandes conglomerados de tecnologia possuem legitimidade para responder por ordens de fornecimento de dados, ainda que o armazenamento físico ou a gestão da conta ocorra em servidores estrangeiros”, avaliou o juiz.
O julgador ressaltou que a legislação pátria estabelece a responsabilidade conjunta pelas obrigações de coleta e tratamento de dados feitos pelas coligadas fora do país.
“Nesse sentido, o Marco Civil da Internet (Lei nº 12.965/2014, art. 11, § 2º) estabelece que a empresa brasileira responde solidariamente pelas obrigações de coleta e tratamento de dados realizados por suas coligadas no exterior”, destacou o magistrado.
Sobre a alegação de impossibilidade técnica pelo uso de IP compartilhado (tecnologia multi-tenant), o juiz explicou que a dificuldade operacional do serviço não afasta o dever legal da empresa de cruzar metadados para tentar identificar o infrator.
“Tal justificativa técnica não exime o provedor do dever de guarda e de empregar os melhores esforços para a identificação. Se a tecnologia utilizada dificulta a rastreabilidade, o ônus da complexidade não pode ser transferido à vítima do ilícito”, determinou.
Com isso, a corte confirmou o dever da empresa de fornecer as informações solicitadas em até 15 dias, sob pena de multa diária, e a condenou ao pagamento proporcional dos honorários de sucumbência pela resistência infundada ao longo do processo.
A empresa autora foi representada pela advogada Sarah Nascente, do escritório STG Advogados. Segundo a profissional, “a tendência é de aumento na exigência por transparência e capacidade técnica de resposta. As empresas precisarão estar estruturadas para atender rapidamente às ordens judiciais, sem comprometer a segurança e a proteção dos dados dos usuários”.
Clique aqui para ler a sentença
Processo 4033384-03.2025.8.26.0100