No dia 21 de maio, o governo federal publicou o Decreto 12.975/2026, que estabeleceu novas regras para as plataformas digitais que operam no Brasil. Os debates acerca do decreto se concentraram principalmente em questões como moderação de conteúdo, obrigatoriedade de representação legal no país e novas exigências de transparência no ambiente digital.
Em meio a essas discussões, uma das alterações com potencial de impactar a operação das plataformas digitais acabou recebendo menos atenção do que deveria. O decreto trouxe expressamente no artigo 15-A que o dever de guarda dos registros de IP pelos provedores de conexão e pelos provedores de aplicações de internet deve abranger também a porta lógica de origem do usuário.
Na prática, a medida busca ampliar a capacidade de identificação de usuários em investigações no ambiente digital e consolidar o que pode ser exigido das plataformas quando uma ordem judicial determina o fornecimento dos registros de conexão e de acesso às autoridades.
No entanto, a adequação das plataformas a essa obrigação não é simples ou sem custos. Há uma série de questões que devem ser levadas em consideração pelos reguladores e pelo Judiciário para que a aplicação do decreto seja feita de forma responsável e equilibrada.
Para fins de contextualização, é preciso entender por que o endereço IP tem deixado de ser suficiente para identificar indivíduos na internet. Durante anos, o IP funcionou como o principal elemento de identificação de usuários, mas começou a perder sua eficiência com o esgotamento dos endereços IPv4 e a adoção do CGNAT (Carrier Grade Network Address Translation), tecnologia que permite que diferentes usuários compartilhem um mesmo IP público.
Na prática, isso significa que dezenas de dispositivos podem estar vinculados a um mesmo endereço IP. Dependendo da arquitetura da rede utilizada pelo provedor, um único IP pode ser compartilhado por moradores de um prédio inteiro ou até mesmo de uma região.
Do ponto de vista operacional, o CGNAT resolveu um grande problema. As limitações decorrentes do esgotamento dos endereços IPv4 passaram a ser contornadas por meio do compartilhamento do mesmo IP entre diferentes usuários. Por outro lado, em situações nas quais autoridades públicas precisam identificar de qual dispositivo partiu determinada atividade ilícita, o endereço IP sozinho tem deixado de ser suficiente, já que muitos usuários podem aparecer vinculados ao mesmo IP, dificultando a individualização apenas com base nessa informação.
É nesse contexto que a porta lógica ganha relevância. Em redes operadas sob CGNAT, cada conexão recebe também um número de porta associado àquela sessão específica. A combinação entre IP e porta lógica permite determinar com maior precisão a partir de qual dispositivo foi praticada a atividade que se quer investigar.
O Superior Tribunal de Justiça (STJ) já havia destacado a importância da guarda da porta lógica por provedores de conexão e de aplicação enquanto o Brasil não migrasse completamente para o IPv6.Desse modo, o Decreto 12.975/2026 positivou um entendimento que já vinha sendo construído pela jurisprudência do STJ.
O decreto também deixa claro o caráter ex ante dessa obrigação. De acordo com a norma, a porta lógica não deve ser armazenada apenas após a decisão judicial, mas deve ser mantida previamente nos registros do provedor. A lógica é a mesma dos registros de conexão que já devem ser guardados: a informação precisa estar disponível.
No entanto, a adequação das plataformas a essa obrigação está longe de ser simples, rápida de implementar ou de baixo custo. Há uma série de questões importantes que precisam ser levadas em consideração na aplicação da regra.
Em primeiro lugar, a obrigação de guarda da porta lógica implica aumento no volume de dados armazenados, o que inevitavelmente amplia as discussões sobre privacidade. A combinação entre endereço IP e porta lógica permite a identificação de uma grande quantidade de usuários e, consequentemente, amplia os riscos associados à retenção dessas informações. Quanto maior o volume de dados armazenados pelas plataformas, maior é o dano que pode ser gerado em caso de vazamento.
Quanto ao ponto, a Lei Geral de Proteção de Dados (LGPD) impõe limites claros ao estabelecer que as atividades de tratamento de dados devem observar o princípio da necessidade. Ou seja, a coleta de dados deve se restringir ao mínimo necessário para atingir suas finalidades, abrangendo apenas informações pertinentes, proporcionais e não excessivas.
Ainda nesse contexto, o próprio STJ já reconheceu que o provedor de conexão pode identificar o usuário com base apenas no endereço de IP e no período aproximado do fato, não sendo necessária a indicação prévia da porta lógica pelo provedor de aplicação para que o provedor de conexão disponibilize os demais dados de identificação do usuário.
Isso indica que, na prática, a ausência da porta lógica nem sempre impede a identificação do usuário, o que reforça a necessidade de avaliar com cuidado qual deve ser a extensão e o alcance da obrigação. É relevante notar que o próprio Decreto 12.975/2026 estabelece que o dever de guarda abrangerá a porta lógica de origem “sempre que necessário para a identificação inequívoca do terminal de origem ou do próximo enlace de rede”.
Além disso, como visto, as adaptações necessárias para a guarda da porta lógica pelas plataformas não são simples ou baratas. Para que isso possa ocorrer, é necessário que haja uma expansão na infraestrutura e um fortalecimento dos mecanismos de segurança da informação. Para as grandes plataformas, os custos são sentidos, mas o impacto é internalizado com menos dificuldade.
Por outro lado, para empresas menores, realizar e arcar com todas as alterações necessárias na infraestrutura pode representar um custo significativo e colocar em risco a capacidade da empresa de competir com agentes maiores, especialmente levando em consideração o tempo que o decreto estabeleceu para a implementação dessas medidas.
Esse ponto merece atenção porque o ambiente digital brasileiro é composto por empresas de tamanhos e com capacidades econômicas muito diferentes. Exigir o mesmo nível de adequação às novas regras no mesmo período de grandes plataformas e de provedores menores pode agravar assimetrias concorrenciais que já são bem conhecidas no setor.
Por isso, é importante que a aplicação do decreto leve em conta essas diferenças. Isso passa, por exemplo, pela possibilidade de calibrar as exigências de guarda conforme o porte da empresa, pela previsão de prazos diferenciados para adequação ou por adotar mecanismos graduais de implementação.
Sem esse tipo de cuidado, há o risco de que uma medida pensada para ampliar a eficiência nas investigações acabe, na prática, causando uma série de efeitos negativos sobre a concorrência nesse mercado, em prejuízo de empresas menores.
Sob essa perspectiva, a observância ao princípio da proporcionalidade é fundamental. De um lado, a medida busca facilitar investigações; de outro, pode impactar negativamente a privacidade dos usuários e os custos das empresas. Por isso, é preciso avaliar, em cada caso, se a exigência é adequada para atingir o objetivo pretendido, se é realmente necessária diante de alternativas menos gravosas e se, no fim, os benefícios justificam os custos e riscos que ela impõe.
Para mais, é importante destacar que o decreto preserva a necessidade de ordem judicial para acesso aos registros, nos termos do artigo 10, §1º, do Marco Civil da Internet. No entanto, existem questões relevantes que não foram tratadas e ainda estão em aberto. A norma não aprofunda, por exemplo, quais parâmetros mínimos de segurança devem ser observados pelas plataformas ou como deverão ser tratados casos envolvendo o vazamento desses dados.
Assim, o Decreto 12.975/2026 busca reforçar a capacidade de identificação de usuários no ambiente digital, mas traz uma série de desafios relevantes que precisam ser discutidos. Por isso, é importante que o mercado esteja atento. Ainda que se espere uma aplicação cuidadosa da regra, com atenção às diferenças entre os agentes e aos contextos envolvidos, as plataformas precisam acompanhar de perto essa agenda e estar preparadas.
No fim, o ponto central será como essa obrigação será aplicada na prática. O que se espera é um equilíbrio que preserve a finalidade da regra para fins de transparência sem impor custos excessivos ou riscos desproporcionais aos direitos dos usuários e ao funcionamento do mercado.