Decreto 12.975/2026: guarda da porta lógica e os desafios de implementação

O Decreto 12.975/2026, publicado em 21 de maio pelo governo federal, expandiu as obrigações de retenção de dados impostas aos provedores de conexão e provedores de aplicações de internet ao explicitar a necessidade de preservação da porta lógica de origem dos usuários, uma medida que aprofunda a capacidade estatal de investigação digital mas suscita tensões normativas relevantes com a proteção de dados pessoais.

Contexto

O debate regulatório em torno das plataformas digitais concentrou-se historicamente em aspectos como moderação de conteúdo, obrigatoriedade de representação legal domiciliar e transparência operacional. Todavia, o aprimoramento dos mecanismos de identificação de usuários representa um eixo menos visível porém estruturante para a aplicação da lei penal e processual penal na rede.

O problema técnico que fundamenta essa mudança reside na obsolescência crescente do endereço IP como elemento único de identificação. O esgotamento dos endereços IPv4 e a adoção massiva de CGNAT (Carrier Grade Network Address Translation) tornaram comum o compartilhamento de um único IP público entre múltiplos dispositivos e usuários, tanto em contextos residenciais quanto regionais. Investigações baseadas somente no IP passaram a retornar múltiplos suspeitos simultaneamente, comprometendo a individualização necessária para a tutela jurisdicional eficaz.

O Superior Tribunal de Justiça já havia reconhecido essa insuficiência em sua jurisprudência, recomendando aos provedores a guarda da porta lógica como complemento investigativo transitório enquanto a migração para IPv6 não se completasse. O Decreto 12.975/2026 transformou essa orientação jurisprudencial em obrigação positiva expressa.

O que foi decidido

O artigo 15-A do Decreto 12.975/2026 determinou que o dever de guarda dos registros de IP pelos provedores abrange também a porta lógica de origem do usuário. A norma estabelece caráter prospectivo à obrigação, isto é, a porta lógica não deve ser armazenada apenas quando uma ordem judicial for proferida, mas deve estar previamente disponibilizada nos registros do provedor, à semelhança dos dados de conexão já exigidos pelo Marco Civil da Internet.

A combinação entre endereço IP e porta lógica permite determinar com maior precisão qual dispositivo específico originou determinada conexão em ambientes CGNAT, resolvendo o problema de multiplicidade identificatória que impede investigações eficazes. O decreto reconheceu que essa precisão adicional é essencial para investigações penais e civis que dependam de rastreabilidade digital.

Todavia, o próprio texto normativo incorporou limitação material: a obrigação de guarda da porta lógica aplica-se "sempre que necessário para a identificação inequívoca do terminal de origem ou do próximo enlace de rede", estabelecendo margem discricionária para provedores e juízes quanto à extensão concreta da exigência.

Base normativa e precedentes

• Marco Civil da Internet (Lei 12.965/2014) — já impunha retenção de registros de IP e dados de conexão; o decreto aprofunda esse regime ao incluir porta lógica
• LGPD (Lei 13.709/2018), art. 6.º, princípio da necessidade — exige que coleta de dados se restrinja ao mínimo necessário; a ampliação de volume de retenção testa esse limite
• Decreto 12.975/2026, art. 15-A — positivação da obrigação de guarda da porta lógica com cláusula de proporcionalidade implícita ("sempre que necessário")
• Jurisprudência do STJ — consolidou entendimento de que a porta lógica complementa o IP em cenários CGNAT, reconhecendo sua relevância investigativa transitória durante transição para IPv6
• CPC/2015 — a efetivação de medidas de investigação digital depende de dados precisos e armazenados previamente

Impacto prático

Para provedores de conexão e plataformas: A obrigação implica aumento significativo no volume de dados armazenados, com reflexos em infraestrutura, capacidade de armazenamento em nuvem ou servidores, e custos operacionais de manutenção, backup e conformidade. As plataformas deverão implementar sistemas de indexação que permitam associar IP e porta lógica a períodos específicos, compatibilizando essa retenção com prazos legais de guarda (Lei 12.965/2014 estabelece período mínimo de 6 meses a 1 ano, conforme regulamentação posterior).

Para autoridades investigativas: A medida amplia precisão na identificação de suspeitos em crimes digitais, fraudes, disseminação de calúnias e violações do Marco Civil, reduzindo a quantidade de falsos positivos que comprometem investigações.

Para indivíduos e usuários: Expande potencial de vigilância estatal e privada, com risco aumentado de vazamentos de dados combinados (IP + porta = fingerprint maior), e maior superfície para ataques de hackers contra repositórios de provedores.

O que observar

Tensão com a LGPD: A expansão de retenção de identificadores pessoais entra em franco conflito com o princípio da necessidade. Reguladores (ANPD) e Judiciário (STJ, STF) precisarão avaliar se a obrigação é proporcional ou excessiva, especialmente considerando que o próprio STJ já reconheceu que a ausência de porta lógica nem sempre impede a identificação via IP + período aproximado.

Cláusula de proporcionalidade aberta: A expressão "sempre que necessário" não define com clareza quando a guarda se aplica, abrindo espaço para litígios quanto ao cumprimento. Regulamentação infralegal (possivelmente via ANPD ou AGU) será essencial para conferir segurança jurídica.

Compatibilidade técnica: Nem todas as arquiteturas de rede permitem capturar e associar porta lógica com facilidade em tempo real. Provedores menores podem enfrentar dificuldades despropor­cionais, criando pressão regulatória desigual.

Transição para IPv6: A medida é explicitamente transitória enquanto IPv6 não migrar completamente. Sem cronograma claro para essa transição, a obrigação pode permanecer indefinidamente, aumentando custos estruturais.

Precedentes internacionais: UE e outros jurisdições buscam restringir retenção de metadados em prol de privacidade; Brasil segue caminho oposto, criando potencial divergência regulatória para plataformas globais.