Por falta de previsão no Marco Civil da Internet (Lei 12.965/2014), a Terceira Turma do Superior Tribunal de Justiça (STJ) estabeleceu que os provedores de aplicações que oferecem serviços de e-mail – como o Google – não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas de sua conta.
No mesmo julgamento, o colegiado isentou o Google de responsabilidade pelos danos materiais sofridos por um usuário que, após ataque hacker ao seu e-mail, perdeu criptomoedas que estavam depositadas em uma conta específica. Para a turma, não ficou demonstrado nexo de causalidade entre a conduta do provedor e o dano sofrido pelo usuário.
O caso teve origem em tutela provisória – posteriormente convertida em ação de compensação por perdas e danos – ajuizada pelo usuário contra a Google Brasil Internet Ltda., após a invasão da sua conta de e-mail, em 2017. Além de transferir para outra conta as criptomoedas – avaliadas, na época, em R$ 1 milhão –, o hacker excluiu todas as mensagens eletrônicas da vítima, as quais não foram recuperadas.
O juízo de primeiro grau condenou a empresa a fornecer as informações referentes ao acesso à conta, sob pena de multa diária de R$ 1 mil, e a pagar indenização de R$ 15 mil por danos morais. O pedido de reparação de danos materiais foi indeferido, pois o juízo reconheceu culpa exclusiva da vítima. O Tribunal de Justiça de São Paulo manteve a indenização por danos morais e fixou em R$ 50 mil o limite máximo para a multa diária acumulada.
Não há previsão legal para armazenar mensagens deletadas
A relatora no STJ, ministra Nancy Andrighi, explicou que, no Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (artigo 13), pelo prazo de um ano; e os registros de acesso à aplicação (artigo 15), por seis meses.
“A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o artigo 3º, VI, da mencionada lei”, afirmou.
Na avaliação da relatora, a regra para os provedores de aplicação de internet tem o objetivo de limitar as informações armazenadas à quantidade necessária para a condução de suas atividades, não havendo previsão para armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
Responsabilidade objetiva na relação de consumo
Em consonância com as instâncias ordinárias, a ministra entendeu que a relação do usuário com o provedor está sujeita ao Código de Defesa do Consumidor (CDC), segundo o qual a responsabilidade do fornecedor prescinde de culpa, pois está baseada na teoria do risco da atividade. Consequentemente, lembrou, para surgir a responsabilidade do fornecedor, basta a comprovação do dano, da falha na prestação do serviço e do nexo de causalidade entre ambos.
No caso analisado, a relatora verificou que é incontroversa a presença dos dois primeiros requisitos, uma vez que o usuário teve a sua conta de e-mail invadida por um hacker, o qual acessou a sua carteira de bitcoins e transferiu 79 criptomoedas para a conta de outro usuário.
Com relação ao último pressuposto, contudo, a magistrada destacou que o dever de indenizar só existe quando há relação de causalidade entre a conduta do agente e o resultado danoso. No entanto, ressaltou, a responsabilidade pode ser excluída se fica evidenciada a ocorrência de fato exclusivo da vítima ou de terceiro (artigo 12, parágrafo 3º, III, do CDC), ou evento de força maior ou caso fortuito externo (artigo 393 do Código Civil).
Sem nexo de causalidade para a responsabilidade material
“O acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada, ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação afirmado pelo recorrente, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins“, ponderou.
Dessa forma, a ministra entendeu que é provável que o invasor tenha obtido a senha do usuário – seja porque ele a tinha armazenado no e-mail, seja porque forneceu a terceiro, seja em razão de eventual falha apresentada no sistema da gerenciadora.
Para a relatora, nenhuma dessas circunstâncias tem relação com a conduta do provedor ou com o risco do serviço por ele desenvolvido, razão pela qual não está configurado o nexo de causalidade. Assim, a relatora concluiu que é descabida a atribuição ao provedor de responsabilidade pelo prejuízo material sofrido pelo usuário.
O recurso ficou assim ementado:
CIVIL E PROCESSUAL CIVIL. RECURSO ESPECIAL. RESPONSABILIDADE CIVIL. AÇÃO DE COMPENSAÇÃO DE DANOS MATERIAIS E MORAIS. INVASÃO DE HACKER À CONTA DE E-MAIL. NEGATIVA DE PRESTAÇÃO JURISDICIONAL. AUSÊNCIA. PROVA PERICIAL. INDEFERIMENTO DEVIDAMENTE FUNDAMENTADO. INOBSERVÂNCIA DO PRINCÍPIO DA CONCENTRAÇÃO DA DEFESA. AFETAÇÃO APENAS DAS QUESTÕES DE FATO. IMPOSIÇÃO DE RECUPERAÇÃO DE MENSAGENS EXCLUÍDAS. IMPOSSIBILIDADE. VIOLAÇÃO AO PRINCÍPIO DA NÃO SURPRESA. INOCORRÊNCIA. TRANSFERÊNCIA DE BITCOINS. DANOS MATERIAIS. NEXO DE CAUSALIDADE NÃO CONFIGURADO. INDENIZAÇÃO POR DANOS MORAIS. MAJORAÇÃO. INCIDÊNCIA DA SÚMULA 7⁄STJ. ASTREINTES. REVISÃO. DESCABIMENTO (SÚMULA 7⁄STJ).1. Ação de compensação de danos materiais e morais ajuizada em 10⁄10⁄2017, da qual foi extraído o presente recurso especial interposto em 20⁄03⁄2020 e concluso ao gabinete em 24⁄08⁄2020.2. O propósito recursal consiste em definir se a) houve negativa de prestação jurisdicional; b) o dever de fundamentar o indeferimento do pedido de produção de prova foi observado; c) a parte recorrida atendeu ao princípio da concentração da defesa e quais os efeitos decorrentes de eventual descumprimento; d) o provedor de aplicação tem a obrigação legal de recuperar as informações deletadas; e) foi prolatada decisão surpresa; f) é cabível a responsabilização da recorrida pelos danos materiais consistentes na transferência de bitcoins realizada por hacker; g) o quantum arbitrado a título de indenização por danos morais comporta revisão e h) o valor do teto fixado para as astreintes é irrisório.3. É firme a orientação desta Corte de que o órgão julgador não é obrigado a rebater, um a um, todos os argumentos trazidos pelas partes em defesa das teses apresentadas. Deve apenas enfrentar a demanda, observando as questões relevantes e imprescindíveis à sua resolução.4. O art. 370, parágrafo único, do CPC⁄2015 cristaliza os princípios da persuasão racional e da livre admissibilidade da prova, autorizando o juiz a indeferir as diligências inúteis ou meramente protelatórias. Assim, a decisão que indefere a prova pericial com fundamento na sua inutilidade para a resolução do litígio está em conformidade com esse dispositivo legal.5. O princípio da concentração da defesa ou da eventualidade impõe ao réu o ônus de impugnar, especificadamente, as alegações de fato formuladas pelo autor, sob pena de serem havidas como verdadeiras (art. 341 do CPC⁄2015). A presunção de veracidade decorrente da ausência de impugnação, todavia, é relativa, não impedindo que o julgador, à luz das provas produzidas no processo, forme livremente a sua convicção, bem como atinge apenas as questões de fato.6. No Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (art. 13) e os registros de acesso à aplicação (art. 15). A restrição dos dados a serem armazenados pelos provedores de conexão e de aplicação visa a garantir a privacidade e a proteção da vida privada dos cidadãos usuários da Internet. Não há, assim, previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, como é o caso da recorrida, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.7. “O enunciado processual da “não surpresa” não implica exigir do julgador que toda solução dada ao deslinde da controvérsia seja objeto de consulta às partes antes da efetiva prestação jurisdicional, mormente quando já lhe foi oportunizada manifestação acerca do ponto em discussão” (AgInt no REsp 1841905⁄MG, DJe 02⁄09⁄2020).8. As criptomoedas utilizam a tecnologia blockchain, a qual é baseada na confiança na rede e viabiliza, de forma inovadora, a realização de transações online sem a necessidade de um intermediário. O funcionamento das criptomoedas é complexo e, entre outros mecanismos, envolve algoritmos e criptografia de ponta a ponta. O acesso à carteira de bitcoins, para a consulta das moedas virtuais e realização de operações, somente pode ser realizado mediante a utilização de senha específica (chave privada), de modo que não deve ser revelada pelo usuário.9. Na espécie, é incontroverso que o recorrente teve a sua conta de e-mail invadida por um hacker, o qual também acessou a sua carteira de bitcoins e transferiu criptomoeadas para a conta de outro usuário. Todavia, é descabida a atribuição de responsabilidade à recorrida por tais danos materiais, porquanto, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso, a simples entrada neste é insuficiente para propiciar o ingresso na carteira e virtual e, consequentemente, a transação das cryptocoins. Logo, a ausência de nexo causal entre o dano e a conduta da recorrida obsta a atribuição a esta da responsabilidade pelo prejuízo material experimentado pelo recorrente.10. A modificação do valor fixado a título de danos morais somente é permitida quando a quantia estipulada for irrisória ou exagerada. Precedentes. Na hipótese, o valor arbitrado não se revela irrisório, o que impede a sua revisão por esta Corte.11. A revisão do valor das astreintes só pode ser realizada em sede de recurso especial nos casos em que se mostrar irrisório ou exorbitante, sob pena de ofensa ao enunciado da Súmula 7⁄STJ. Precedentes. A adequação do montante fixado deve ser aferida tendo em conta a prestação que ela objetiva o devedor a cumprir. Na espécie, o valor estabelecido como teto para a multa não se revela irrisório, sobretudo porque fora fixada como forma de compelir a recorrida a fornecer as informações necessárias à identificação do invasor da conta de e-mail do recorrente, não guardando relação direta com o pleito de condenação ao pagamento de indenização por danos materiais.12. Entre os acórdãos trazidos à colação não há o necessário cotejo analítico nem a comprovação da similitude fática, elementos indispensáveis à demonstração da divergência.13. Recurso especial parcialmente conhecido e, nessa extensão, não provido.
Leia o acórdão no REsp 1.885.201.