Por falta de previsão no Marco Civil da Internet (Lei 12.965/2014), a Terceira Turma do Superior Tribunal de Justiça (STJ) estabeleceu que os provedores de aplicações que oferecem serviços de e-mail – como o Google – não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas de sua conta.

No mesmo julgamento, o colegiado isentou o Google de responsabilidade pelos danos materiais sofridos por um usuário que, após ataque hacker ao seu e-mail, perdeu criptomoedas que estavam depositadas em uma conta específica. Para a turma, não ficou demonstrado nexo de causalidade entre a conduta do provedor e o dano sofrido pelo usuário.

O caso teve origem em tutela provisória – posteriormente convertida em ação de compensação por perdas e danos – ajuizada pelo usuário contra a Google Brasil Internet Ltda., após a invasão da sua conta de e-mail, em 2017. Além de transferir para outra conta as criptomoedas – avaliadas, na época, em R$ 1 milhão –, o hacker excluiu todas as mensagens eletrônicas da vítima, as quais não foram recuperadas.

O juízo de primeiro grau condenou a empresa a fornecer as informações referentes ao acesso à conta, sob pena de multa diária de R$ 1 mil, e a pagar indenização de R$ 15 mil por danos morais. O pedido de reparação de danos materiais foi indeferido, pois o juízo reconheceu culpa exclusiva da vítima. O Tribunal de Justiça de São Paulo manteve a indenização por danos morais e fixou em R$ 50 mil o limite máximo para a multa diária acumulada.

Não há previsão legal para armazenar mensagens deletadas

A relatora no STJ, ministra Nancy Andrighi, explicou que, no Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (artigo 13), pelo prazo de um ano; e os registros de acesso à aplicação (artigo 15), por seis meses.

“A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o artigo 3º, VI, da mencionada lei”, afirmou.

Na avaliação da relatora, a regra para os provedores de aplicação de internet tem o objetivo de limitar as informações armazenadas à quantidade necessária para a condução de suas atividades, não havendo previsão para armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

Responsabilidade objetiva na relação de consumo

Em consonância com as instâncias ordinárias, a ministra entendeu que a relação do usuário com o provedor está sujeita ao Código de Defesa do Consumidor (CDC), segundo o qual a responsabilidade do fornecedor prescinde de culpa, pois está baseada na teoria do risco da atividade. Consequentemente, lembrou, para surgir a responsabilidade do fornecedor, basta a comprovação do dano, da falha na prestação do serviço e do nexo de causalidade entre ambos.

No caso analisado, a relatora verificou que é incontroversa a presença dos dois primeiros requisitos, uma vez que o usuário teve a sua conta de e-mail invadida por um hacker, o qual acessou a sua carteira de bitcoins e transferiu 79 criptomoedas para a conta de outro usuário.

Com relação ao último pressuposto, contudo, a magistrada destacou que o dever de indenizar só existe quando há relação de causalidade entre a conduta do agente e o resultado danoso. No entanto, ressaltou, a responsabilidade pode ser excluída se fica evidenciada a ocorrência de fato exclusivo da vítima ou de terceiro (artigo 12, parágrafo 3º, III, do CDC), ou evento de força maior ou caso fortuito externo (artigo 393 do Código Civil).

Sem nexo de causalidade para a responsabilidade material

“O acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada, ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação afirmado pelo recorrente, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins“, ponderou.

Dessa forma, a ministra entendeu que é provável que o invasor tenha obtido a senha do usuário – seja porque ele a tinha armazenado no e-mail, seja porque forneceu a terceiro, seja em razão de eventual falha apresentada no sistema da gerenciadora.

Para a relatora, nenhuma dessas circunstâncias tem relação com a conduta do provedor ou com o risco do serviço por ele desenvolvido, razão pela qual não está configurado o nexo de causalidade. Assim, a relatora concluiu que é descabida a atribuição ao provedor de responsabilidade pelo prejuízo material sofrido pelo usuário.

Leia o acórdão. Com informações da assessoria de imprensa do STJ.