Provedores de e-mail não têm o dever de armazenar mensagens deletadas da conta do usuário

Por falta de previsão no Marco Civil da Internet (Lei 12.965/2014), a Terceira Turma do Superior Tribunal de Justiça (STJ) estabeleceu que os provedores de aplicações que oferecem serviços de e-mail – como o Google – não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas de sua conta.

No mesmo julgamento, o colegiado isentou o Google de responsabilidade pelos danos materiais sofridos por um usuário que, após ataque hacker ao seu e-mail, perdeu criptomoedas que estavam depositadas em uma conta específica. Para a turma, não ficou demonstrado nexo de causalidade entre a conduta do provedor e o dano sofrido pelo usuário.

O caso teve origem em tutela provisória – posteriormente convertida em ação de compensação por perdas e danos – ajuizada pelo usuário contra a Google Brasil Internet Ltda., após a invasão da sua conta de e-mail, em 2017. Além de transferir para outra conta as criptomoedas – avaliadas, na época, em R$ 1 milhão –, o hacker excluiu todas as mensagens eletrônicas da vítima, as quais não foram recuperadas.

O juízo de primeiro grau condenou a empresa a fornecer as informações referentes ao acesso à conta, sob pena de multa diária de R$ 1 mil, e a pagar indenização de R$ 15 mil por danos morais. O pedido de reparação de danos materiais foi indeferido, pois o juízo reconheceu culpa exclusiva da vítima. O Tribunal de Justiça de São Paulo manteve a indenização por danos morais e fixou em R$ 50 mil o limite máximo para a multa diária acumulada.

Não há previsão legal para armazenar mensagens deletadas

A relatora no STJ, ministra Nancy Andrighi, explicou que, no Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão ( artigo 13), pelo prazo de um ano; e os registros de acesso à aplicação ( artigo 15), por seis meses.

"A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o artigo 3º, VI, da mencionada lei", afirmou.

Na avaliação da relatora, a regra para os provedores de aplicação de internet tem o objetivo de limitar as informações armazenadas à quantidade necessária para a condução de suas atividades, não havendo previsão para armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

Responsabilidade objetiva na relação de consumo

Em consonância com as instâncias ordinárias, a ministra entendeu que a relação do usuário com o provedor está sujeita ao Código de Defesa do Consumidor ( CDC), segundo o qual a responsabilidade do fornecedor prescinde de culpa, pois está baseada na teoria do risco da atividade. Consequentemente, lembrou, para surgir a responsabilidade do fornecedor, basta a comprovação do dano, da falha na prestação do serviço e do nexo de causalidade entre ambos.

No caso analisado, a relatora verificou que é incontroversa a presença dos dois primeiros requisitos, uma vez que o usuário teve a sua conta de e-mail invadida por um hacker, o qual acessou a sua carteira de bitcoins e transferiu 79 criptomoedas para a conta de outro usuário.

Com relação ao último pressuposto, contudo, a magistrada destacou que o dever de indenizar só existe quando há relação de causalidade entre a conduta do agente e o resultado danoso. No entanto, ressaltou, a responsabilidade pode ser excluída se fica evidenciada a ocorrência de fato exclusivo da vítima ou de terceiro ( artigo 12, parágrafo 3º, III, do CDC), ou evento de força maior ou caso fortuito externo ( artigo 393 do Código Civil).

Sem nexo de causalidade para a responsabilidade material

"O acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada, ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação afirmado pelo recorrente, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins", ponderou.

Dessa forma, a ministra entendeu que é provável que o invasor tenha obtido a senha do usuário – seja porque ele a tinha armazenado no e-mail, seja porque forneceu a terceiro, seja em razão de eventual falha apresentada no sistema da gerenciadora.

Para a relatora, nenhuma dessas circunstâncias tem relação com a conduta do provedor ou com o risco do serviço por ele desenvolvido, razão pela qual não está configurado o nexo de causalidade. Assim, a relatora concluiu que é descabida a atribuição ao provedor de responsabilidade pelo prejuízo material sofrido pelo usuário.

Leia o acórdão. Com informações da assessoria de imprensa do STJ.

Conheça os Materiais Jurídicos p/ Advogados com as melhores teses para 2022, incluindo a Planilha de Cálculo:

👉👉👉 Material para Correção do FGTS;

👉👉👉 Material par a Exclusão do ISSQN do PIS/COFINS;

👉👉👉 Material par a Restituição do ICMS na conta de Energia;

👉👉👉 Material para Cobrança de Saldo do PASEP dos Servidores Públicos.