Provedor não é obrigado a armazenar e-mails deletados

Provedor não é obrigado a armazenar e-mails deletados

Por falta de previsão no Marco Civil da Internet (Lei 12.965/2014), a Terceira Turma do Superior Tribunal de Justiça (STJ) estabeleceu que os provedores de aplicações que oferecem serviços de e-mail – como o Google – não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas de sua conta.

No mesmo julgamento, o colegiado isentou o Google de responsabilidade pelos danos materiais sofridos por um usuário que, após ataque hacker ao seu e-mail, perdeu criptomoedas que estavam depositadas em uma conta específica. Para a turma, não ficou demonstrado nexo de causalidade entre a conduta do provedor e o dano sofrido pelo usuário.

O caso teve origem em tutela provisória – posteriormente convertida em ação de compensação por perdas e danos – ajuizada pelo usuário contra a Google Brasil Internet Ltda., após a invasão da sua conta de e-mail, em 2017. Além de transferir para outra conta as criptomoedas – avaliadas, na época, em R$ 1 milhão –, o hacker excluiu todas as mensagens eletrônicas da vítima, as quais não foram recuperadas.

O juízo de primeiro grau condenou a empresa a fornecer as informações referentes ao acesso à conta, sob pena de multa diária de R$ 1 mil, e a pagar indenização de R$ 15 mil por danos morais. O pedido de reparação de danos materiais foi indeferido, pois o juízo reconheceu culpa exclusiva da vítima. O Tribunal de Justiça de São Paulo manteve a indenização por danos morais e fixou em R$ 50 mil o limite máximo para a multa diária acumulada.

A relatora no STJ, ministra Nancy Andrighi, explicou que, no Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (artigo 13), pelo prazo de um ano; e os registros de acesso à aplicação (artigo 15), por seis meses.

“A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o artigo 3º, VI, da mencionada lei”, afirmou.

Na avaliação da relatora, a regra para os provedores de aplicação de internet tem o objetivo de limitar as informações armazenadas à quantidade necessária para a condução de suas atividades, não havendo previsão para armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

Em consonância com as instâncias ordinárias, a ministra entendeu que a relação do usuário com o provedor está sujeita ao Código de Defesa do Consumidor (CDC), segundo o qual a responsabilidade do fornecedor prescinde de culpa, pois está baseada na teoria do risco da atividade. Consequentemente, lembrou, para surgir a responsabilidade do fornecedor, basta a comprovação do dano, da falha na prestação do serviço e do nexo de causalidade entre ambos.

No caso analisado, a relatora verificou que é incontroversa a presença dos dois primeiros requisitos, uma vez que o usuário teve a sua conta de e-mail invadida por um hacker, o qual acessou a sua carteira de bitcoins e transferiu 79 criptomoedas para a conta de outro usuário.

Com relação ao último pressuposto, contudo, a magistrada destacou que o dever de indenizar só existe quando há relação de causalidade entre a conduta do agente e o resultado danoso. No entanto, ressaltou, a responsabilidade pode ser excluída se fica evidenciada a ocorrência de fato exclusivo da vítima ou de terceiro (artigo 12, parágrafo 3º, III, do CDC), ou evento de força maior ou caso fortuito externo (artigo 393 do Código Civil).

“O acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada, ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação afirmado pelo recorrente, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins“, ponderou.

Dessa forma, a ministra entendeu que é provável que o invasor tenha obtido a senha do usuário – seja porque ele a tinha armazenado no e-mail, seja porque forneceu a terceiro, seja em razão de eventual falha apresentada no sistema da gerenciadora.

Para a relatora, nenhuma dessas circunstâncias tem relação com a conduta do provedor ou com o risco do serviço por ele desenvolvido, razão pela qual não está configurado o nexo de causalidade. Assim, a relatora concluiu que é descabida a atribuição ao provedor de responsabilidade pelo prejuízo material sofrido pelo usuário.

Fonte: STJ

Leia mais

Direitos adquiridos dos servidores públicos não podem ser anulados por limites orçamentários

"As alegações atinentes a limites orçamentários/fiscais, não induzem à modificação ou extinção da pretensão do servidor haja vista que as medidas de contenção de...

Decisão sobre retirada de Flutuantes enfrenta desafios administrativos e disputas jurídicas

A recente decisão do Juiz Moacir Pereira Batista, da Vara do Meio Ambiente, que determina a retomada das etapas de retirada dos flutuantes...

Mais Lidas

Justiça do Amazonas garante o direito de mulher permanecer com o nome de casada após divórcio

O desembargador Flávio Humberto Pascarelli, da 3ª Câmara Cível...

Bemol é condenada por venda de mercadoria com vícios ocultos em Manaus

O Juiz George Hamilton Lins Barroso, da 22ª Vara...

Destaques

Últimas

PMAM apreende 121 armas de fogo e prende mais de 360 pessoas em flagrante no mês de junho

A corporação também apreendeu mais de 1,3 mil munições e recapturou 41 foragidos da Justiça. A Polícia Militar do Amazonas...

STJ concede HC a Paciente com autorização da Anvisa para importar óleo de cannabis para uso próprio

​O vice-presidente do Superior Tribunal de Justiça (STJ), ministro Og Fernandes, no exercício da presidência, deferiu liminar para conceder...

STF autoriza estado a executar multas aplicadas por TCEs a agentes municipais

As multas simples são aplicadas quando não são observadas normas financeiras, contábeis e orçamentárias e quando o agente público...

Sócias não são responsáveis por débitos trabalhistas 2 anos após saída

Conforme o artigo 10-A da CLT, o sócio retirante (que deixa o quadro societário e transfere suas cotas para...