A responsabilidade do provedor de e-mail à luz do mais recente entendimento do Superior Tribunal de Justiça
O Superior Tribunal de Justiça (STJ) divulga periodicamente o chamado Informativo de Jurisprudência, contemplando teses firmadas que são selecionadas pela novidade no âmbito do Tribunal e pela repercussão no meio jurídico.
No último dia 29 de novembro foi publicado o Informativo de Jurisprudência n. 719. Por meio dos recursos nele expostos, nota-se que a Terceira Turma da referida Corte tratou de temas relacionados à interpretação e aplicação da Lei n. 12.965/2014, mais especificamente no tocante à responsabilização dos provedores de aplicações, que serão aqui analisados.
A lei acima mencionada, conhecida como Marco Civil da Internet, estabeleceu princípios, garantias, direitos e deveres para o uso da internet no Brasil, bem como determinou as diretrizes para atuação dos entes federados em relação à matéria.
Além disso, também trouxe definições, apontando como aplicações de internet “o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet” (art. 5º, inc. VII), dentre as quais se incluem os serviços de e-mail.
Nesse sentido, entende-se que como provedor de aplicações qualquer empresa, organização ou grupo que forneça tais funcionalidades.
Feitas tais considerações, passa-se à análise dos temas efetivamente tratados pela Terceira Turma do STJ, trazidos no mais recente Informativo de Jurisprudência (n. 719).
Trata-se de julgamento proferido no Recurso Especial n. 1.885.201/SP, de relatoria da Ministra Nancy Andrighi, julgado em 23/11/2021 e publicado dois dias depois.
O contexto fático dos autos é o seguinte: o autor possuía há mais de 10 anos um endereço de e-mail junto à ré, o qual foi hackeado e excluído. Antes, porém, da exclusão, o hacker zerou a carteira de bitcoins do autor, pois se tratava do e-mail cadastrado para acessá-la. Após, a conta de e-mail foi restaurada, entretanto, sem o conteúdo que havia sido excluído (e-mails, documentos e informações).
Na sentença de primeiro grau, o provedor foi condenado ao fornecimento dos dados detalhados de acesso ao e-mail, para identificação do invasor, sob pena de multa diária, e ao pagamento de indenização pelos danos morais sofridos em razão da falha na segurança. Por outro lado, foi reconhecida a impossibilidade fática de recuperação dos arquivos excluídos do e-mail e culpa exclusiva da vítima no tocante à transferência dos bitcoins.
Interposta apelação por ambas as partes, o Tribunal de Justiça de São Paulo deu parcial provimento à apelação da ré, tão somente para fixar um limite máximo para a multa diária.
Com isso, discutiu-se no Recurso Especial n. 1.885.201/SP, dentre outros aspectos, a responsabilidade do provedor de aplicações – no caso, do e-mail – i) pela recuperação dos arquivos do e-mail excluído e ii) pelos danos materiais sofridos pelo autor na transferência de bitcoins.
Acerca do primeiro, entendeu a Terceira Turma que os provedores de aplicações que oferecem serviços de e-mail não têm o dever de armazenamento de mensagens recebidas ou enviadas pelo usuário e que foram deletadas por ausência de previsão legal.
O Marco Civil da Internet (Lei n. 12.965/2014) tem como princípio da disciplina do uso da internet no Brasil a proteção da privacidade (art. 3.º, inc. II) e, ainda, garante como direito aos usuários a inviolabilidade da intimidade e da vida privada (art. 7.º, inc. I), o que deve ser observado na guarda de registros pelos provedores inclusive por disposição legal expressa no art. 10[1]. Assim, o armazenamento de dados não pode ocorrer de forma indiscriminada.
Ademais, em seu art. 15[2], e mesma lei impõe aos provedores de aplicações a manutenção tão somente dos registros de acesso, sob sigilo, pelo prazo de seis meses.
Tais registros, a teor do art. 5.º, inc. VIII da mesma lei, consistem no “conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.”
Desse modo, tem-se que o conteúdo dos e-mails não está abarcado por tais dispositivos, motivo pelo qual não há como imputar aos provedores de aplicações o dever de armazená-lo, entendimento que já vinha sendo aplicado, por exemplo, pelo TJSP[3].
Concluiu, então, a Ministra Nancy Andrighi, que foi seguida no voto pelos demais Ministros, que “a opção legislativa adotada para os provedores de aplicação de internet está direcionada no sentido de restringir a quantidade de informações a serem armazenadas pelas empresas para apenas o necessário para a condução de suas atividades. Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, como é o caso da recorrida, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.”
No tocante ao segundo ponto da decisão que se tornou tema do Informativo de Jurisprudência n. 719, qual seja, a responsabilidade do provedor de aplicações pelos danos materiais sofridos pelo autor na transferência de bitcoins, o posicionamento da Terceira Turma foi, também, em sentido negativo.
O bitcoin é uma espécie de criptomoeda, ou seja, de moeda virtual. Diferente de moedas como o real, por exemplo, não possui um “banco central” que faça seu controle, tampouco há regulamentação precisa acerca dele no Brasil.
Seu armazenamento se dá em carteiras virtuais, através da tecnologia blockchain, que permite a realizações de transações online, e envolve mecanismos como algoritmos e criptografia para garantir a integridade e a segurança das informações.
O acesso à carteira de bitcoins e a realização de transações se dá por meio de duas chaves criptográficas: uma pública e uma privada. Esta última não deve ser divulgada, e deve ser guardada, pois não há como recuperá-la.
No caso analisado pela Terceira Turma, alegou o autor que, ao acessar a sua conta, o hacker teve acesso ao link enviado pela empresa gerenciadora da criptomoeda, o que teria viabilizado o acesso à sua carteira e transferência dos bitcoins.
Contudo, entendeu-se que, dada a necessidade de utilização da chave privada mencionada acima, apenas o acesso ao link enviado pela gerenciadora seria insuficiente para que a transação com os bitcoins fosse realizada.
Assim, concluiu a Ministra Nancy Andrighi que “é provável que o invasor tenha obtido a senha do recorrente, seja porque ele tinha armazenado-a no e-mail, forneceu a terceiro ou até mesmo em razão de eventual falha apresentado no sistema da gerenciadora.”
Desse modo, o dano material sofrido pelo autor, qual seja, a perda dos bitcoins, não pode ser imputado ao provedor do e-mail, pois este não concorreu para a sua ocorrência. Ausente, portanto, o nexo de causalidade, requisito indispensável para atribuição de responsabilidade.
O que se infere dos relatos acima é que, assim como a comunicação e a moeda, a tendência é que diversos aspectos da vida sejam alcançados pelo virtual e, com esse movimento, diferentes problemas, sequer imaginados anteriormente, surjam, desafiando a Advocacia e o Judiciário com as suas especificidades e inovações.
Ademais, em diversas situações, como no caso tratado, o provedor não poderá ser responsabilizado por eventuais danos, o que, dada a infinidade de opções e experiências viabilizadas com a internet, demandará cada vez mais prudência e responsabilidade de seus usuários.
[1] “Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.”
[2] “Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.”
[3] “[…] ARMAZENAMENTO DE DADOS. Provedor de aplicações de internet que não está obrigado a armazenar dados não previstos no art. 5º, VIII, c/c art. 15 da Lei nº 12.965/2014. Afastamento da obrigação de fornecimento de e-mail, local de acesso e ID do dispositivo que se impõe. […]” (TJSP; Apelação Cível 1010303-66.2020.8.26.0451; Relator (a): Rosangela Telles; Órgão Julgador: 31.ª Câmara de Direito Privado; Foro de Piracicaba – 1ª Vara Cível; Data do Julgamento: 16/09/2021; Data de Registro: 16/09/2021)