1ª Tese: Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
2ª Tese: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.
1ª Tese: Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
Inicialmente cumpre salientar que a partir do Marco Civil da Internet, em razão de suas diferentes responsabilidades e atribuições, é possível distinguir simplesmente duas categorias de provedores: (i) os provedores de conexão; e (ii) os provedores de aplicação.
Os provedores de conexão são aqueles que oferecem "a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP" (art. 5º, V, MCI). No Brasil, os provedores de conexão acabam, em sua maioria, confundindo-se com os próprios prestadores de serviços de telecomunicações, que, em conjunto, detêm a esmagadora maioria de participação neste mercado.
Por sua vez, utilizando as definições estabelecidas pelo art. 5º, VII, do Marco Civil da Internet, uma "aplicação de internet" é o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet.
Como é possível perceber, essas funcionalidades podem ser as mais diversas, tais como serviços de e-mail, redes sociais, hospedagem de dados, compartilhamento de vídeos, e muitas outras ainda a serem inventadas. Por consequência, os provedores de aplicação são aqueles que, sejam com ou sem fins lucrativos, organizam-se para o fornecimento dessas funcionalidades na internet.
No Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (art. 13) e os registros de acesso à aplicação (art. 15). Os primeiros devem ser armazenados pelo prazo de 01 (um) ano, enquanto os últimos devem ser mantidos por 06 (seis) meses.
A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o art. 3º, VI, da mencionada lei.
A restrição dos dados a serem armazenados pelos provedores de conexão e de aplicação visa a garantir a privacidade e a proteção da vida privada dos cidadãos usuários da Internet. Diminui-se, assim, a quantidade de dados pessoais que cada um dos atores da internet possui, como forma de prevenção ao abuso da posse dessas informações.
Assim, percebe-se que a opção legislativa adotada para os provedores de aplicação de internet está direcionada no sentido de restringir a quantidade de informações a serem armazenadas pelas empresas para apenas o necessário para a condução de suas atividades. Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
2ª Tese: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.
Inicialmente cumpre salientar que as criptomoedas utilizam a tecnologia blockchain, a qual é baseada na confiança na rede e viabiliza, de forma inovadora, a realização de transações online sem a necessidade de um intermediário. O blockchain fornece, assim, segurança à rede, estando assentado em quatro pilares: (i) segurança das operações, (ii) descentralização de armazenamento, (iii) integridade de dados e (iv) imutabilidade de transações.
Segundo a doutrina "para realizar transações em bitcoins, após a criação da carteira e a presença de bitcoins nela, o usuário poderá criar 'endereços Bitcoin' (instruções de pagamento intra sistema que ditam o fluxo de pagamento) indicando quantas bitcoins devem ser entregues a qual carteira e quando tal transferência deve ocorrer. Cada transação específica somente pode ser realizada mediante a utilização de senha específica que cada pagador e cada recebedor tem de digitar, chamada de 'private key', um sistema que se vale de criptografia para proteção das informações".
A chave privada viabiliza o acesso do usuário à sua carteira de bitcoins, na qual constam informações sobre as criptomoedas controladas e é possível a realização de pagamentos a outros usuários. A chave privada não deve, destarte, ser revelada e deve ser guardada pelo usuário, já que inexiste, atualmente, maneira de recuperá-la.
No âmbito do Código de Defesa do Consumidor, a responsabilidade do fornecedor prescinde do elemento culpa, pois funda-se na teoria do risco da atividade (REsp 1.580.432/SP, DJe 04/02/2019). Em consequência, para emergir a responsabilidade do fornecedor de serviços, é suficiente a comprovação (i) do dano; (ii) da falha na prestação dos serviços e (iii) do nexo de causalidade entre o prejuízo e o vício ou defeito do serviço.
Com relação ao último pressuposto, o dever de indenizar só nasce quando houver um liame de causalidade entre a conduta do agente e o resultado danoso.
No caso, o recorrente atribui à recorrida a responsabilidade pelos danos materiais suportados pois, segundo alega, ao acessar o seu e-mail, o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.
Ocorre que o acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada. Ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins.
Deste modo, não configurado o nexo de causalidade, é descabida a pretendida responsabilidade pelo prejuízo material experimentado.
1ª Tese: Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
Inicialmente cumpre salientar que a partir do Marco Civil da Internet, em razão de suas diferentes responsabilidades e atribuições, é possível distinguir simplesmente duas categorias de provedores: (i) os provedores de conexão; e (ii) os provedores de aplicação.
Os provedores de conexão são aqueles que oferecem "a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP" (art. 5º, V, MCI). No Brasil, os provedores de conexão acabam, em sua maioria, confundindo-se com os próprios prestadores de serviços de telecomunicações, que, em conjunto, detêm a esmagadora maioria de participação neste mercado.
Por sua vez, utilizando as definições estabelecidas pelo art. 5º, VII, do Marco Civil da Internet, uma "aplicação de internet" é o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet.
Como é possível perceber, essas funcionalidades podem ser as mais diversas, tais como serviços de e-mail, redes sociais, hospedagem de dados, compartilhamento de vídeos, e muitas outras ainda a serem inventadas. Por consequência, os provedores de aplicação são aqueles que, sejam com ou sem fins lucrativos, organizam-se para o fornecimento dessas funcionalidades na internet.
No Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (art. 13) e os registros de acesso à aplicação (art. 15). Os primeiros devem ser armazenados pelo prazo de 01 (um) ano, enquanto os últimos devem ser mantidos por 06 (seis) meses.
A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o art. 3º, VI, da mencionada lei.
A restrição dos dados a serem armazenados pelos provedores de conexão e de aplicação visa a garantir a privacidade e a proteção da vida privada dos cidadãos usuários da Internet. Diminui-se, assim, a quantidade de dados pessoais que cada um dos atores da internet possui, como forma de prevenção ao abuso da posse dessas informações.
Assim, percebe-se que a opção legislativa adotada para os provedores de aplicação de internet está direcionada no sentido de restringir a quantidade de informações a serem armazenadas pelas empresas para apenas o necessário para a condução de suas atividades. Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
2ª Tese: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.
Inicialmente cumpre salientar que as criptomoedas utilizam a tecnologia blockchain, a qual é baseada na confiança na rede e viabiliza, de forma inovadora, a realização de transações online sem a necessidade de um intermediário. O blockchain fornece, assim, segurança à rede, estando assentado em quatro pilares: (i) segurança das operações, (ii) descentralização de armazenamento, (iii) integridade de dados e (iv) imutabilidade de transações.
Segundo a doutrina "para realizar transações em bitcoins, após a criação da carteira e a presença de bitcoins nela, o usuário poderá criar 'endereços Bitcoin' (instruções de pagamento intra sistema que ditam o fluxo de pagamento) indicando quantas bitcoins devem ser entregues a qual carteira e quando tal transferência deve ocorrer. Cada transação específica somente pode ser realizada mediante a utilização de senha específica que cada pagador e cada recebedor tem de digitar, chamada de 'private key', um sistema que se vale de criptografia para proteção das informações".
A chave privada viabiliza o acesso do usuário à sua carteira de bitcoins, na qual constam informações sobre as criptomoedas controladas e é possível a realização de pagamentos a outros usuários. A chave privada não deve, destarte, ser revelada e deve ser guardada pelo usuário, já que inexiste, atualmente, maneira de recuperá-la.
No âmbito do Código de Defesa do Consumidor, a responsabilidade do fornecedor prescinde do elemento culpa, pois funda-se na teoria do risco da atividade (REsp 1.580.432/SP, DJe 04/02/2019). Em consequência, para emergir a responsabilidade do fornecedor de serviços, é suficiente a comprovação (i) do dano; (ii) da falha na prestação dos serviços e (iii) do nexo de causalidade entre o prejuízo e o vício ou defeito do serviço.
Com relação ao último pressuposto, o dever de indenizar só nasce quando houver um liame de causalidade entre a conduta do agente e o resultado danoso.
No caso, o recorrente atribui à recorrida a responsabilidade pelos danos materiais suportados pois, segundo alega, ao acessar o seu e-mail, o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.
Ocorre que o acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada. Ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins.
Deste modo, não configurado o nexo de causalidade, é descabida a pretendida responsabilidade pelo prejuízo material experimentado.