> < Todos Julgados > REsp 1.885.201-SP

STJ - Terceira Turma

REsp 1.885.201-SP

Recurso Especial

Relator: Nancy Andrighi

Julgamento: 23/11/2021

Publicação: 25/11/2021

STJ - Terceira Turma

REsp 1.885.201-SP

Tese Jurídica Simplificada

1ª Tese: Os provedores de aplicações que oferecem serviços de e-mail (Gmail e Hotmail, por exemplo) não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas, por falta de previsão legal.

2ª Tese: O provedor de serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins feita por hacker.

Vídeos

Ops...

Esse vídeo está disponível apenas para assinantes!

Assine Agora!

Nossos Comentários

Ops...

Os comentários estão disponíveis apenas para assinantes!

Assine Agora!

Tese Jurídica Oficial

1ª Tese:  Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

2ª Tese: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.

Resumo Oficial

1ª Tese:  Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail, o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

Inicialmente cumpre salientar que a partir do Marco Civil da Internet, em razão de suas diferentes responsabilidades e atribuições, é possível distinguir simplesmente duas categorias de provedores: (i) os provedores de conexão; e (ii) os provedores de aplicação.

Os provedores de conexão são aqueles que oferecem "a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP" (art. 5º, V, MCI). No Brasil, os provedores de conexão acabam, em sua maioria, confundindo-se com os próprios prestadores de serviços de telecomunicações, que, em conjunto, detêm a esmagadora maioria de participação neste mercado.

Por sua vez, utilizando as definições estabelecidas pelo art. 5º, VII, do Marco Civil da Internet, uma "aplicação de internet" é o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet.

Como é possível perceber, essas funcionalidades podem ser as mais diversas, tais como serviços de e-mail, redes sociais, hospedagem de dados, compartilhamento de vídeos, e muitas outras ainda a serem inventadas. Por consequência, os provedores de aplicação são aqueles que, sejam com ou sem fins lucrativos, organizam-se para o fornecimento dessas funcionalidades na internet.

No Marco Civil da Internet, há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (art. 13) e os registros de acesso à aplicação (art. 15). Os primeiros devem ser armazenados pelo prazo de 01 (um) ano, enquanto os últimos devem ser mantidos por 06 (seis) meses.

A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o art. 3º, VI, da mencionada lei.

A restrição dos dados a serem armazenados pelos provedores de conexão e de aplicação visa a garantir a privacidade e a proteção da vida privada dos cidadãos usuários da Internet. Diminui-se, assim, a quantidade de dados pessoais que cada um dos atores da internet possui, como forma de prevenção ao abuso da posse dessas informações.

Assim, percebe-se que a opção legislativa adotada para os provedores de aplicação de internet está direcionada no sentido de restringir a quantidade de informações a serem armazenadas pelas empresas para apenas o necessário para a condução de suas atividades. Não há previsão legal atribuindo aos provedores de aplicações que oferecem serviços de e-mail o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

2ª Tese: O provedor de aplicações que oferece serviços de e-mail não pode ser responsabilizado pelos danos materiais decorrentes da transferência de bitcoins realizada por hacker.

Inicialmente cumpre salientar que as criptomoedas utilizam a tecnologia blockchain, a qual é baseada na confiança na rede e viabiliza, de forma inovadora, a realização de transações online sem a necessidade de um intermediário. O blockchain fornece, assim, segurança à rede, estando assentado em quatro pilares: (i) segurança das operações, (ii) descentralização de armazenamento, (iii) integridade de dados e (iv) imutabilidade de transações.

Segundo a doutrina "para realizar transações em bitcoins, após a criação da carteira e a presença de bitcoins nela, o usuário poderá criar 'endereços Bitcoin' (instruções de pagamento intra sistema que ditam o fluxo de pagamento) indicando quantas bitcoins devem ser entregues a qual carteira e quando tal transferência deve ocorrer. Cada transação específica somente pode ser realizada mediante a utilização de senha específica que cada pagador e cada recebedor tem de digitar, chamada de 'private key', um sistema que se vale de criptografia para proteção das informações".

A chave privada viabiliza o acesso do usuário à sua carteira de bitcoins, na qual constam informações sobre as criptomoedas controladas e é possível a realização de pagamentos a outros usuários. A chave privada não deve, destarte, ser revelada e deve ser guardada pelo usuário, já que inexiste, atualmente, maneira de recuperá-la.

No âmbito do Código de Defesa do Consumidor, a responsabilidade do fornecedor prescinde do elemento culpa, pois funda-se na teoria do risco da atividade (REsp 1.580.432/SP, DJe 04/02/2019). Em consequência, para emergir a responsabilidade do fornecedor de serviços, é suficiente a comprovação (i) do dano; (ii) da falha na prestação dos serviços e (iii) do nexo de causalidade entre o prejuízo e o vício ou defeito do serviço.

Com relação ao último pressuposto, o dever de indenizar só nasce quando houver um liame de causalidade entre a conduta do agente e o resultado danoso.

No caso, o recorrente atribui à recorrida a responsabilidade pelos danos materiais suportados pois, segundo alega, ao acessar o seu e-mail, o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.

Ocorre que o acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada. Ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins.

Deste modo, não configurado o nexo de causalidade, é descabida a pretendida responsabilidade pelo prejuízo material experimentado.

Encontrou um erro?

Onde Aparece?