Considerações sobre o desenvolvimento do Direito Digital no Brasil
Walter Neto
Com o crescimento exponencial da utilização da internet no dia a dia das pessoas, surgiram ataques virtuais, roubos e fraudes nesse ambiente, vazamento de dados e hackeamento de informações relevantes, entre outras condutas que demandam a intervenção do Poder Judiciário.
Por essa razão, o Direito precisou evoluir para garantir a segurança da organização social no mundo virtual. Daí o surgimento do ramo denominado Direito Digital.
De forma sistemática, o Direito Digital tem como objetivo regulamentar condutas e proteger direitos dentro do ambiente virtual. No Brasil ainda não há extenso número de normas e leis para essa regulamentação, podendo-se afirmar que os pilares do Direito Digital são: Lei Carolina Dieckmann (Lei nº 12.737/2012); Marco Civil da Internet (Lei nº 12.965/2014); e Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
A Lei Carolina Dieckmann trata sobre questões criminais no âmbito do Direito Digital, dispondo sobre crimes informáticos, e adapta o Código Penal para essa nova realidade. Dentre os crimes previstos na Lei Carolina Dieckmann, destacam-se os tipificados como invasão de aparelhos telefônicos, interrupção de serviços digitais e falsificação de documentos digitais.
O Marco Civil da Internet, por sua vez, possui caráter mais regulatório do que punitivo. O principal aspecto do Marco Civil da Internet é regulamentar a utilização da Internet no Brasil, estabelecendo princípios, garantias, direitos e deveres.
Por fim, a Lei Geral de Proteção de Dados (“LGPD”), tem como objetivo proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural (artigo 1º), pela proteção de dados. Ou seja, o intuito da LGPD é resguardar os dados pessoais de pessoas e empresas que estão na Internet.
Atualmente, a maioria das informações de pessoas e até da Administração Pública estão contidas na Internet. Isso demanda a regulamentação e proteção pelo Direito, tanto para evitar conflitos, quanto para tipificar e eventualmente punir práticas danosas no ambiente virtual.
Nesse contexto, o Superior Tribunal de Justiça (“STJ”) vem se deparando cada vez mais com assuntos envolvendo o Direito Digital e sedimentando entendimentos a respeito das controvérsias desse “novo” ramo do Direito.
Neste artigo, serão analisados os fundamentos e as peculiaridades das últimas orientações do STJ, as mais recentes interpretações de aplicações do Direito Digital no Brasil.
1) A responsabilidade dos provedores de pesquisa na remoção de resultado de conteúdos difamatórios
No dia 9 de dezembro de 2021 foi publicado o acórdão do REsp nº 1.593.249 – RJ, de relatoria do Min. Ricardo Villas Bôas Cueva, no qual o STJ firmou a tese sobre a responsabilidade dos provedores de pesquisa na remoção de resultado de conteúdos difamatórios disponibilizados na Internet.
A discussão teve origem a partir de requerimento de Juíza de Direito do Tribunal de Justiça do Estado do Rio de Janeiro, que tomou ciência da disponibilização de documento em endereço eletrônico no qual era acusada pela prática de crime de tráfico de influência em decorrência da investigação criminal conhecida como “Operação Satiagraha”.
A Autora notificou extrajudicialmente a Ré (Google) solicitando, no prazo de 24 (vinte e quatro) horas, que a Notificada se abstivesse de vincular seu nome ao URL da publicação do referido documento ou de qualquer outro extraído desse endereço eletrônico.
No caso analisado pelo STJ, a parte recorrente (Provedor de Pesquisa) defendia a ausência de obrigação quanto à remoção de dados e conteúdos difamatórios disponibilizados na Internet, alegando que sua natureza seria essencialmente de pesquisa, mecanismo que evidencia um conteúdo já disponibilizado na Internet. Ponderou, assim, que os Provedores de Pesquisa não podem ser confundidos com os Provedores de Aplicação, que têm por escopo a disponibilização de espaço para postagem de ideias e conteúdo.
O voto do Min. Ricardo Villas Bôas Cueva STJ foi bastante esclarecedor sobre a responsabilidade dos provedores de pesquisa e do entendimento consolidado pelo STJ.
O julgamento foi dividido em uma análise de dois temas principais: a obrigação de remoção dos critérios de busca que resultavam o link apontado como ofensivo e a responsabilidade por não ter retirado em tempo razoável o URL (conteúdo) dos resultados apresentados.
No referido precedente, foi reconhecida a impossibilidade de determinar a restrição de critérios de pesquisa em razão da própria natureza desse provedor (busca). Ou seja, de acordo com o STJ, o provedor de pesquisa não pode ser obrigado a deixar de apresentar resultados de pesquisas realizadas.
Por outro lado, após a identificação de um resultado ofensivo, o STJ reconheceu a necessidade de se retirar esse conteúdo da Rede Mundial de Computadores.
Antes da vigência do Marco Civil da Internet, a jurisprudência considerava que o termo inicial do prazo de retirada do conteúdo considerado ofensivo era a ciência inequívoca de sua existência. Ou seja, a partir da notificação da vítima denunciando o conteúdo ofensivo, os provedores tinham obrigação de retirá-lo, sob pena de se responsabilizar pelos danos decorrentes da manutenção do conteúdo na Rede Mundial de Computadores.
O artigo 19 da Lei nº 12.965/14 assegurou aos Provedores a garantia de só serem responsabilizados após o descumprimento de ordem judicial específica.
Portanto, foi firmado entendimento no sentido de que os Provedores de Pesquisa não podem ser obrigados a restringir os critérios de pesquisa, mas, por outro lado, assim que intimados, devem proceder com a retirada do conteúdo considerado ofensivo por decisão judicial.
2) A responsabilidade dos provedores de aplicação em recuperar informações deletadas
Recentemente, o STJ também firmou outra tese sobre responsabilidade civil no âmbito do Direito Digital. No julgamento do REsp nº 1.885.201 – SP, pela relatoria da Min. Nancy Andrighi, foi analisada a responsabilidade dos Provedores de Aplicação que oferecem serviços de e-mail em recuperar as informações deletadas.
A controvérsia teve origem em razão da alegação do Autor da Ação de que teve sua conta de e-mail invadida por terceiro que transferiu 79.22579093 (setenta e nove) bitcoins da sua carteira de criptomoedas para uma carteira não identificada, causando-lhe um prejuízo superior a R$5.500.000,00 (cinco milhões e quinhentos mil reais). O invasor ainda teria excluído todas as mensagens eletrônicas, que não foram recuperadas.
O Autor tentou atribuir a responsabilidade à provedora de e-mail sob a alegação de que o hacker teve acesso à mensagem eletrônica contendo o link enviado pela empresa gerenciadora das criptomoedas.
Em razão disso, foi pleiteada a condenação da Ré a apresentar informações referentes aos acessos da conta de e-mail da Autora, especialmente nas 48h que antecederam ao ataque hacker sofrido, com o objetivo de identificar os criminosos. Subsidiariamente, além de danos morais, foi requerida a condenação da Ré em danos materiais no valor do prejuízo suportado pelo ataque hacker, abarcando, naturalmente, o valor da carteira de bitcoin subtraída pelo hacker.
No voto da relatora Min. Nancy Andrighi, o STJ reconhece que o serviço prestado pela requerida (e-mail) se enquadra na categoria de provedores de aplicações, estando sujeita às normas do Marco Civil da Internet.
E, de acordo com o Marco Civil da Internet, há apenas duas categorias de dados que devem obrigatoriamente ser armazenados: os registros de conexão (artigo 13) e os registros de acesso à aplicação (artigo 15). A previsão de armazenamento desse tipo de dado tem como objetivo facilitar a identificação de usuários da internet pelas autoridades.
O STJ, portanto, esclareceu que não há previsão legislativa sobre a obrigação legal dos provedores de e-mails armazenarem mensagens enviadas ou recebidas que já foram deletadas.
Quanto ao ataque hacker sofrido, o entendimento consolidado foi de que no caso analisado não deveria recair responsabilidade civil sobre a Provedora.
Neste contexto, o STJ entendeu que a circunstância da transação de criptomoeda não guarda relação com a conduta ou o risco do serviço praticado pela provedora de e-mails, afastando sua responsabilidade quanto à pretensão de dano material.
Por fim, foi firmado entendimento no sentido de que não há previsão legal atribuindo aos Provedores de Aplicação que oferecem serviços de e-mails o dever de armazenar as mensagens recebidas ou enviadas que foram deletadas.
3) A responsabilidade do provedor de internet de manter armazenado os registros de links por 6 (seis) meses
Por meio do julgamento do REsp nº 1.961.480 – SP, de relatoria da Min. Nancy Andrighi, o STJ firmou a tese sobre a responsabilidade dos provedores de internet de manter o armazenamento dos registros de links, estipulando o período e o termo inicial da contagem do prazo.
Os Autores da Ação alegaram que a expressão da sua marca “BNE” estava sendo utilizada indevidamente por concorrentes, que contratavam através da ferramenta “Google AdWords” os anúncios em forma de links, para redirecionar a pesquisa para seus próprios negócios.
Ou seja, ao realizarem a pesquisa no sistema de busca com a palavra-chave “BNE”, os usuários consumidores eram remetidos ao sítio eletrônico dos concorrentes e não efetivamente ao resultado de pesquisa da “BNE”.
Neste contexto, os Autores demandaram contra o Google pleiteando a informação do nome ou domínio das sociedades empresárias que patrocinaram a expressão “BNE” na ferramenta “Google AdWords”, no período de 2010 até dezembro de 2016, bem como a quantidade de acessos desviados, com a finalidade de subsidiar futura ação indenizatória contra esses usuários.
O Google, por seu turno, defendeu a tese da ausência de indícios de ilicitude que justifiquem a quebra do sigilo de dados de terceiros (conforme previsto no art. 22 do Marco Civil da Internet), e excessiva abrangência dos pedidos formulados.
Para dirimir essa controvérsia, o STJ analisou se o artigo 22 do Marco Civil da Internet (Lei nº 12.965/2014) permitia o fornecimento de nomes ou domínios de sociedades empresárias que patrocinam links na ferramenta “Google AdWords” relacionados à determinada expressão, como pretendiam os Autores.
Para entender melhor a decisão, é importante ter em mente que o “Google AdWords” nada mais é do que uma ferramenta de publicidade on-line que exibe anúncios em forma de links patrocinados a partir das pesquisas dos usuários, naturalmente de acordo com as palavras-chave contratadas pelo patrocinador.
Em suma, o STJ entendeu que no caso de Provedores de Aplicação de Internet (como o “Google AdWords”), cabe ao administrador do sistema autônomo (Google) o dever de manter os registros de acesso a aplicações de internet pelo prazo de 6 (seis) meses.
Esse entendimento foi sedimentado com base na interpretação do artigo 15 do Marco Civil da Internet:
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
De acordo com o STJ, o propósito da obrigação de armazenamento é exatamente criar um instrumento que consiga rastrear e sancionar eventuais condutas ilícitas perpetradas por usuários da Internet.
Neste contexto, como a legislação prevê a obrigação de os Provedores manterem os registros em sigilo por 6 (seis) meses, esses provedores devem apresentá-los caso assim determine alguma decisão judicial.
Assim, entendeu o STJ por conceder parcialmente à pretensão da Autora para determinar que o provedor de internet, no caso “Google AdWords”, apresentasse os registros referentes ao período de 6 (seis) meses anteriores ao ajuizamento da ação, sedimentando, portanto, mais uma matéria sobre Direito Digital.
Walter Neto
Advogado da Equipe de Contencioso Cível do VLF Advogados
