O juiz de direito César Otávio Scirea Tesseroli, titular do 1º Juizado Especial Cível da comarca de Joinville (SC), condenou a rede social Instagram, do grupo Meta (ex-Facebook), ao pagamento de R$ 3.000,00 (três mil reais), a título de indenização por danos morais, em favor de uma usuária que foi vítima de hackers.
A parte demandada foi obrigada ainda a realizar a recuperação da conta atrelada ao perfil da demandante, bem como a prestar informações sobre os registros de acessos durante o período de bloqueio, em que o perfil foi indevidamente utilizado por criminosos para aplicar golpes. Os fatos aconteceram no mês de julho do ano passado.
Além de ficar sem acesso, a parte autora não pôde valer-se da ferramenta para recuperação de seus dados, tendo em vista que houve mudança de senhas de segurança.
A mantenedora da conta contestou a pretensão ao alegar que possui sistemas de segurança e que a parte autora, por ter aderido aos termos na contratação dos serviços, assumiu a responsabilidade por sua própria segurança ao utilizá-los. Em suma, atribuiu à usuária a culpa pelo fato.
Ao julgar o caso, o juiz de direito destacou que os documentos trazidos aos autos pela vítima, especialmente o boletim de ocorrência, publicações de aplicações financeiras duvidosas, bem como mesmo utilização das fotos pessoais da parte demandante, não deixam dúvidas de que a conta foi invadida. A repercussão também ficou clara, uma vez que vários conhecidos da parte autora tiveram acesso ao perfil falso.
Na decisão, o juiz de direito César Otávio Scirea Tesseroli ressalta que a falha de segurança na prestação dos serviços possibilitou a violação da intimidade da vítima, situação que caracteriza a ocorrência de dano moral. E cabe à demandada adotar mecanismos que garantam a qualidade e a segurança no fornecimento de seus serviços, pois como qualquer outra empresa que atua no mercado de consumo deve proteger seus usuários de criminosos, que têm cada vez mais aprimorado os golpes aplicados.
“Resta evidente, portanto, a responsabilidade da ré em promover a devolução definitiva do perfil à autora e entregar os dados necessários para identificação do falsário, e ainda indenizar monetariamente por danos morais no valor de R$ 3 mil”, finalizou.
Não há mais possibilidade de recurso, pois já houve o trânsito em julgado.
Autos n. 5030512-49.2022.8.24.0038 - Sentença
(Com informações do Tribunal de Justiça de Santa Catarina - TJSC)
SENTENÇA
Av. Hermann August Lepper, 980 - Bairro: Saguaçu - CEP: 89221-902 - Fone: (47) 3130-8548 - www.tjsc.jus.br - Email: [email protected]
PROCEDIMENTO DO JUIZADO ESPECIAL CÍVEL Nº 5030512-49.2022.8.24.0038/SC
AUTOR: LARISSA CASETT AMORIM
RÉU: FACEBOOK SERVICOS ONLINE DO BRASIL LTDA.
SENTENÇA
Relatório dispensado (art. 38 da Lei 9.099/95).
DECIDO
Julgamento antecipado
O julgamento antecipado do mérito se impõe, já que a matéria é unicamente de direito, sendo desnecessária a realização de qualquer outra modalidade probatória, o que também foi requerido pelas partes na audiência de conciliação.
MÉRITO
Relata a autora que no dia 15/07/2022 não conseguiu mais acessar seu perfil no Instagram, @lariamorim_, e pelo seu e-mail percebeu que os dados da conta foram alterados, solicitado até mesmo a autenticação de 2 fatores - e-mail e telefone, não conseguindo mais recuperar a conta que usa inclusive profissionalmente, como advogada. Não o bastante, referida conta está sendo usada por criminosos que utilizam indevidamente o nome, fotos e seguidores da autora para aplicar golpes. Requer, desta forma, a recuperação da conta e a condenação da ré ao pagamento de R$ 10.000,00 a título de danos morais.
Citada, a parte ré contestou alegando, dentre os seus considerados, que a tutela antecipada foi cumprida, cuja conta está assegurada em "ponto de verificação" de segurança, o que impossibilita o acesso de terceiros. Sobre o mérito, arguiu que a culpa é do usuário pois aderiu aos termos de uso e é sua a responsabilidade pela própria segurança, já que tudo é automatizado com o provedor. "Logo, cristalino que não há nexo de causalidade entre a conduta do Provedor de Aplicações do Instagram e o alegado comprometimento da conta em questão, já que, como visto, apesar da plataforma oferecer todos os mecanismos de segurança que dela se espera, o zelo e cuidado pela senha é de responsabilidade exclusiva de cada usuário, além do necessário cuidado nas demais plataformas que utiliza.". Quanto ao fornecimento de dados disponíveis sobre o invasor, exige determinação judicial, pois trata-se de quebra de sigilo constitucionalmente protegido, bem como o Marco Civil da Internet obriga o armazenamento apenas das informações de IP e logs de acesso. Ademais, a situação vivenciada pela autora não extrapolou o mero dissabor cotidiano, não demonstrado qualquer falha ou ato ilícito praticado pela parte ré. Por fim, necessário o fornecimento de e-mail seguro pela autora para a recuperação da conta, cujo endereço indicado não foi aprovado pela plataforma.
Da inversão do ônus da prova
A relação jurídica estabelecida entre a parte autora e a ré é de consumo, pois presentes os requisitos contidos nos arts. 2.º e 3.º do Código de Defesa do Consumidor.
Assim, tendo em vista que a consumidora é a parte hipossuficiente desta relação, cabível a inversão do ônus da prova, na forma do art. 6º, VIII do Código de Proteção e Defesa do Consumidor, o que foi devidamente reconhecido pela decisão de "Evento 7".
Friso, ainda, que o Superior Tribunal de Justiça assentou que "A exploração comercial da internet sujeita as relações de consumo daí advindas à Lei nº 8.078/90. 2. O fato de o serviço prestado pelo provedor de serviço de internet ser gratuito não desvirtua a relação de consumo, pois o termo mediante remuneração, contido no art. 3º, § 2º, do CDC, deve ser interpretado de forma ampla, de modo a incluir o ganho indireto do fornecedor." (REsp 1308830/RS, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 08/05/2012).
Da recuperação da conta
Embora a parte autora se mostre reticente em fornecer um novo endereço de e-mail, não se verifica maior dificuldade em abrir uma conta pessoal, se a parte ré arguiu que referido endereço não foi considerado seguro pelo provedor de aplicações, especialmente se o e-mail for institucional e não pessoal, como se verifica no presente caso (syspro.inf).
Logo, inexistindo maiores objeções pelas partes, entendo que a questão não importa maiores digressões, pois não há impossibilidade do pedido por parte da ré, até porque é seu o dever de prezar pelos termos de uso de seus usuários, cuja falha será a seguir apurada.
Dos danos morais
Os documentos trazidos aos autos pela requerente, especialmente o boletim de ocorrência, publicações divulgando aplicações financeiras duvidosas e, até mesmo, utilização das fotos pessoais da autora com o nome de "l.manuelaribas", conforme fotos acostadas no "Evento 14", não deixam dúvidas de que a conta foi invadida.
A repercussão também resta clara, uma vez que vários conhecidos da autora tiveram acesso ao perfil falso e neste inclusive foram solicitados valores via pix a título de "negócio garantido", fazendo terceiros acreditarem que a autora havia mudado de nicho e estaria avalizando investimentos financeiros (Evento 14, foto2):
O art. 5º da CF institui que “é livre a manifestação do pensamento, sendo vedado o anonimato” (inc. IV) e que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação” (inc. X).
A responsabilidade objetiva atrai para a requerida o dever de responder pelos danos causados aos consumidores, independente da existência de culpa, exceto na hipótese de demonstração da legalidade em sua conduta e/ou causas excludentes de ilicitude/responsabilidade (fato impeditivo, modificativo ou extintivo do direito do autor), o que não restou comprovado, eis que nenhum indicativo de que a autora expôs indevidamente seu usuário e senha foi produzido.
Na sociedade de risco, as incertezas do negócio são ônus atribuíveis a quem obtém proveito com a atividade, e por adoção da teoria do risco-proveito, a responsabilização é objetiva: ''tratando-se de relação de consumo, dispõe o art. 14, 3º do Código de Defesa do Consumidor que o fornecedor responderá objetivamente pelo defeito na prestação de seus serviços, ficando apenas isento de responsabilidade quando provar que o defeito inexiste ou que o fato decorreu por culpa exclusiva do consumidor ou de terceiro'' (TJSC – Ap. Cível nº 2014.060496-6, Câmara Especial Regional de Chapecó, Relatora Desembargadora HILDEMAR MENEGUZZI DE CARVALHO, j. em 14.09.2015).
A falha de segurança na prestação dos serviços é o nexo causal da violação da intimidade da autora, que teve sua privacidade exposta à ação de malfeitores, que atuaram em seu nome em prejuízo de terceiros. Caracterizada a ocorrência de dano moral por violação aos direitos do consumidor, exigível a respectiva reparação (CF/88, art. 5º, inciso X; CDC, arts. 6º, incisos I, VI; 14, § 1º, incisos I, II; e arts. 186 e 927 do CC).
É incumbência da ré a adoção de mecanismos que garantam a qualidade e a segurança no fornecimento de seus serviços, pois como qualquer outra empresa que atua no mercado de consumo, devem proteger seus usuários dos criminosos, que têm cada vez mais aprimorado os golpes aplicados. A simples alegação de existência de dispositivo de segurança em duas etapas não afasta essa responsabilidade, especialmente porque não há nenhuma ferramenta de aviso ao usuário, ou mesmo restrição de uso ou acesso ao usuário até implementar todos os dispositivos existentes, atribuindo a ele a responsabilidade de buscar as informações na mídia.
Assim, o serviço revela-se defeituoso, conforme prevê o CDC:
Art. 14. [...] § 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais: I - o modo de seu fornecimento; II - o resultado e os riscos que razoavelmente dele se esperam; III - a época em que foi fornecido. (sem grifo no original)
Quem invade o sistema operacional e se apropria de perfil alheio para aplicar golpes, busca o anonimato e, ainda, se são utilizadas imagens ou dados pessoais de terceiro, o bloqueio do falso perfil não pode ficar condicionado a uma ordem judicial, pois não há nisso caso legítimo de liberdade de expressão ou informação, direito que o art. 19 da MCI buscou tutelar. O que há é tão somente a violação do direito fundamental de inviolabilidade da honra e imagem do terceiro atingido, no caso, da autora.
Por outro lado, a requerida não está obrigada a realizar prévia conferência das informações que seus usuários indicam no seu aplicativo/plataforma. Todavia, uma vez comunicada por alguém que outrem se vale de imagens suas para aplicar golpes, cabe-lhe realizar a imediata suspensão, ou deixar o perfil "em ponto de verificação", a fim de que o invasor não consiga mais acessar.
No presente caso, todavia, a única comunicação realizada pela autora foi via plataforma consumidor.gov.br, não se verificando outros contatos, pois no "Evento 1, DOC6, p. 8 até 13" apenas demonstrou que seus dados foram unilateralmente alterados e que não havia até então habilitado a autenticação de dois fatores, o que facilitou a ação dos golpistas. Não há comprovante de que a autora procedeu qualquer tentativa de recuperação e comunicação diretamente com a ré, e, neste ponto, não foi juntado aos autos qual o deslinde da reclamação administrativa via site, que tinha prazo de resposta até o dia 25/07/2022, sendo que a presente tutela deu-se já dia 22/07 e, a citação, em 02/08.
Friso, tratando-se de advogada, a autora deve saber que a formalização de B.O. não implica na automática comunicação da parte contrária, tampouco a propositura da ação, sendo necessária a respectiva citação ou comunicação direta com a parte para que tomasse alguma medida.
Do mesmo modo, não há informações de fatos que se desenrolaram exclusivamente após o dia 25/07, ou seja, data na qual se reputa que a ré teve conhecimento administrativo da questão pela plataforma consumidor.gov, e a partir do dia 02/08, configurando descumprimento da tutela.
Também aponto que a autora não logrou comprovar no "Evento 25" que o perfil ainda estava sendo movimentado, tampouco visualizável, a fim de caracterizar descumprimento da tutela.
Resta evidente, portanto, a responsabilidade da ré em promover a devolução definitiva do perfil à autora e entregar os dados necessários para identificação do falsário, mas não há prova de que tinha conhecimento da fraude e que nada fez neste sentido, até porque era incumbência da autora resguardar a segurança da sua conta, cuja autenticação de dois fatores só foi realizada pelo próprio invasor (Evento 1, DOC6, p. 10), ao atrelar um número de telefone à conta.
Quanto ao valor apontado na exordial, mostra-se exacerbado frente aos pontos acima elencados, razão pela qual necessária a readequação.
Considerando: (1) a situação fática – a autora teve sua conta de Instagram violada, e foi exposta perante os seus contatos, mas não há maiores informações sobre a extensão dos danos, pois não indicados comprovantes de depósito e apurados os danos de terceiros (2) o grau de culpa – a requerida é uma empresa mundial de mídia e rede social virtual, com aplicativo de mensagens e fotos, o qual deveria ter um sistema reforçado de segurança, haja vista a quantidade de informações pessoais a que possui acesso; já a autora era usuária com cerca de 1.638 seguidores, que não atrelou seu número de celular à conta do Instagram a fim de reforçar a segurança; (3) a intensidade do sofrimento – não foi demonstrado quantas pessoas foram contatadas pelos fraudadores, nem mesmo que teve sua vida profissional atingida, eis que o intervalo entre a invasão da conta e a citação da ré foi de apenas 17 dias; (4) levando em consideração a capacidade financeira da ré, que é alta e vantajosa, entendo que a fixação do quantum indenizatório em R$3.000,00 mostra-se condizente com os danos reportados, já que a autora não se eximiu de detalhar os danos experimentados e que a tutela não foi cumprida, pois nenhuma foto do perfil ativo trouxe com a réplica.
A jurisprudência aponta para o mesmo norte: "Na fixação do valor dos danos morais deve o julgador, na falta de critérios objetivos, estabelecer o quantum indenizatório com prudência, de maneira que sejam atendidas as peculiaridades e a repercussão econômica da reparação, devendo esta guardar proporcionalidade com o grau de culpa e o gravame sofrido." (TJSC, Apelação n. 0000584-13.2010.8.24.0054, de Rio do Sul, rel. Des. Luiz Cézar Medeiros, Quinta Câmara de Direito Civil, j. 27-06-2016).
Da obrigação de fornecimento de dados do invasor
O Marco Civil da Internet (Lei n. 12.965/2014) prevê, em seu artigo 15, que “o provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento”. E comprovado nos autos que a autora reportou os fatos para a ré em abril de 2022, com a citação antes do decurso dos 6 meses, incide no art. 7, inc. X da lei em comento, uma vez que esta norma inclusive ressalva “as hipóteses de guarda obrigatória de registros previstas nesta Lei”.
Logo, incumbe à ré entregar os dados necessários para identificação do falsário, a fim de possibilitar a sua identificação, para que o autor tome as medidas cabíveis. Vedada a manutenção "de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular", inclusive porque não é necessário fornecimento de maiores dados para uma conta no Facebook e Instagram, como CPF, RG, ou comprovante de residência, não há como exigir que a ré forneça informações além das previstas no art. 5º, VIII, da Lei n. 12.965/2014, pois o papel investigativo deverá partir da autora e das autoridades persecutórias, não da ré.
Posto isso,
JULGO PARCIALMENTE PROCEDENTES os pedidos propostos porLARISSA CASETT AMORIMem face de FACEBOOK SERVICOS ONLINE DO BRASIL LTDA., o que faço com fundamento no art. 487, inciso I, do Código de Processo Civil, para CONFIRMAR a tutela antecipada concedida no Evento 7; CONDENAR a ré à obrigação de recuperação da conta atrelada ao perfil "@lariamorim_" encaminhando as coordenadas ao e-mail a ser informado pela autora no prazo de 72 horas, cujo prazo para a ré deverá ser aberto em seguida, conforme inclusive já estabelecido na tutela antecipada; CONDENAR a ré à obrigação de fornecer os registros de acesso a aplicações de internet do usuário que acessou a referida conta a partir do dia 15 de julho de 2022, no prazo de 15 (quinze) dias, sob pena de incidência das medidas previstas no art. 536 e seguintes do CPC, e CONDENAR o réu ao pagamento de R$ 3.000,00 (três mil reais) a título de indenização por danos morais, com correção monetária pelo INPC, a partir do arbitramento (Súmula 362 do STJ), e com juros legais de mora de 1% ao mês, contados do evento danoso (Súmula 54 do STJ).
INTIME-SE a AUTORA para que, em 72 horas, forneça novo endereço de e-mail pessoal, e não profissional, para que a ré possa dar seguimento à recuperação do perfil.
Sem custas ou honorários (Lei n. 9.099/95, art. 55).
Publique-se.
Registre-se.
Intimem-se.
Documento eletrônico assinado por CESAR OTAVIO SCIREA TESSEROLI, Juiz de Direito, na forma do artigo 1º, inciso III, da Lei 11.419, de 19 de dezembro de 2006. A conferência da autenticidade do documento está disponível no endereço eletrônico https://eproc1g.tjsc.jus.br/eproc/externo_controlador.php?acao=consulta_autenticidade_documentos, mediante o preenchimento do código verificador 310034772043v28 e do código CRC d5b9598c.
Informações adicionais da assinatura:
Signatário (a): CESAR OTAVIO SCIREA TESSEROLI
Data e Hora: 19/10/2022, às 18:27:40
