Este tipo de golpe cresceu nos últimos anos e consiste na criação de uma conta de WhatsApp com dados iguais aos de uma pessoa física (nome e foto). No contato com parentes e amigos, os estelionatários solicitam dinheiro e normalmente criam uma história para sustentar o pedido de transferência. Dizem, por exemplo, que aquele é o novo número da pessoa pelo qual estão se passando; que ela perdeu o celular ou que seu aparelho está com defeito e que, por causa disso, teve que adquirir outro e criar nova conta do WhatsApp. Concluem dizendo que perderam o acesso ao aplicativo do banco e, então, pedem ao parente ou amigo que lhe faça um empréstimo.
Para que os golpistas tenham acesso às informações necessárias para a fraude não é preciso uma invasão à conta de WhatsApp dos envolvidos. Os dados e informações utilizados (foto, nome e contato dos parentes) normalmente são disponibilizados pelos próprios titulares em redes sociais ou encontrados na internet por causa dos diversos vazamentos ocorridos no país nos últimos anos. Não há, portanto, uma falha de segurança da empresa responsável pelo aplicativo de mensagens.
Mas com que fundamento, então, a juíza do caso determinou que o Facebook pagasse às vítimas todo o valor transferido aos golpistas?
No direito, a responsabilidade civil é classificada em duas categorias: responsabilidade civil subjetiva e responsabilidade civil objetiva. Na primeira, a vítima, para ser ressarcida, precisa comprovar não apenas a ocorrência daquele dano, mas a culpa da pessoa que o causou. O exemplo clássico é a colisão de dois veículos conduzidos por particulares. Para se definir o responsável, é necessário analisar se algum deles foi negligente ou imprudente em sua conduta - se um dos envolvidos, por exemplo, não observou uma placa de “Pare”.
No caso da responsabilidade objetiva, basta que a vítima comprove a ocorrência de um dano e um nexo causal entre ele e a conduta do suposto responsável. É o que ocorre, por exemplo, quando um consumidor sofre um acidente de consumo. Para que ele receba uma indenização, a lei não exige a prova de que o fornecedor daquele produto deixou de realizar todos os testes de segurança. Ele (fornecedor) deve assumir os riscos de sua atividade.
Para condenar o Facebook a indenizar as vítimas do golpe do Whatsapp, a juíza de Brasília baseou-se na responsabilidade objetiva. Entendeu que a prova de acesso dos golpistas à conta das vítimas não era necessária e que uma empresa que trata de dados pessoais deve assumir os riscos desta atividade.
Ela citou, também, um artigo da Lei Geral de Proteção de Dados (LGPD) que trata da responsabilidade dos controladores por danos sofridos pelos titulares de dados. Trata-se do artigo 42, que prevê que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (no texto publicado no dia 11/11/21, falamos sobre a definição de controlador e operador de dados).
Como se vê, a norma deste artigo não deixa claro se a responsabilidade dos agentes (controlador e operador) é objetiva ou subjetiva. E este é um dos pontos da lei que vem gerando debates já há algum tempo. Até então, os tribunais têm entendido que a responsabilidade é subjetiva.
Algumas decisões são baseadas em outros artigos da própria LGPD (art. 46, por exemplo) que exigem daqueles que controlam dados a adoção de medidas de segurança adequadas para que incidentes não ocorram. Caso aconteçam, deverá ser feita uma investigação sobre o cumprimento destas medidas, o que significaria, portanto, uma análise da culpa do agente pelo ocorrido.
A decisão proferida pela juíza de Brasília ganhou repercussão, especialmente por ser contrária a essa tendência da jurisprudência. Ela ainda pode ser revista pelas instâncias superiores, mas foi importante para fomentar a discussão sobre o tema.
O autor desta coluna é Advogado, Especialista e Mestre em Direito Empresarial.
Sugestões e dúvidas podem ser enviadas para o email lfelipe@ribeirorodrigues.adv.br