Disponibilização indevida de dados pessoais não sensíveis gera dano moral presumido

Em dois precedentes recentes, a 3ª Turma do STJ firmou entendimento que representa um avanço na proteção de dados pessoais, estabelecendo importantes contornos ao tratamento de dados realizado por bancos de dados para formação de histórico de crédito, à luz da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e da Lei do Cadastro Positivo (Lei nº 12.414/2011).

Trata-se do julgamento conjunto dos REsps 2.133.261/SP e 2.115.461/SP, de relatoria da ministra Nancy Andrighi, ocorrido em 8/10/2024, com publicação em 10 e 14 do mesmo mês.

A controvérsia consistia em definir a possibilidade de informações cadastrais e de adimplemento serem disponibilizadas a terceiros consulentes por banco de dados, sem o prévio consentimento do cadastrado, ainda que fossem dados pessoais não sensíveis, bem como se essa prática configuraria dano moral.

Este artigo tem por objetivo analisar os precedentes mencionados e, para melhor compreendê-los, será analisado, primeiramente, o cenário normativo no qual a Corte se fundamentou e, na sequência, o entendimento firmado pelo STJ, com destaque para a distinção em relação ao Tema 710 e à Súmula 550; as restrições impostas à disponibilização de dados pelos gestores de bancos de dados; e as consequências da disponibilização indevida de dados, incluindo a configuração de danos morais presumidos.

Do cenário normativo quanto ao tema

Os bancos de dados pessoais e cadastros de consumidores, inclusive com a finalidade de proteção ao crédito, foram inicialmente regulamentados em 1990, nos arts. 43 e 44 do Código de Defesa do Consumidor (CDC).

Por sua vez, a Lei nº 12.414/2011 passou a regulamentar a formação e consulta a bancos de dados com informações de adimplemento para formação de histórico de crédito, sem prejuízo do disposto do CDC, sendo possível extrair duas finalidades primordiais da sua exposição de motivos.

A primeira consiste em permitir que o histórico de crédito seja formado não apenas com informações de inadimplemento, mas também de adimplemento (positivas), de modo que “as pessoas poderão se beneficiar do registro de pagamentos em dia de suas obrigações”, sendo “particularmente benéfica para os bons pagadores de baixa renda, que em geral são percebidos pelo mercado como de alto risco, e, por isso, pagam as mais altas taxas de juros”.

A segunda consiste em definir “regras claras sobre as garantias e os direitos dos cidadãos em relação às suas informações pessoais, de modo a permitir a adequada proteção da privacidade do cidadão e possibilitar o tratamento de dados pessoais sob um patamar de licitude e boa-fé” [1].

Seguindo a tendência mundial sobre o tema [2], sobreveio a Lei nº 13.709/2018 (LGPD) regulamentando aspectos gerais do tratamento de dados pessoais, com menções pontuais sobre bancos de dados e de tratamento de dados com a finalidade de proteção ao crédito.

Ainda, a Emenda Constitucional nº 115/2022 incluiu o direito à proteção dos dados pessoais como direito fundamental, no inciso LXXIX no artigo 5º da Constituição.

Por fim, merece especial destaque as alterações promovidas pela LC nº 166/2019 na Lei nº 12.414/2011, tendo em vista que o entendimento do STJ objeto deste artigo foi construído sobre essa base legal.

Originada do PL nº 212/2017 do Senado, a redação final da LC nº 166/2019 — que também alterou a lei de sigilo bancário (LC nº 105/2001) — foi resultado de amplo debate legislativo e demonstra a preocupação em diferenciar as espécies de “dados” de que se está a tratar, prevendo mecanismos para prevenir eventuais abusos na utilização dos dados pessoais dos cadastrados, diante da flexibilização das regras em favor dos gestores de bancos de dados.

Assim, a nova redação do artigo 4º da Lei nº 12.414/2011 foi clara ao especificar o que o gestor de banco de dados com informações de adimplemento está autorizado a fazer em relação aos dados cadastrados. De um lado, foi mantida a finalidade inicial do PL de facilitar o funcionamento dessa espécie de bancos de dados, permitindo a abertura do cadastro sem consentimento prévio, enquanto, de outro, conferiu-se maior segurança ao tratamento dos dados do cadastrado.

Isso porque o referido dispositivo legal restringiu a divulgação de alguns dados, como as informações cadastrais e de adimplemento armazenadas, permitindo, nessa hipótese, o compartilhamento tão somente “com outros bancos de dados” (inciso III).

Já o inciso IV apenas autorizou que “a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas” seja disponibilizada a terceiros consulentes, sem a exigência de consentimento prévio. Por outro lado, em relação ao histórico de crédito, a lei condicionou a disponibilização à prévia autorização específica, a qual foi regulamentada pelo Decreto nº 9.936/2019.

Essa solução — que representou a opção efetiva do legislador — se originou da aprovação da Emenda nº 1 ao referido PL, apresentada em conjunto com o parecer da Comissão de Constituição, Justiça e Cidadania (CCJ) do Senado.

Na justificativa da emenda, consta a nítida finalidade de assegurar a privacidade dos dados do cadastrado, consignando que “a alteração ora proposta não visa a disponibilizar livremente a informação de adimplemento para o público em geral, mas tão somente permitir a recepção dessas informações pelos bancos de dados”. Ressalvou-se até mesmo que as informações dos cadastrados “permanecem protegidas pela obrigação de sigilo bancário, por parte dos gestores de banco de dados” [3].

Estabelecido o cenário legislativo, passa-se à análise do entendimento firmado pelo STJ.

Da distinção em relação ao Tema 710 e à Súmula 550 do STJ

No julgamento dos REsps 2.133.261/SP e 2.115.461/SP, o STJ, preliminarmente, fez a distinção entre a questão discutida nestes recursos e a apreciada no Tema 710/STJ, que deu origem à Súmula 550 da Corte, tendo em vista que estes últimos tratam apenas da pontuação de crédito (credit scoring), ressalvando expressamente que não se tratava de banco de dados.

Na época, o artigo 4º da Lei nº 12.414/2011 exigia a autorização prévia até mesmo para a abertura de cadastro no banco de dados, instaurando-se a discussão sobre a aplicação ou não dessa exigência em relação à pontuação de crédito.

Prevaleceu o entendimento de que “a utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo” (Súmula 550/STJ).

Por outro lado, nos precedentes em exame, a discussão versou justamente sobre banco de dados e não sobre a pontuação de crédito, evidenciando-se a distinção entre os dois casos.

Da restrição aos dados que podem ser consultados por terceiros nos bancos de dados

O primeiro entendimento relevante fixado nos precedentes em exame partiu, sobretudo, da interpretação dos artigos 7º, I e X, da LGPD e 4º, III e IV, da Lei nº 12.414/2011.

O STJ estabeleceu que o gestor de banco de dados, por realizar tratamento de dados pessoais, se submete à LGPD, de modo que essa atividade somente pode ocorrer nas hipóteses do art. 7º, especialmente, mediante o consentimento do titular dos dados (inciso I) ou quando o tratamento for para a proteção do crédito (inciso X).

Não obstante, em se tratando de banco de dados com informações de inadimplemento, o respectivo gestor deve, também, observar a Lei nº 12.414/2011 que prevê regras específicas sobre essa matéria, inclusive sobre as hipóteses em que se exige o consentimento prévio do cadastrado titular dos dados e sobre quais dados podem ser disponibilizados a terceiros.

Nesse sentido, se reconheceu que o referido gestor “pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD”.

Quanto ao ponto, embora se dispense o consentimento, “é necessária a comunicação ao cadastrado, inclusive sobre os demais agentes de tratamento (terceiros que obtém acesso aos dados), destacando-se que o cadastrado pode exigir o cancelamento a qualquer momento”, como bem ressalvado pela Min. Nancy Andrighi.

Em relação aos dados que podem ser disponibilizados aos terceiros consulentes, o STJ definiu que são apenas “(I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado, conforme o artigo 4º, IV, ‘a’ e ‘b’ da referida lei”.

Em complemento, por meio de uma análise conjunta dos incisos III e IV do artigo 4º da Lei nº 12.414/2011, a Corte extraiu a conclusão de que “as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados”, estabelecendo, portanto, clara restrição ao destinatário dessas informações.

Conforme destacado no inteiro teor do acórdão, os bancos de dados são geridos apenas por instituições autorizadas pelo Banco Central, como a “Serasa S.A., Gestora de Inteligência de Crédito S.A. (Quod), Boa Vista Serviços S.A. e a Confederação Nacional de Dirigentes Lojistas (CNDL — SPC Brasil)”.

O voto da relatora destacou que “essa observação é fundamental para o recurso sob julgamento, em que se discute a disponibilização a terceiros consulentes de dados pessoais que se enquadram como cadastrais (nome, CPF, telefone, endereço físico e eletrônico etc.)”, sendo taxativo ao afirmar que “em observância ao artigo 4º, III, da referida Lei nº 12.414/2011, esses dados somente podem ser compartilhados entre os bancos de dados e não disponibilizados para todos os consulentes”.

Apoiando-se nas lições de Paula Baptista [4], a relatora se fundamentou, ainda, na máxima hermenêutica segundo a qual “a inclusão de um é a exclusão de outro” (inclusio inius alterius est exclusio)”. Assim, como o artigo 4º especificou no inciso IV quais dados podem ser disponibilizados aos terceiros consulentes, concluiu-se que os dados não mencionados não se inserem na autorização. De igual modo, se o inciso III autorizou o compartilhamento de informações cadastrais apenas com outros bancos de dados, entende-se que aqueles não mencionados neste dispositivo estão excluídos dessa autorização legal. Do contrário, haveria uma ampliação indevida do alcance da norma, ignorando a opção do legislador.

Ressalvou-se, por fim, a possibilidade de terceiros consulentes obterem informações cadastrais, mediante prévio e expresso consentimento, com base na regra geral da autonomia da vontade.

Das consequências da disponibilização indevida de dados a terceiros

O STJ decidiu que “a inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular — dentre os quais se inclui o dever de informar — faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade”.

Sobre os danos causados, entendeu a Corte que “a disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados”.

Conforme se extrai do inteiro teor do acórdão, “a configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas por eventuais terceiros de má-fé”.

Ressaltou-se, ainda, que “a referida sensação de insegurança não pode ser considerada como mero dissabor, pois se trata de uma situação praticamente irreparável, sendo quase impossível que o titular tenha o real controle sobre o tratamento de seus dados após serem disponibilizados de forma indevida a terceiros”.

Diante dessas considerações, a 3ª Turma do STJ, por unanimidade, deu provimento aos recursos especiais para condenar as respectivas gestoras dos bancos de dados a “(I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11 mil, a título de indenização por danos morais”.

Conclusão

Vem em boa hora o julgamento dos REsps 2.133.261/SP e 2.115.461/SP pela 3ª Turma do STJ por esclarecer quais dados podem ser compartilhados pelos gestores de banco de dados, fixando os requisitos para cada espécie de tratamento.

Em síntese, concluiu-se que: I) não é necessário consentimento prévio para a abertura de cadastro pelo gestor de banco de dados, mas é imprescindível, ao menos, a comunicação ao cadastrado; II) o gestor de banco de dados somente pode compartilhar informações cadastrais com outros bancos de dados, motivo pelo qual terceiros consulentes somente podem obter tais informações mediante prévio e expresso consentimento; III) o gestor de banco de dados somente pode disponibilizar a terceiros a pontuação de crédito e, desde que autorizado pelo cadastrado, o histórico de crédito; e IV) a disponibilização indevida de dados pessoais não sensíveis pelos bancos de dados para terceiros caracteriza dano moral presumido.

O entendimento adotado pela Corte privilegia não apenas a literalidade da legislação aplicável, como também a finalidade da norma, sobretudo da Lei nº 12.414/2011 e da LC nº 166/2019, servindo de importante orientação para casos futuros.

*Esta coluna é produzida pelos membros e convidados da Rede de Pesquisa de Direito Civil Contemporâneo (USP, Humboldt-Berlim, Coimbra, Lisboa, Porto, Girona, UFMG, UFPR, UFRGS, UFSC, UFPE, UFF, UFC, UFBA e UFMT).

[1] BRASIL, Presidência da República. Exposição de Motivos Interministerial n° 171/2010 – MF/MJ. Brasília: Presidência da República, 2010. Disponível em: <https://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2010/Exm/EMI-171-MF-MJ-MPV-518-10.htm>. Acesso em: 25 fev. 2025.

[2] Em 27 de abril de 2016, foi editado o Regulamento Geral de Proteção de Dados (RGPD), que se trata do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, com início de vigência em 25 de maio de 2018. Disponível em: <https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng>. Acesso em: 25 fev. 2025.

[3] BRASIL. Senado Federal. Parecer (SF) nº 105, 2017. Brasília: Senado Federal, 2017. Disponível em: <https://legis.senado.leg.br/sdleg-getter/documento?dm=7207279&disposition=inline#Emenda1>. Acesso em: 25 fev. 2025.

[4] BAPTISTA, Paula. Compêndio de Hermenêutica Jurídica. In: TOMASETTI JR., Alcides. Clássicos do direito brasileiro: Hermenêutica Jurídica, 1984, p. 74.