STJ – RECURSO ESPECIAL Nº 2206925 - SP (2025/0116474-8)
sonalidade. Precedente. 10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada. 11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados – como as informações cadastrais – deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.[...] (REsp 2.133.261/SP, Terceira Turma, DJe .10/10/202). Desse modo, o recurso merece ser provido, e deve o pedido de obrigação de não fazer ser julgado parcialmente procedente para que a ré se abstenha de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados, aos quais é permitido tal compartilhamento. Ainda, diante da disponibilização indevida dos dados da autora, merece ser julgado procedente o pedido indenizatório, para condenar a ré a pagar a autora o valor de R$ 11.000,00 (onze mil reais), a título de danos morais. Ante o exposto, dou provimento em parte ao recurso especial, nos termos da fundamentação. Publique-se. Intimem-se. Brasília, 04 de novembro de 2025. Ministro Humberto Martins Relator
Decisão completa:
RECURSO ESPECIAL Nº 2206925 - SP (2025/0116474-8)
RELATOR : MINISTRO HUMBERTO MARTINS
RECORRENTE : FABIANA MARIA DE MELO
ADVOGADO : RAFAEL DE JESUS MOREIRA - SP400764
RECORRIDO : SERASA S.A
ADVOGADOS : JORGE ANDRE RITZMANN DE OLIVEIRA - SC011985
LUCAS DE MELLO RIBEIRO - SP205306
LARISSA SENTO SÉ ROSSI - BA016330
JORGE ANDRE RITZMANN DE OLIVEIRA - SP457356
LARISSA SENTO SÉ ROSSI - SP505148
DECISÃO
Cuida-se de recurso especial interposto por FABIANA MARIA DE MELO,
com fundamento no artigo 105, inciso III, alíneas "a" e "c", da Constituição Federal, contra
acórdão proferido pelo TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO, que
julgou demanda relativa a suposta comercialização de seus dados.
O julgado negou provimento ao recurso de apelação da recorrente nos termos
da seguinte ementa (fl. 620):
Ação de obrigação de fazer c.c. indenização por danos
morais. Pretensão de exclusão de dados pessoais mantidos
em cadastro de proteção ao crédito. Dados que não são
considerados sensíveis, sigilosos ou excessivos, cujo
tratamento é expressamente autorizado, dispensada a
comunicação prévia ao consumidor. Exegese dos arts. 7º, X,
e 11, II, 'g', da Lei nº 13.709/2018 LGPD. Inocorrência de
ofensa à privacidade, à intimidade, ou ao patrimônio imaterial
da parte requerente. Precedentes desta E. Corte.
Improcedência mantida. Recurso improvido.
Embargos de declaração rejeitados (fl. 637).
A parte recorrente alega violação dos arts. 5º, inciso X, da Constituição
Federal; 21 do Código Civil; 7º, incisos I e X, 8º, e seus parágrafos, e 9º da
Lei n. 13.709/2018 (Lei Geral de Proteção de Dados); 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso
VII, da Lei n. 12.414/2011; e 43, §§ 1º e 2º, do Código de Defesa do Consumidor,
sustentando a ilicitude da manutenção e comercialização de dados pessoais de
consumidores em plataformas de proteção ao crédito sem consentimento e sem
comunicação prévia, notadamente quando vinculados a débitos prescritos, com violação à
privacidade e aos direitos da personalidade (fls. 645-649, 654-655).
Apresentadas as contrarrazões (fls.670-682), sobreveio o juízo de
admissibilidade positivo da instância de origem (fls. 721-722).
É, no essencial, o relatório.
O recurso especial tem origem em demanda proposta por FABIANA MARIA
DE MELO MACHADO contra SERASA S.A., na qual se discute a divulgação e
comercialização de dados pessoais do consumidor sem consentimento e sem comunicação
prévia, com pedido de exclusão dos dados e indenização por danos morais (fls. 649-655).
O propósito recursal consiste em definir se (i) os produtos oferecidos pela
recorrida por meio do tratamento de informações cadastrais para finalidade de proteção do
crédito configuram violação da Lei Geral de Proteção de Dados Pessoais e do Código de
Defesa do Consumidor; (ii) a ausência de consentimento prévio e comunicação ao
consumidor para o uso de seus dados caracteriza ato ilícito, ensejando o direito à
indenização por danos morais in re ipsa.
As instâncias ordinárias julgaram o pedido improcedente.
Registre-se que a hipótese não se confunde com o uso e fornecimento de
dados acerca do comportamento de crédito do consumidor, que englobam a dívidas objeto
de inadimplemento e a formação de seu histórico de crédito e adimplemento, o chamado
credit scoring, matéria analisada no Recurso Especial nº 1.419.697/RS - (Relator Ministro
Paulo de Tarso Sanseverino, Segunda Seção, julgado em 12/11/2014, DJe de 17/11/2014).
Da mesma forma, também não versa sobre o dever do fornecedor de
comunicar ao consumidor sobre a abertura de cadastro, positivo ou restritivo, conforme os
arts. 42, §§ 2º e 3º, do Código de Defesa do Consumidor e 5º, V, da Lei nº 12.414/2011 -
Lei do Cadastro Positivo.
Destacado o traço diferenciador da questão aqui tratada, é preciso esclarecer,
também, a natureza dos dados pessoais objeto de tratamento pela recorrida e a finalidade
do serviço oferecido.
Como reconhece o próprio recorrente, os dados pessoais oferecidos pela
recorrida são estimativa de renda mensal, endereço, telefones e outras informações
pessoais, os quais não constituem dados sensíveis, conforme os arts. 5º, II, da
Lei nº 13.709/2018 - LGPD e 3º, § 3º, II, da Lei nº 12.414/2011.
A propósito, parte dessas informações são públicas, prestadas pelos próprios
consumidores, ou obtidas por convênios com entes públicos distintos, como Poder
Judiciário, Banco Central do Brasil e por instituições financeiras associadas.
A finalidade do serviço oferecido, por sua vez, está relacionada à proteção do
crédito, porque o SCPC, por meio de sua base de dados, congrega informações cadastrais,
positivas e negativas sobre consumidores da maior parte do território nacional e tem como
objetivo central permitir que empresas e consumidores possam contar, nas transações
comerciais das quais participam cotidianamente, com a maior segurança possível.
A proteção do crédito, como é sabido, não implica exclusivamente a análise
do risco de crédito, mas se mostra relevante também na obtenção de informações
destinadas à identificação do consumidor e aferição de sua real identidade, evitando-se, por
exemplo, confusão entre pessoas homônimas e mesmo como um meio de evitar fraudes e
para prevenção e mitigação de riscos.
O art. 43, § 4º, do Código de Defesa do Consumidor reconhece a importância
desses serviços ao destacar que "os bancos de dados e cadastros relativos a consumidores,
os serviços de proteção ao crédito e congêneres são considerados entidades de caráter
público".
Assim, tanto sob a ótica da natureza dos dados pessoais objeto de tratamento
pela recorrida quanto da finalidade do serviço oferecido pelo SCPC, por sua gestora ora
recorrida, não há violação do art. 43 do Código de Defesa do Consumidor ou da
Lei nº 12.414/2011, destacando-se que essas normas não proíbem os arquivos de consumo
(cadastros ou bancos de dados), mas apenas estabelecem sua regulamentação.
O ponto trazido neste recurso, é definir a necessidade do consentimento pelo
titular para todas as hipóteses em que autorizado o tratamento de dados pessoais. O art. 7º
da Lei nº 13.709/2018 - LGPD, dispõe que:
"Art. 7º O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória
pelo controlador;
III - pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de políticas
públicas previstas em leis e regulamentos ou respaldadas em
contratos, convênios ou instrumentos congêneres, observadas
as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados
pessoais;
V - quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual
seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial,
administrativo ou arbitral, esse último nos termos da Lei nº
9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; (Redação dada pela Lei nº
13.853, de 2019);
IX - quando necessário para atender aos interesses legítimos
do controlador ou de terceiro, exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto
na legislação pertinente.
A conjunção coordenativa alternativa "ou" indica que o tratamento de dados
poderá se dar em uma das dez hipóteses elencadas nos incisos do referido artigo, dentre as
quais consta o fornecimento de consentimento pelo titular (inciso I). Para os casos
previstos nos incisos II a X, portanto, fica autorizado o tratamento de dados, mesmo sem a
colheita do consentimento.
A Lei Geral de Proteção de Dados Pessoais não se afasta de sua própria
razão de existir, qual seja, a necessidade de proteção dos dados pessoais. Ao contrário,
reconhece a função e os limites do consentimento, para que a autodeterminação
informacional se opere de forma consentânea com a realidade, em contextos nos quais o
consentimento não figura como base legal para o tratamento dos dados pessoais.
No entanto, como decidido pela Terceira Turma desta Corte, no julgamento
dos REsp 2.115.461/SP e REsp 2.133.261/SP, o gestor de banco de dados regido pela
Lei nº 12.414/2011, não pode disponibilizar para terceiros consulentes as informações
cadastrais e de adimplemento da pessoa cadastrada e a disponibilização indevida desses
dados gera dano moral indenizável e a pretensão de fazer cessar a ofensa aos direitos da
personalidade.
Confira-se:
[...] 5. Todavia, o gestor de banco de dados regido pela
Lei nº 12.414/2011 somente pode disponibilizar a terceiros
consulentes (I) o score de crédito, sendo desnecessário o
consentimento prévio; e (II) o histórico de crédito, mediante
prévia autorização específica do cadastrado (nos moldes do
Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, “a”
e “b” da referida lei.
6. Por outro lado, em observância o inciso III do art. 4º da
Lei nº 12.414/2011, as informações cadastrais e de
adimplemento armazenadas somente podem ser
compartilhadas com outros bancos de dados, que são geridos
por instituições devidamente autorizadas para tanto na forma
da lei e regulamento.
7. Portanto, se um terceiro consulente tem interesse em obter
as informações cadastrais do cadastrado, ainda que sejam
dados pessoais não sensíveis, deve ele obter o prévio e
expresso consentimento do titular, com base na autonomia da
vontade, pois não há autorização legal para que o gestor de
banco de dados disponibilize tais dados aos consulentes.
8. Em relação à abertura do cadastro pelo gestor de banco de
dados, embora não seja exigido o consentimento prévio, é
necessária a comunicação ao cadastrado, inclusive quanto aos
demais agentes de tratamento, podendo exigir o cancelamento
do seu cadastro a qualquer momento, nos termos do art. 4º, I
e § 4º, da Lei nº 12.414/2011, além de exercer os demais
direitos previstos em lei quanto aos seus dados.
9. A inobservância dos deveres associados ao tratamento (que
inclui a coleta, o armazenamento e a transferência a terceiros)
dos dados do titular – dentre os quais se inclui o dever de
informar – faz nascer para este a pretensão de indenização
pelos danos causados e a de fazer cessar, imediatamente, a
ofensa aos direitos da personalidade. Precedente.
10. A disponibilização indevida de dados pessoais pelos
bancos de dados para terceiros caracteriza dano moral
presumido (in re ipsa) ao cadastrado titular dos dados, diante,
sobretudo, da forte sensação de insegurança por ele
experimentada.
11. O gestor de banco de dados que disponibiliza para
terceiros consulentes o acesso aos dados do cadastrado que
somente poderiam ser compartilhados entre bancos de dados
– como as informações cadastrais – deve responder
objetivamente pelos danos morais causados ao cadastrado,
em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43,
II, da LGPD.[...]
(REsp 2.133.261/SP, Terceira Turma, DJe .10/10/202).
Desse modo, o recurso merece ser provido, e deve o pedido de obrigação de
não fazer ser julgado parcialmente procedente para que a ré se abstenha de disponibilizar,
de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a
sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados,
aos quais é permitido tal compartilhamento.
Ainda, diante da disponibilização indevida dos dados da autora, merece ser
julgado procedente o pedido indenizatório, para condenar a ré a pagar a autora o valor de
R$ 11.000,00 (onze mil reais), a título de danos morais.
Ante o exposto, dou provimento em parte ao recurso especial, nos termos da
fundamentação.
Publique-se. Intimem-se.
Brasília, 04 de novembro de 2025.
Ministro Humberto Martins
Relator