REsp 2.133.261-SP, Rel. Ministra Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 8/10/2024, DJe 10/10/2024.
DIREITO CIVIL
Credit scoring. Banco de dados. Lei n. 12.414/2011. Tratamento e abertura do cadastro sem consentimento. Possibilidade. Comunicação. Necessidade. Disponibilização indevida dos dados. Dano moral presumido. Responsabilidade objetiva.
O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados deve responder objetivamente pelos danos morais causados.
O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos artigos 4º, I, da Lei n. 12.414/2011 e 7º, X, da Lei Geral de Proteção de Dados Pessoais - LGPD.
Todavia, o gestor de banco de dados regido pela Lei n. 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito (pontuação de crédito), sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto n. 9.936/2019), conforme o art. 4º, IV, a e b da referida lei.
Por outro lado, em observância o inciso III do art. 4º da Lei n. 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.
Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.
Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei n. 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.
A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade.
A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.
Dessa forma, o gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos artigos 16 da Lei n. 12.414/2011 e 42 e 43, II, da LGPD.
Nenhum comentário:
Postar um comentário