"A disponibilização de dados pessoais, por si só, não configura dano moral presumido, sendo imprescindível a comprovação de que a conduta do gestor de banco de dados resultou em abalo significativo aos direitos de personalidade do titular." (REsp 2.221.650-SP)

 

Processo

REsp 2.221.650-SP, Rel. Ministra Maria Isabel Gallotti, Quarta Turma, por unanimidade, julgado em 4/11/2025.

Ramo do Direito

DIREITO CIVIL

Tema

Disponibilização de dados pessoais não sensíveis. Lei Geral de Proteção de Dados (LGPD). Lei do Cadastro Positivo. Ausência de consentimento prévio. Ausência de dano moral presumido (in re ipsa).

Destaque

A disponibilização de dados pessoais, por si só, não configura dano moral presumido, sendo imprescindível a comprovação de que a conduta do gestor de banco de dados resultou em abalo significativo aos direitos de personalidade do titular.

Informações do Inteiro Teor

Cinge-se a controvérsia a saber se a simples disponibilização de dados pessoais de consumidores, sem sua prévia comunicação e consentimento, a consulentes que desejam utilizar esse banco de dados, dá ensejo à indenização por danos morais.

A Lei Geral de Proteção de Dados (Lei n. 13.709/2018) remete à legislação específica a delimitação das situações em que o tratamento de dados pessoais se enquadra em atividades voltadas à proteção do crédito. Nesse sentido, a Lei do Cadastro Positivo (Lei n. 12.414/2011), que trata especificamente do sistema de credit scoring, não confere autorização para que os gestores compartilhem livremente dados pessoais de terceiros com eventuais consulentes.

A Lei do Cadastro Positivo prescreve expressamente que o gestor está autorizado a compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados, bem como disponibilizar a consulentes apenas a nota de crédito, não contemplando a possibilidade de repasse a terceiros de outros dados ou histórico de crédito sem a anuência expressa do titular, o que reforça o caráter restritivo e protetivo da norma.

Conclui-se, então, que, embora os gestores de bancos de dados para proteção de crédito possam realizar o tratamento de dados pessoais de terceiros e, inclusive, abrir cadastro sem prévio consentimento do cadastrado, em regra, não estão autorizados a disponibilizar tais dados a terceiros sem o consentimento prévio de seus titulares.

Contudo, a disponibilização de dados pessoais de terceiros, por si só, ainda que não autorizada, não gera direito à indenização por dano moral. Com efeito, diferentemente dos dados sensíveis, cuja proteção é reforçada em razão de seu potencial discriminatório, os dados pessoais correspondem às informações ordinárias, frequentemente fornecidas em cadastros diversos, inclusive em plataformas digitais de uso cotidiano, não estando, via de regra, submetidos a regime jurídico de sigilo.

Assim, para que se configure dano moral nesses casos, é necessário que o titular comprove efetivamente que os seus dados pessoais foram ilegalmente disponibilizados, compartilhados ou comercializados pelos gestores de bancos de dados para proteção de crédito e que esse fato resultou em abalo significativo aos seus direitos de personalidade. Nesse sentido, a Segunda Turma do STJ também já decidiu no AREsp 2.130.619/SP, julgado em 7/3/2023, que o vazamento de informações pessoais de terceiros, por si só, não gera danos morais presumidos (in re ipsa).