TESE
Impossibilidade de comercialização de dados pessoais do consumidor por meio da abertura de cadastro positivo de crédito sem prévia comunicação. Os recursos especiais foram providos com base no entendimento da relatora, ministra Nancy Andrighi, de que as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, geridos por instituições devidamente autorizadas para tanto, conforme previsto em lei e regulamento. Desse modo, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, ele deve obter o prévio e expresso consentimento do titular. Em relação à abertura do cadastro pelo gestor do banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado. O compartilhamento indevido dessas informações com terceiros caracteriza dano moral presumido.
RECORRENTE: AIRA ALVES PEREIRA TAVARES FREITAS
RECORRIDO: SERASA S.A.
EMENTA: “CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/5/2023 e concluso ao gabinete em 19/12/2023. 2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado. 3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática “não constitui banco de dados”, o qual é regulamentado pela Lei nº 12.414/2011, que “disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”. 4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD. 5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, “a” e “b” da referida lei. 6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento. 7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes. 8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados. 9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente. 10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada. 11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados – como as informações cadastrais – deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD. 12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, do histórico de crédito. 13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais."
RECORRENTE: ISALETE HELENA SILVA
RECORRIDO: BOA VISTA SERVICOS S.A.
EMENTA: “CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024. 2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado. 3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática “não constitui banco de dados”, o qual é regulamentado pela Lei nº 12.414/2011, que “disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”. 4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD. 5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, “a” e “b” da referida lei. 6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento. 7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes. 8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados. 9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente. 10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada. 11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados – como as informações cadastrais – deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD. 12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito. 13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (BOA VISTA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização.”