A 2ª Seção do Superior Tribunal de Justiça decidiu analisar, sob o rito dos recursos repetitivos, a controvérsia de alta relevância prática e teórica envolvendo a disponibilização e a comercialização, por gestores de bancos de dados de proteção ao crédito, de dados pessoais não sensíveis a terceiros, sem prévia comunicação ou consentimento do titular. A discussão também envolve a eventual configuração de dano moral presumido.
A afetação ocorreu nos recursos especiais 2.226.946/SP e 2.226.097/SP, ambos de relatoria do ministro Raul Araújo. A decisão foi unânime e suspendeu processos correlatos na 2ª instância e no STJ.
A controvérsia ficou delimitada da seguinte forma:
Definir se: (i) é lícita a disponibilização ou comercialização a terceiros de dados pessoais não sensíveis, por gestor de banco de dados de entidades de proteção ao crédito, sem prévia comunicação ou consentimento do cadastrado; (ii) há configuração de dano moral in re ipsa na hipótese de ilicitude da conduta.
A afetação foi formalizada com base nos artigos 927 e 1.036 do CPC com o objetivo de produzir precedente concentrado e vinculante, apto a uniformizar o entendimento entre os tribunais e reduzir a assimetria decisória. A decisão também suspendeu todos os recursos sobre o mesmo tema que aguardavam julgamento nos tribunais de segunda instância e no STJ.
O que diz a lei?
O caso envolve um conflito entre três normas importantes: a Lei do Cadastro Positivo, a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Código de Defesa do Consumidor. A discussão gira em torno dos limites para o tratamento, a comunicação e o compartilhamento de dados dos consumidores.
De um lado, a lei permite o tratamento de dados para proteger o crédito, mesmo sem o consentimento do consumidor para criar seu cadastro. De outro, a legislação impõe regras sobre quais informações podem ser compartilhadas e como isso deve ser feito.
Em resumo, a Lei do Cadastro Positivo autoriza que um bureau de crédito crie um cadastro com o histórico de pagamentos de uma pessoa sem precisar de autorização. No entanto, a lei impõe limites, proibindo o compartilhamento de informações com o mercado em geral, a divulgação do score de crédito sem consentimento e o acesso ao histórico de crédito completo sem uma permissão específica do consumidor.
A LGPD, por sua vez, também autoriza o uso de dados para análise de crédito, mas reforça os deveres de transparência, informação e segurança. O descumprimento dessas regras pode gerar o dever de indenizar.
Decisões anteriores sobre o tema
O ministro relator destacou que as turmas de direito privado do STJ concordam que é ilegal compartilhar dados de consumidores sem autorização, mas não há um consenso se essa prática gera, por si só, o direito a indenização por dano moral.
A Terceira Turma do STJ, por exemplo, entende que o dano moral é presumido. Ou seja, a venda ilegal de dados, por si só, já gera o direito à indenização, sem que o consumidor precise provar um prejuízo real.
Já a Quarta Turma entende que não há dano moral automático. O consumidor precisa demonstrar que a venda de seus dados causou um abalo real à sua honra ou imagem.
Outras decisões citadas reforçam o dever de informar o consumidor e a responsabilidade das empresas pelo tratamento irregular de dados, reconhecendo o dano moral em casos de falta de consentimento e comunicação.
Diferença em relação ao Tema 710/STJ e à Súmula 550/STJ
O acórdão de afetação enfatiza que a jurisprudência sobre credit scoring – tratado no Tema 710/STJ e na Súmula 550/STJ – não se confunde com a comercialização de dados a terceiros consulentes por gestores de bancos de dados.
Isso porque o credit scoring tem regras próprias e não é considerado um banco de dados. Já a comercialização de dados cadastrais é regulada pela Lei do Cadastro Positivo, que estabelece os limites para o compartilhamento de informações.
Essa distinção é decisiva para esclarecer a questão, pois define quando é lícito tratar os dados sem consentimento para proteção ao crédito, diferenciando essas hipóteses da prática de comercialização de dados para prospecção, enriquecimento de cadastros ou finalidade mercadológica, na qual a exigência de consentimento volta a ser regra.
Impactos práticos e setoriais
Para as empresas, a futura tese repetitiva tende a consolidar, com efeito vinculante, os limites objetivos do tratamento de dados para proteção ao crédito, reforçando que a abertura do cadastro pode ser feita sem consentimento, desde que com comunicação e transparência.
Para os consumidores, o precedente repetitivo poderá definir expressamente o padrão probatório necessário para reconhecimento de dano moral, apontando se a violação aos deveres de tratamento e informação, por si, presume o abalo ou se demanda demonstração concreta de prejuízo extrapatrimonial.
A depender da tese, haverá impacto direto no volume de demandas individuais e coletivas, nos parâmetros de cálculo de indenizações e nas estratégias de composição.
A uniformização deverá ainda reduzir a litigiosidade repetitiva e aumentar a previsibilidade para o setor financeiro e de proteção ao crédito. Também tornará mais clara a articulação entre a LGPD e a Lei 12.414/11, especialmente em relação à finalidade de proteção do crédito e às hipóteses de tratamento sem consentimento – sempre observadas as salvaguardas de transparência, informação e minimização.
Próximos passos e pontos de atenção
Com a afetação e a suspensão de processos, aguarda-se a formação de tese vinculante pela 2ª Seção, após manifestação do Ministério Público Federal e instrução adequada.
Em síntese, a afetação aponta para um marco decisório de grande repercussão, capaz de alinhar práticas de mercado aos limites normativos já delineados pela Lei 12.414/11 e pela LGPD, além de estabilizar a jurisprudência sobre dano moral em casos de compartilhamento indevido de dados pessoais não sensíveis no ecossistema de proteção ao crédito.
