Brasília, 08 de outubro de 2024 – Em uma decisão unânime, a Terceira Turma do Superior Tribunal de Justiça (STJ) deu provimento parcial a um Recurso Especial (REsp 2.133.261/SP) interposto por Isalete Helena Silva contra a Boa Vista Serviços S.A., condenando a empresa a pagar R$ 11.000,00 por danos morais e a se abster de compartilhar indevidamente dados cadastrais e de adimplemento sem prévia autorização.
A controvérsia central do caso girava em torno da possibilidade de gestores de bancos de dados de crédito, como a Boa Vista, disponibilizarem informações cadastrais (dados pessoais não sensíveis) de seus clientes a terceiros consultantes sem comunicação prévia e consentimento do titular, e se tal prática configuraria dano moral.
A Ministra Relatora Nancy Andrighi destacou que a Lei nº 12.414/2011 (Lei do Cadastro Positivo) e a Lei Geral de Proteção de Dados (LGPD) regulam o tratamento de dados pessoais no contexto da proteção ao crédito. Embora a LGPD não exija consentimento para o tratamento de dados pessoais não sensíveis para fins de proteção ao crédito, a Lei nº 12.414/2011 impõe restrições claras sobre a disponibilização dessas informações a terceiros.
Distinção de Precedentes e Proteção de Dados Pessoais
O acórdão ressaltou a distinção entre a prática de credit scoring, abordada no Tema 710 e na Súmula 550 do STJ (que dispensa o consentimento para a nota ou pontuação de crédito), e a gestão e disponibilização de bancos de dados pessoais. No caso em questão, tratava-se da comercialização de dados pessoais da recorrente, incluindo CPF, nome, endereço e contatos telefônicos, sem sua autorização.
A decisão enfatizou que, enquanto o score de crédito pode ser disponibilizado sem consentimento prévio e o histórico de crédito mediante autorização específica, informações cadastrais e de adimplemento só podem ser compartilhadas com outros bancos de dados autorizados, e não diretamente com terceiros consultantes.
Dano Moral Presumido e Responsabilidade Objetiva
A inobservância desses deveres legais, especialmente a disponibilização indevida de dados pessoais, caracteriza dano moral presumido (in re ipsa) ao titular dos dados, dada a sensação de insegurança gerada. A responsabilidade do gestor do banco de dados, nesse cenário, é objetiva.
No caso específico, a Boa Vista disponibilizou indevidamente informações cadastrais e de adimplemento da recorrente a terceiros consultantes, que, segundo a lei, teriam acesso apenas ao score de crédito e, com autorização prévia, ao histórico de crédito.
Com esta decisão, o STJ reforça a proteção aos dados pessoais dos consumidores, limitando a atuação dos gestores de bancos de dados e reiterando a necessidade de consentimento e comunicação em diversas situações de compartilhamento de informações.
