A Quarta Turma do Superior Tribunal de Justiça reafirmou, em julgamento realizado neste mês de novembro, que a disponibilização de dados pessoais não sensíveis por gestores de bancos de dados, sem consentimento prévio do titular, não configura dano moral in re ipsa. Para que haja reparação, é indispensável a demonstração de efetiva divulgação indevida e de abalo concreto aos direitos da personalidade.

O entendimento foi firmado no REsp 2.221.650/SP, sob relatoria da ministra Maria Isabel Gallotti, que conduziu o colegiado a negar provimento ao recurso de consumidor que alegava ter tido informações pessoais comercializadas sem sua autorização pela Boa Vista Serviços S.A.

LGPD e Lei do Cadastro Positivo: limites distintos para tratamento e para compartilhamento

O STJ destacou que a Lei Geral de Proteção de Dados (Lei 13.709/2018) autoriza o tratamento de dados pessoais sem consentimento em determinadas hipóteses, entre elas a atividade de proteção ao crédito (art. 7º, X). Entretanto, esse permissivo não autoriza o compartilhamento irrestrito de dados com terceiros.

A Lei do Cadastro Positivo (Lei 12.414/2011) estabelece distinções claras: gestores podem abrir cadastros de adimplemento sem consentimento (art. 4º, I); podem compartilhar apenas informações cadastrais e de adimplemento entre bancos de dados (art. 4º, III);  consulentes somente podem receber pontuação de crédito (art. 4º, IV, “a”); histórico de crédito só pode ser compartilhado com autorização prévia e específica do titular (art. 4º, IV, “b”).

O colegiado enfatizou que nenhuma dessas normas confere autorização para repasse amplo de dados pessoais a terceiros, exigindo-se rigor na verificação da finalidade e na comprovação da anuência.

Dado pessoal comum não é dado sensível

A relatora reiterou que dados pessoais comuns — como nome, telefone, endereço e renda presumida — não se confundem com dados sensíveis, definidos no art. 5º, II, da LGPD. Por isso, sua divulgação não acarreta ofensa automática à dignidade ou à intimidade do titular.

Segundo Gallotti: “Informações ordinárias, frequentemente fornecidas em cadastros diversos, não estão submetidas ao regime jurídico de sigilo próprio dos dados sensíveis.”  Assim, para que se configure dano moral, é necessário demonstrar que houve efetiva disponibilização a terceiros e que esse repasse resultou em prejuízo concreto.

Súmula 7 impede reexame de provas

O Tribunal de origem havia concluído que:não houve comprovação de disponibilização de dados pessoais a terceiros; o documento juntado pelo autor não demonstrava quando, como ou por qual plataforma houve acesso;não foi provado que os dados indicados sequer correspondiam à realidade do consumidor.

Reexaminar tais conclusões demandaria revolvimento do conjunto fático-probatório, vedado em recurso especial pela Súmula 7/STJ.

Dano moral não presume violação de dados não sensíveis

A ministra Gallotti reforçou precedente da Segunda Turma (AREsp 2.130.619/SP), segundo o qual o simples vazamento ou circulação indevida de dados pessoais não sensíveis não gera automaticamente obrigação de indenizar.

Concluiu: “A disponibilização de dados pessoais, por si só, não gera dano moral presumido. É indispensável comprovar abalo significativo aos direitos de personalidade.”

Resultado

A Quarta Turma, por unanimidade, negou provimento ao recurso especial, mantendo íntegro o acórdão do TJSP que havia julgado a ação improcedente. Participaram do julgamento os ministros Antonio Carlos Ferreira, Marco Buzzi, João Otávio de Noronha e Raul Araújo.