A Terceira Turma do Superior Tribunal de Justiça (STJ) fixou entendimento de que a disponibilização de informações pessoais armazenadas em banco de dados, sem autorização do titular e sem comunicação prévia, caracteriza violação aos direitos da personalidade e impõe a obrigação de indenizar por danos morais. O colegiado definiu que o dano é presumido, não sendo necessária a comprovação de prejuízos concretos.
O caso analisado (REsp 2.201.694) envolveu consumidor que processou uma agência de informações de crédito após a divulgação indevida de dados como número de telefone. Em primeira instância, a ação foi julgada improcedente, decisão mantida pelo Tribunal de Justiça de São Paulo (TJSP), que considerou a atuação da empresa respaldada pela legislação específica.
No recurso ao STJ, prevaleceu o voto da ministra Nancy Andrighi. Ela destacou que, de acordo com a Lei 12.414/2011, o gestor de banco de dados pode fornecer a terceiros apenas o score de crédito, sem consentimento, e o histórico de crédito, desde que autorizado de forma específica pelo consumidor. Informações cadastrais e de adimplemento, por outro lado, só podem circular entre instituições de cadastro, sendo vedada a disponibilização direta a terceiros.
Para a ministra, a divulgação indevida gera responsabilidade objetiva da empresa, já que a sensação de insegurança provocada pelo uso não autorizado dos dados basta para configurar o dano moral. Assim, o STJ reformou a decisão paulista e reconheceu o direito do consumidor à reparação.
REsp nº 2201694 / SP