O Superior Tribunal de Justiça (STJ) decidiu que a inclusão ou disponibilização não autorizada de dados pessoais não sensíveis em sistemas de cadastro positivo não gera, por si só, direito automático à indenização por dano moral. Para que haja condenação, é necessário que o titular dos dados comprove prejuízo concreto aos seus direitos de personalidade.
A decisão foi tomada pela Quarta Turma do STJ, no julgamento do Recurso Especial nº 2.221.650, sob relatoria da ministra Maria Isabel Gallotti.
A ação foi proposta por um consumidor que alegou ter tido seus dados pessoais compartilhados sem autorização por uma empresa responsável pela gestão de banco de dados utilizados para pontuação e análise de crédito. Segundo ele, informações como endereço, telefone e outros dados cadastrais teriam sido disponibilizadas por meio de serviços comerciais oferecidos pela empresa.
O autor pediu a exclusão dos dados e uma indenização por dano moral, sob o argumento de que a simples utilização das informações sem consentimento já configuraria violação à sua privacidade.
Na primeira instância, o juiz determinou a retirada dos dados, mas rejeitou o pedido de indenização por entender que não houve prova de prejuízo concreto. O Tribunal de Justiça de São Paulo (TJSP) foi além e julgou a ação improcedente, afirmando que não ficou comprovado que os dados tenham sido efetivamente disponibilizados a terceiros nem que houve uso indevido capaz de gerar dano moral.
O que o STJ decidiu
Ao analisar o recurso, a ministra Maria Isabel Gallotti afirmou que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) permite o tratamento de dados pessoais para fins de proteção ao crédito, conforme previsto no artigo 7º, inciso X. Esse tratamento é regulamentado de forma específica pela Lei do Cadastro Positivo (Lei nº 12.414/2011).
Segundo a relatora, a legislação autoriza que o cadastro positivo seja aberto independentemente de consentimento prévio do consumidor, permitindo o compartilhamento de informações cadastrais básicas e de histórico de adimplemento entre bancos de dados e instituições que analisam risco de crédito.
O ponto central do julgamento foi a distinção entre dados pessoais sensíveis e dados pessoais não sensíveis. A ministra explicou que dados comuns, como nome, endereço e telefone, não estão sujeitos ao mesmo grau de proteção jurídica que dados sensíveis, como informações sobre saúde, origem racial, convicções religiosas ou orientação política.
Por essa razão, a eventual disponibilização irregular de dados não sensíveis não gera automaticamente dano moral, o que afasta a aplicação da tese do dano presumido, conhecida no direito como in re ipsa.
De acordo com o entendimento firmado pela Quarta Turma, o consumidor que se sentir lesado precisa demonstrar mais do que a simples existência do cadastro. Será necessário comprovar que a conduta do gestor de dados causou um abalo real e relevante à sua esfera pessoal, como exposição indevida, constrangimento concreto ou prejuízo efetivo à sua vida privada.
Sem essa prova, não há fundamento jurídico para condenação por dano moral.
A decisão do STJ reforça uma linha de entendimento que busca equilibrar a proteção de dados pessoais com o funcionamento do sistema de crédito, essencial para a economia. O tribunal deixa claro que a LGPD não transformou qualquer irregularidade formal no tratamento de dados em fonte automática de indenização.
Ao mesmo tempo, o julgamento não autoriza o uso indiscriminado de informações pessoais. Caso haja divulgação de dados sensíveis ou utilização abusiva capaz de gerar prejuízo concreto, a responsabilização civil continua plenamente possível.