O gestor de bancos de dados utilizados para formar históricos de crédito não pode compartilhar dados pessoais de cadastrados com terceiros sem autorização prévia do titular. Esse entendimento foi reafirmado pela 3ª Turma do Superior Tribunal de Justiça (STJ), que condenou a Serasa a pagar indenização por danos morais a uma mulher que teve seus dados pessoais compartilhados sem seu consentimento.
A Serasa, responsável pela coleta de dados para formação de históricos de crédito, ofereceu informações pessoais da autora da ação a terceiros que realizaram consultas por meio de serviços como “Info Busca”, “Lista Online” e “Prospecção de Clientes”. Entre os dados disponibilizados estavam: a renda mensal, o endereço e números de telefone pessoais da consumidora.
A autora ajuizou ação para impedir que a plataforma oferecesse tais informações, porém, o Tribunal de Justiça de São Paulo entendeu que não seria necessário o consentimento do consumidor para a divulgação de dados sensíveis e sigilosos e que houve a comunicação quanto à abertura do cadastro em bancos de dados.
No STJ, conforme adiantado, o entendimento foi outro. A ministra Nancy Andrighi, relatora do caso, explicou que a pontuação de crédito, por si só, não constitui um banco de dados, conforme estabelece a Súmula 550 do STJ:
“A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo.”
(SEGUNDA SEÇÃO, julgado em 14/10/2015, DJe 19/10/2015)
Assim, o gestor do banco de dados pode tratar informações não confidenciais para a proteção de crédito, mas deve garantir que o consentimento prévio seja recebido para o compartilhamento de dados pessoais sensíveis.
A Lei 12.414/2011, que regulamenta o histórico de crédito, estabelece que os dados cadastrais e de adimplemento só podem ser compartilhados entre bancos de dados autorizados pelo Banco Central. Para qualquer outra consulta por terceiros, é necessário o consentimento expresso do titular dos dados.
Em relação aos danos morais, ainda foi consignado o seguinte:
“(…)
- Nesse sentido, como já reconhecido por esta Turma, a disponibilização indevida (em ofensa aos limites legais) de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) (REsp 1.758.799/MG, Terceira Turma, DJe 19/11/2019).
- Como se observa daquele precedente, que tratou de hipótese de compartilhamento de dados do cadastrado sem a sua informação, a configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas por eventuais terceiros de má-fé.
(…)”
E ainda complementou a Min. Relatora:
“(…)
- Ressalta-se que a referida sensação de insegurança não pode ser considerada como mero dissabor, pois se trata de uma situação praticamente irreparável, sendo quase impossível que o titular tenha o real controle sobre o tratamento de seus dados após serem disponibilizados de forma indevida a terceiros. Tal circunstância prejudica, ainda, o próprio exercício dos direitos que o titular tem em relação aos dados.
- Assim, “a inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade” (REsp 1.758.799/MG, Terceira Turma, DJe 19/11/2019)
(…)”
Esse caso destaca a importância da proteção de dados pessoais no Brasil e reforça os direitos dos cidadãos sobre a privacidade de suas informações. É fundamental que as empresas, especialmente aquelas que gerenciam dados sensíveis, sigam as diretrizes legais para evitar consequências jurídicas e danos à privacidade de seus clientes.
O escritório DELIVAR DE MATTOS & CASTOR ADVOGADOS, por meio dos seus sócios Rodrigo Castor de Mattos e Analice Castor de Mattos, por atuar também com direito empresarial e com proteção de dados pessoais (LGPD), prestigia decisões como a proferida pelo E. STJ, pois são essenciais para que a autodeterminação informativa dos titulares de dados seja de fato levada a sério, bem como os direitos fundamentais à privacidade e à proteção de dados pessoais – atualmente contemplados no rol dos direitos fundamentais do artigo 5º da Constituição Federal Brasileira, inclusive em meio digital – sejam respeitados e garantidos como tais, difundindo melhor e maior compreensão da coletividade sobre esse tema tão importante a todos nós.
Acompanhe nosso blog para mais atualizações sobre decisões jurídicas.
O acórdão pode ser acessado aqui: https://www.conjur.com.br/wp-content/uploads/2024/10/STJ_202304537984_tipo_integra_275287318.pdf
