Disponibilização de Dados Pessoais Não Sensíveis – Ausência de Dano Moral Presumido
A Quarta Turma do Superior Tribunal de Justiça estabeleceu importante distinção sobre a proteção de dados pessoais e as consequências de sua disponibilização indevida, definindo que o simples compartilhamento de dados não sensíveis, ainda que sem o consentimento do titular, não configura, por si só, dano moral presumido (in re ipsa).
A decisão analisa a questão à luz da Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709/2018) e da Lei do Cadastro Positivo (Lei n. 12.414/2011), que regem especificamente o tratamento de dados pessoais em atividades voltadas à proteção do crédito e sistemas de credit scoring.
A LGPD remete à legislação específica a delimitação das situações em que o tratamento de dados pessoais se enquadra em atividades de proteção ao crédito. Nesse contexto, a Lei do Cadastro Positivo estabelece regras claras sobre o que os gestores de bancos de dados podem compartilhar. Segundo essa legislação, os gestores estão autorizados a compartilhar informações cadastrais e de adimplemento armazenadas com outros bancos de dados, bem como disponibilizar aos consulentes apenas a nota de crédito.
O STJ concluiu que a Lei do Cadastro Positivo não contempla a possibilidade de repasse a terceiros de outros dados ou do histórico de crédito completo sem a anuência expressa do titular. Embora os gestores possam realizar o tratamento de dados pessoais e até abrir cadastro sem consentimento prévio, não estão, em regra, autorizados a disponibilizar tais dados a terceiros sem autorização.
Contudo, a Corte fez distinção fundamental entre dados pessoais comuns e dados sensíveis. Diferentemente dos dados sensíveis – cuja proteção é reforçada em razão de seu potencial discriminatório, como informações sobre origem racial, convicções religiosas, saúde, orientação sexual – os dados pessoais ordinários correspondem a informações frequentemente fornecidas em cadastros diversos, inclusive em plataformas digitais de uso cotidiano, não estando submetidos a regime jurídico de sigilo.
Por essa razão, para que se configure dano moral nos casos de disponibilização indevida de dados pessoais não sensíveis, é necessário que o titular comprove efetivamente que houve o compartilhamento ilegal e que esse fato resultou em abalo significativo aos seus direitos de personalidade. Não basta a mera demonstração da disponibilização; é indispensável a comprovação do efetivo prejuízo.
Essa orientação foi seguida também pela Segunda Turma do STJ no julgamento do AREsp 2.130.619/SP (julgado em 7/3/2023), que reconheceu que o vazamento de informações pessoais de terceiros, por si só, não gera danos morais presumidos.
Referência: REsp 2.221.650-SP, Rel. Ministra Maria Isabel Gallotti, Quarta Turma, por unanimidade, julgado em 4/11/2025.