O Superior Tribunal de Justiça, em recente julgamento pela Terceira Turma (REsp 2.242.293/SP), firmou entendimento crucial sobre os limites da disponibilização de dados pessoais por gestores de bancos de dados de crédito.
A decisão, relatada pela Ministra Nancy Andrighi, estabeleceu distinções fundamentais que todo operador do direito precisa compreender para lidar adequadamente com questões envolvendo proteção de dados no âmbito consumerista.
O caso concreto: contexto fático e processual
Gabriela Cristina Rocha de Mello Oliveira ajuizou ação de obrigação de fazer c/c indenização por danos morais contra a Boa Vista Serviços S.A. Na ocasião, alegou-se que a empresa teria divulgado indevidamente seus dados pessoais em plataformas como Acerta Essencial, Acerta Intermediário, Acerta Completo e Dataplus, sem sua prévia autorização.
Nas instâncias ordinárias, os pedidos foram julgados improcedentes.
O fundamento utilizado pelos julgadores de primeira e segunda instâncias foi o de que se tratava de simples exercício de atividade de credit scoring, prática que — segundo eles — não configuraria banco de dados sujeito à regulamentação específica da Lei nº 12.414/2011 (Lei do Cadastro Positivo). Nesse sentido, entenderam que a ausência de abusividade na divulgação afastaria o dever de indenizar.
Inconformada com tal entendimento, a consumidora recorreu ao STJ, sustentando violação aos arts. 4º, incisos III e IV, e 5º, inciso IV, da Lei do Cadastro Positivo, bem como aos arts. 14 e 17 do Código de Defesa do Consumidor. Argumentou, essencialmente, que houve disponibilização indevida de seus dados pessoais para terceiros consulentes, prática não autorizada pela legislação de regência.
A distinção fundamental: credit scoring vs. compartilhamento de dados cadastrais
Ora, a primeira questão que a Ministra Relatora enfrentou foi justamente a confusão conceitual que vinha sendo perpetrada pelas instâncias ordinárias. Com efeito, a decisão de origem incorreu em equívoco ao equiparar a disponibilização de dados cadastrais e histórico de crédito à mera prática de credit scoring.
Veja: não se aplicam ao caso o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente de credit scoring. Esse método consiste em técnica estatística que atribui uma pontuação ao consumidor com base em diversos dados, gerando um índice numérico de probabilidade de adimplemento. Tal prática foi expressamente considerada lícita pelo STJ nos precedentes que originaram o referido tema de jurisprudência repetitiva.
O STJ analisou a validade do chamado sistema “credit scoring”, fixando as seguintes teses: a) “Credit scoring”, também chamado de “crediscore”, é um método desenvolvido para avaliação do risco de concessão de crédito, a partir de modelos estatísticos, considerando diversas variáveis, com atribuição de uma pontuação ao consumidor avaliado (nota do risco de crédito); b) O “credit scoring” é considerado como prática comercial LÍCITA, estando autorizada pelo art. 5º, IV, e pelo art. 7º, I, da Lei 12.414/2011 (Lei do Cadastro Positivo); c) Vale ressaltar, no entanto, que para o “credit scoring” ser lícito, é necessário que respeite os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, conforme previsão do CDC e da Lei 12.414/2011; d) Apesar de desnecessário o consentimento do consumidor consultado, devem ser a ele fornecidos esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como as informações pessoais valoradas; e) O desrespeito aos limites legais na utilização do sistema “credit scoring” configura abuso no exercício desse direito, podendo ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis, bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados. STJ. 2ª Seção. REsp 1419697-RS, Rel. Min. Paulo de Tarso Sanseverino, julgado em 12/11/2014 (Recurso Repetitivo - Tema 710) (Info 551).
Nesse diapasão, conforme esclareceu a Ministra Nancy Andrighi, o credit scoring é uma atividade que “não constitui banco de dados”, sendo regulamentada pela Lei nº 12.414/2011 apenas de forma periférica.
A pontuação de crédito, portanto, não se confunde com o banco de dados propriamente dito, que armazena informações cadastrais e histórico detalhado do consumidor.
A questão central do julgado não era sobre a pontuação de crédito em si, mas sim sobre a disponibilização de informações cadastrais e de histórico de crédito a terceiros consulentes — práticas que encontram restrições legais específicas e rigorosas na Lei do Cadastro Positivo.
Destarte, o enquadramento jurídico correto da demanda exigia análise sob o prisma dos limites impostos aos gestores de bancos de dados, e não sob a perspectiva da mera consulta a pontuações creditícias.
Os três níveis de disponibilização: compreendendo os limites legais estabelecidos pela Lei nº 12.414/2011
Com efeito, o STJ estabeleceu, com clareza meridiana, que o gestor de banco de dados regido pela Lei nº 12.414/2011 possui três níveis distintos de possibilidade de disponibilização de informações. Cada um desses níveis possui requisitos próprios e encontra fundamento em dispositivos específicos da legislação de regência.
1. Score de crédito (art. 4º, IV, primeira parte)
O score de crédito — aquela pontuação numérica resultante de cálculo estatístico — pode ser disponibilizado a terceiros consulentes sem necessidade de consentimento prévio do titular dos dados. Trata-se de dado agregado, estatístico, que não revela informações específicas sobre o histórico detalhado do consumidor, limitando-se a apresentar uma probabilidade matemática de adimplemento.
Nesse sentido, a Lei do Cadastro Positivo autoriza expressamente, em seu artigo 4º, inciso IV, primeira parte, que o gestor disponibilize a terceiros consulentes “o score de crédito, desnecessário o consentimento prévio”. Perceba: a legislação dispensou o requisito da autorização justamente porque o score não expõe dados sensíveis ou históricos pormenorizados da vida financeira do consumidor.
2. Histórico de crédito (art. 4º, IV, parte final)
Diferentemente do score, o histórico de crédito só pode ser compartilhado mediante prévia autorização específica do cadastrado. Aqui reside uma distinção crucial que passou despercebida pelas instâncias ordinárias: o histórico revela detalhes sensíveis sobre o comportamento financeiro da pessoa, suas contratações, adimplências e inadimplências ao longo do tempo.
Destarte, não basta a autorização genérica para abertura de cadastro — é necessária autorização expressa e específica para cada compartilhamento de histórico com terceiros consulentes, nos exatos termos da parte final do inciso IV do artigo 4º da Lei nº 12.414/2011. Essa exigência decorre da natureza mais invasiva e detalhada das informações contidas no histórico, que podem revelar aspectos íntimos da vida financeira do titular.
Ademais, conforme pontuou a Ministra Relatora, a prévia autorização deve ser específica para o cadastro em questão, não se admitindo consentimentos genéricos ou implícitos. Trata-se de manifestação clara da autonomia da vontade do consumidor, que deve ter pleno conhecimento sobre quem terá acesso às suas informações históricas de crédito.
3. Informações cadastrais e de adimplemento (art. 4º, III)
Outrossim, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados devidamente autorizados, jamais com terceiros consulentes comuns. Essa é a regra prevista no artigo 4º, inciso III, da Lei do Cadastro Positivo, que estabelece limitação rigorosa ao compartilhamento dessas informações.
Nesse sentido, quando o gestor disponibiliza tais dados para consulentes que não são outros bancos de dados autorizados, ele extrapola os limites legais e pratica ato ilícito passível de responsabilização civil. A ratio legis dessa restrição reside na necessidade de proteção à intimidade do consumidor, evitando que suas informações cadastrais circulem indiscriminadamente no mercado.
Ora, foi exatamente essa a hipótese verificada no caso concreto. A recorrida Boa Vista Serviços disponibilizou dados cadastrais e de adimplemento da autora em suas plataformas (Acerta Essencial, Acerta Intermediário, Acerta Completo e Dataplus) para terceiros consulentes que não eram outros bancos de dados, configurando violação direta ao comando legal.
A conduta ilícita da recorrida e a violação aos direitos da personalidade
Perceba que, no caso sob análise, a empresa Boa Vista Serviços não apenas disponibilizou o score de crédito — o que seria lícito —, mas foi além, compartilhando informações cadastrais e de adimplemento com terceiros consulentes, prática vedada pelo artigo 4º, inciso III, da Lei do Cadastro Positivo.
Com efeito, a Ministra Nancy Andrighi esclareceu que "o gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado".
Nesse diapasão, a conduta da recorrida configurou ato ilícito objetivo, independentemente de demonstração de culpa ou dolo. A simples disponibilização indevida dos dados já caracteriza violação aos direitos da personalidade da consumidora, especialmente à sua intimidade e privacidade.
Ademais, conforme registrado no voto condutor, a sensação de insegurança experimentada pelo titular dos dados diante da exposição não autorizada de informações sensíveis sobre sua vida financeira é presumida, dispensando prova específica do abalo psíquico. Trata-se de dano que decorre da própria conduta ilícita, operando-se in re ipsa.
Dano moral in re ipsa: a presunção pela violação à intimidade
A Terceira Turma do STJ foi categórica ao afirmar que a disponibilização indevida de dados cadastrais e histórico de crédito gera dano moral presumido (in re ipsa), dispensando prova específica do abalo psíquico ou demonstração de prejuízos concretos.
Veja: o fundamento dessa presunção reside na forte sensação de insegurança experimentada pelo titular dos dados, que se vê desprotegido diante da exposição não autorizada de informações sensíveis sobre sua vida financeira. Trata-se de violação direta aos direitos da personalidade, especialmente à intimidade e à privacidade, bens jurídicos de estatura constitucional.
Nesse sentido, a jurisprudência do STJ consolidou-se no sentido de que determinadas violações a direitos personalíssimos dispensam a demonstração de efetivo prejuízo, pois o dano é presumido pela própria natureza do ato ilícito praticado. A disponibilização indevida de dados pessoais enquadra-se perfeitamente nessa categoria.
Destarte, citando precedentes da própria Corte (REsp 1.419.697 e REsp 1.419.041, julgados pela Terceira Turma), a Ministra Relatora reafirmou que a violação aos dispositivos da Lei do Cadastro Positivo acarreta automaticamente o dever de indenizar, independentemente de prova do prejuízo.
A indenização fixada foi de R$ 11.000,00 (onze mil reais), valor que considerou a gravidade da conduta, a capacidade econômica da empresa recorrida e a necessidade de desestimular práticas semelhantes no mercado de crédito. Trata-se de montante que atende às funções compensatória e pedagógica da reparação por danos morais.
Responsabilidade objetiva do gestor de banco de dados: fundamentos normativos
Outro ponto de extrema relevância fixado pelo acórdão diz respeito à natureza da responsabilidade civil do gestor de banco de dados. O STJ reafirmou que a responsabilidade do gestor de banco de dados que disponibiliza indevidamente os dados é objetiva, fundamentando-se simultaneamente no art. 14 da Lei nº 12.414/2011 e nos artigos 7º e 14 do Código de Defesa do Consumidor.
Ora, isso significa que não se exige prova de culpa ou dolo do gestor — basta demonstrar que houve a disponibilização indevida dos dados, o dano experimentado pelo titular e o nexo causal entre a conduta e o prejuízo. A configuração do dever de indenizar independe de demonstração de má-fé, negligência ou imprudência do gestor.
Nesse diapasão, a responsabilidade objetiva decorre da própria natureza da atividade desenvolvida pelos gestores de bancos de dados, que manipulam informações sensíveis de milhões de consumidores e, portanto, devem arcar com os riscos inerentes a essa atividade econômica. Trata-se de aplicação da teoria do risco da atividade, consagrada no ordenamento jurídico consumerista brasileiro.
Com efeito, a Lei do Cadastro Positivo estabeleceu em seu art. 14 que “o gestor do banco de dados responde objetivamente pelos danos materiais e morais que causar ao cadastrado”, não admitindo excludentes baseadas em ausência de culpa. Outrossim, o Código de Defesa do Consumidor, em seu art. 14, também consagra a responsabilidade objetiva dos fornecedores de serviços por defeitos que causem danos aos consumidores.
Perceba, portanto, que há duplo fundamento normativo para a responsabilização objetiva dos gestores de bancos de dados: tanto a legislação específica quanto a legislação consumerista convergem no sentido de proteger o titular dos dados, transferindo ao gestor o risco da atividade por ele desenvolvida.
Tutela inibitória: a ordem de abstenção como medida preventiva
Ademais, para além da condenação ao pagamento de indenização por danos morais, a Terceira Turma determinou que a empresa Boa Vista Serviços se abstenha de compartilhar os dados cadastrais e de adimplemento da autora com terceiros, ressalvada apenas a possibilidade de compartilhamento com outros bancos de dados devidamente autorizados.
Veja: trata-se de típica tutela inibitória, prevista nos artigos 497 e 536 do Código de Processo Civil, que visa prevenir a continuidade ou repetição da conduta ilícita. Nesse sentido, não basta reparar o dano já consumado — é preciso impedir que novas violações ocorram, garantindo efetividade à proteção dos direitos da personalidade da consumidora.
Destarte, a decisão possui duplo caráter: repressivo, ao condenar a empresa ao pagamento de indenização pelos danos já causados; e preventivo, ao determinar a cessação imediata da prática ilícita de compartilhamento indevido de dados.
Outrossim, essa ordem de abstenção dialoga perfeitamente com os princípios da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), especialmente com o princípio da finalidade, segundo o qual se deve realizar o tratamento de dados apenas para propósitos legítimos, específicos e informados ao titular. A disponibilização de dados para terceiros consulentes, sem autorização, viola frontalmente esse princípio estruturante do sistema de proteção de dados pessoais.
Em resumo
Na prática, esta decisão estabelece parâmetros objetivos e vinculantes para que gestores de bancos de dados calibrem suas operações. Dessa forma, evitam-se responsabilizações civis e adequando-se aos comandos legais vigentes:
1. Para fornecimento de score: não é necessária autorização prévia do consumidor, podendo o gestor disponibilizar a pontuação creditícia a terceiros consulentes livremente.
2. Para compartilhamento de histórico de crédito: é imprescindível autorização expressa e específica do titular dos dados, não se admitindo consentimentos genéricos ou tácitos.
3. Para compartilhamento de dados cadastrais e de adimplemento: apenas com outros bancos de dados autorizados, jamais com consulentes comuns, sob pena de responsabilização objetiva por danos morais.
Como o tema já caiu em provas
Prova: VUNESP - 2023 - TJ-SP - Juiz Substituto É lícito o uso de escore de crédito (credit scoring) para concessão de crédito ao consumidor. (Certo)
Quer saber tudo sobre concursos previstos?
Confira nossos artigos!
Quer estudar para Concursos de Direito?
O Estratégia Carreira Jurídica é campeão de aprovações nos concursos para Carreiras Jurídicas com um corpo docente qualificado e materiais completos. Conheça nossos cursos e garanta sua aprovação:
