STJ REsp 2117561
CIVILPROCESSUAL CIVIL E DIREITO DO CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER, C/C INDENIZAÇÃO POR DANOS MORAIS. PROTEÇÃO DE DADOS PESSOAIS. DISPONIBILIZAÇÃO DE INFORMAÇÕES CADASTRAIS A TERCEIROS. AUSÊNCIA DE COMUNICAÇÃO PRÉVIA AO TITULAR. ART. 43, § 2º, DO CDC, E ART. 5º, V, DA LEI N. 12.414/2011. DISTINÇÃO EM RELAÇÃO AO SISTEMA DE CREDIT SCORING (TEMA N. 710/STJ E SÚMULA N. 550/STJ). DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DO BANCO DE DADOS. CONFIGURAÇÃO. 1. Cuida-se de recurso especial interposto em ação de obrigação de fazer cumulada com pedido de indenização por danos morais, em razão da disponibilização de informações cadastrais do consumidor, sem sua comunicação ou autorização prévia, a terceiros consulentes, por gestora de banco de dados. 2. A controvérsia não se insere no âmbito do sistema de credit scoring (Tema n. 710/STJ), mas na atividade de tratamento, armazenamento e compartilhamento de dados pessoais para fins de proteção ao crédito, atividade regida por microssistema normativo composto pelo CDC, pela Lei n. 12.414/2011 e pela LGPD. 3. O art. 43, § 2º, do CDC, e o art. 5º, V, da Lei n. 12.414/2011 impõem ao gestor do banco de dados o dever de informar o consumidor sobre a abertura do cadastro e a finalidade do tratamento de seus dados, ainda que não sensíveis, sendo inadmissível a disponibilização a terceiros fora das hipóteses legais expressamente previstas. 4. De acordo com os precedentes da Terceira Turma, a disponibilização indevida de dados cadastrais a terceiros, sem a comunicação prévia ao titular, constitui ato ilícito e enseja a configuração de dano moral in re ipsa, por violação à privacidade, à autodeterminação informativa e à segurança do consumidor. 5. A responsabilidade civil do gestor do banco de dados é objetiva, nos termos do art. 14 do CDC e do art. 16 da Lei n. 12.414/2011, independentemente de demonstração de culpa, bastando a comprovação da ilicitude e do nexo de causalidade. 6. Recurso especial parcialmente provido. RELATÓRIO O EXMO. SR. MINISTRO HUMBERTO MARTINS (relator): Cuida-se de recurso especial interposto por CLEONILZA CERQUEIRA DOS PASSOS, com fundamento no artigo 105, inciso III, alíneas a e c, da Constituição Federal, contra acórdão proferido pelo Tribunal de Justiça do Estado de São Paulo assim ementado (fls. 409-410): AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS - INSURGÊNCIA DO CONSUMIDOR CONTRA O ARMAZENAMENTO E DISPONIBILIZAÇÃO A TERCEIROS DE SEU NÚMERO DE TELEFONE PELA RÉ - INFORMAÇÃO QUE NÃO SE ENQUADRA NO CONCEITO LEGAL DE INFORMAÇÃO SENSÍVEL - DADO COLETADO E DISPONIBILIZADO COM O ESCOPO DE AUXILIAR O CONSULENTE NA AVALIAÇÃO DO RISCO DE CONCESSÃO DE CRÉDITO - LEGALIDADE - RECONHECIMENTO - ATO QUE É PRATICADO NO ÂMBITO DO SISTEMA DE SCORE DE CRÉDITO, DISPENSANDO-SE O CONSENTIMENTO DO CONSUMIDOR - SÚMULA 550 DO STJ - DANO MORAL NÃO CARACTERIZADO - IMPROCEDÊNCIA MANTIDA. RECURSO DESPROVIDO. Na origem, a parte recorrente ajuizou ação condenatória em obrigação de fazer cumulada com indenização por danos morais contra SERASA S.A., sob o fundamento de que a recorrida, na qualidade de gestora de banco de dados, coleta e comercializa informações pessoais suas, notadamente seu número de CPF, nome completo, endereço, números de telefone e estimativa de renda, sem que tenha havido prévia comunicação ou autorização para tanto. Sustenta que tal prática viola o disposto no art. 43, § 2º, do Código de Defesa do Consumidor, na Lei n. 12.414/2011 (Lei do Cadastro Positivo) e na Lei Geral de Proteção de Dados, configurando ato ilícito que enseja o dever de indenizar os danos morais sofridos, os quais seriam in re ipsa. O juízo de primeiro grau julgou o pedido improcedente, ao argumento de que a disponibilização de dados se destina exclusivamente à proteção do crédito, hipótese autorizadora do tratamento de dados prevista na Lei n. 13.709/18 (LGPD), que independe de consentimento ou comunicação do titular. O magistrado considerou, ainda, que os dados não são classificados como sensíveis e a questão se amolda à Súmula n. 550 do STJ (fls. 268-271). Interposta apelação pela autora, ora recorrente, o Tribunal de Justiça do Estado de São Paulo negou provimento ao recurso. O acórdão recorrido entendeu que a disponibilização dos dados da consumidora se insere no contexto do sistema de score de crédito, prática lícita que dispensa o consentimento do titular, nos termos da Súmula n. 550/STJ e do Tema n. 710/STJ. Consignou, ademais, que os dados cadastrais não constituem informação sensível ou excessiva e que sua disponibilização é útil para a análise de risco de crédito, não havendo ato ilícito a ser reparado (fls. 409-417). Em suas razões de recurso especial, a recorrente alega violação dos arts. 43, § 2º, do Código de Defesa do Consumidor, 5º, V, da Lei n. 12.414/2011 e 7º da Lei n. 13.709/2018 (LGPD). Argumenta, em suma, que o acórdão recorrido partiu de premissa equivocada ao confundir a disponibilização de dados cadastrais com o sistema de credit scoring. Defende que a abertura de cadastro com dados pessoais, ainda que não negativos, exige a prévia comunicação ao consumidor, e que a ausência de tal providência configura ato ilícito e gera dano moral presumido. Aponta, ainda, dissídio jurisprudencial com o acórdão proferido no REsp 1.758.799/MG, desta Corte, que teria reconhecido o dano moral in re ipsa na hipótese de compartilhamento de informações pessoais sem a devida comunicação ao consumidor. Apresentadas as contrarrazões (fls. 304-320 e 486-498), sobreveio o juízo de admissibilidade positivo da instância de origem (fls. 545-547). É, no essencial, o relatório. EMENTA PROCESSUAL CIVIL E DIREITO DO CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER, C/C INDENIZAÇÃO POR DANOS MORAIS. PROTEÇÃO DE DADOS PESSOAIS. DISPONIBILIZAÇÃO DE INFORMAÇÕES CADASTRAIS A TERCEIROS. AUSÊNCIA DE COMUNICAÇÃO PRÉVIA AO TITULAR. ART. 43, § 2º, DO CDC, E ART. 5º, V, DA LEI N. 12.414/2011. DISTINÇÃO EM RELAÇÃO AO SISTEMA DE CREDIT SCORING (TEMA N. 710/STJ E SÚMULA N. 550/STJ). DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DO BANCO DE DADOS. CONFIGURAÇÃO. 1. Cuida-se de recurso especial interposto em ação de obrigação de fazer cumulada com pedido de indenização por danos morais, em razão da disponibilização de informações cadastrais do consumidor, sem sua comunicação ou autorização prévia, a terceiros consulentes, por gestora de banco de dados. 2. A controvérsia não se insere no âmbito do sistema de credit scoring (Tema n. 710/STJ), mas na atividade de tratamento, armazenamento e compartilhamento de dados pessoais para fins de proteção ao crédito, atividade regida por microssistema normativo composto pelo CDC, pela Lei n. 12.414/2011 e pela LGPD. 3. O art. 43, § 2º, do CDC, e o art. 5º, V, da Lei n. 12.414/2011 impõem ao gestor do banco de dados o dever de informar o consumidor sobre a abertura do cadastro e a finalidade do tratamento de seus dados, ainda que não sensíveis, sendo inadmissível a disponibilização a terceiros fora das hipóteses legais expressamente previstas. 4. De acordo com os precedentes da Terceira Turma, a disponibilização indevida de dados cadastrais a terceiros, sem a comunicação prévia ao titular, constitui ato ilícito e enseja a configuração de dano moral in re ipsa, por violação à privacidade, à autodeterminação informativa e à segurança do consumidor. 5. A responsabilidade civil do gestor do banco de dados é objetiva, nos termos do art. 14 do CDC e do art. 16 da Lei n. 12.414/2011, independentemente de demonstração de culpa, bastando a comprovação da ilicitude e do nexo de causalidade. 6. Recurso especial parcialmente provido.