Disponibilização não autorizada de dados pessoais não gera dano moral presumido, decide STJ

A Quarta Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que a simples inclusão de dados pessoais no cadastro positivo não gera, por si só, direito à indenização por dano moral. O colegiado acompanhou o voto da relatora, ministra Isabel Gallotti, e negou provimento ao recurso de um consumidor que pleiteava R$ 11 mil. A decisão é relevante porque delimita quando o tratamento de dados para fins de proteção ao crédito pode resultar em responsabilidade civil.

O caso envolve ação proposta contra uma empresa gestora de banco de dados utilizado para formação de histórico e pontuação de crédito (credit scoring). O autor alegou que suas informações — como endereço, telefone e título de eleitor — teriam sido comercializadas sem autorização por meio de serviços específicos da plataforma, o que violaria a Lei Geral de Proteção de Dados (LGPD), a Lei do Cadastro Positivo e o Código de Defesa do Consumidor. Defendeu que o dano seria presumido (in re ipsa).

Em primeira instância, a Justiça determinou a exclusão dos dados das plataformas da empresa, mas afastou a indenização por ausência de prova de prejuízo concreto. O Tribunal de Justiça de São Paulo reformou a sentença e julgou a ação totalmente improcedente, ao entender que não houve demonstração de disponibilização indevida a terceiros, divulgação de dados sensíveis ou uso abusivo das informações.

Ao analisar o recurso especial, a ministra Isabel Gallotti destacou que o artigo 7º da LGPD autoriza o tratamento de dados pessoais para proteção do crédito, remetendo à Lei do Cadastro Positivo — legislação específica sobre o tema — a definição dos limites dessa atuação.

Segundo a relatora, a norma permite a abertura de cadastro sem consentimento prévio do titular e o compartilhamento de informações cadastrais e de adimplemento com outros bancos de dados, além da divulgação da pontuação de crédito a quem consulta o sistema. Já o fornecimento do histórico detalhado depende de autorização específica.

A ministra pontuou que, embora existam restrições legais ao compartilhamento, a eventual disponibilização indevida de dados pessoais comuns não gera automaticamente dano moral.

“Diferentemente dos dados sensíveis, cuja proteção é reforçada em razão de seu potencial discriminatório, os dados pessoais correspondem a informações ordinárias, frequentemente fornecidas em diversos cadastros”, registrou.

Para a Quarta Turma, a indenização só é cabível quando o titular comprova que houve efetiva disponibilização, compartilhamento ou comercialização indevida das informações e que disso resultou abalo significativo aos seus direitos de personalidade.

No caso concreto, o tribunal estadual concluiu que não ficou demonstrada a divulgação indevida nem prejuízo concreto. Como a revisão desse entendimento exigiria reexame de provas — o que é vedado em recurso especial pela Súmula 7 do STJ —, o colegiado manteve a improcedência do pedido.

A decisão reforça que, no campo da proteção de dados, nem toda irregularidade formal gera automaticamente reparação financeira. É necessário demonstrar impacto real à dignidade, à honra ou à esfera íntima do titular.