A Terceira Turma do Superior Tribunal de Justiça consolidou entendimento sobre a proteção de dados pessoais ao decidir que a disponibilização indevida de informações pessoais em banco de dados para terceiros, sem consentimento do titular, caracteriza violação dos direitos da personalidade e gera dano moral presumido (in re ipsa).
A decisão, com relatoria da ministra Nancy Andrighi (REsp 2.201.694), amplia significativamente as responsabilidades dos gestores de dados e estabelece novo paradigma para ações indenizatórias no âmbito da proteção de dados.
O que exatamente decidiu o STJ no caso paradigmático?
A Terceira Turma estabeleceu que gestores de bancos de dados que disponibilizam a terceiros informações cadastrais ou de adimplemento do consumidor, em desacordo com a legislação específica, devem responder objetivamente pelos danos morais causados.
A ministra Nancy Andrighi enfatizou que esses danos “são presumidos, diante da forte sensação de insegurança” experimentada pela vítima, dispensando prova do prejuízo concreto.
Confira a Ementa abaixo:
EMENTA CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1. Ação de obrigação de fazer c/c compensação de danos morais. 2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring , ficando expressamente consignado que essa prática “não constitui banco de dados”, sendo este regulamentado pela Lei nº 12.414/2011. 3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV). Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes. 4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes. 5. Recurso especial conhecido e provido.
Veja o acórdão no REsp 2.201.694-SP completo aqui.
Qual foi o contexto fático que originou a decisão?
O caso envolvia consumidor que ajuizou ação contra agência de informações de crédito, alegando divulgação não autorizada de seus dados pessoais.
Em primeira e segunda instância, a ação foi julgada improcedente sob argumento de que os dados compartilhados não eram sensíveis e que a atuação da empresa estaria respaldada pela legislação específica de birôs de crédito.
O STJ reformou as decisões, reconhecendo a violação e fixando o dano presumido.
Qual é a base legal da decisão e como ela se relaciona com a LGPD?
A decisão fundamenta-se na Lei 12.414/2011 (Cadastros Positivos) e na Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018).
O STJ esclareceu que, conforme a legislação específica, gestores de bancos de dados podem fornecer a terceiros apenas o score de crédito (sem consentimento prévio) e o histórico de crédito (com autorização específica).
Contudo, as informações cadastrais e de adimplemento não podem ser repassadas diretamente a terceiros.
Como fica a distinção entre dados sensíveis e não sensíveis para fins de responsabilização?
A decisão inova ao estabelecer que mesmo dados considerados “não sensíveis” (como informações cadastrais básicas) podem gerar dano moral presumido quando divulgados indevidamente.
O STJ superou a distinção baseada apenas na natureza do dado, focando na violação do consentimento e na sensação de insegurança gerada pela exposição não autorizada.
Como essa decisão impacta a prática da advocacia em proteção de dados?
Para advogados que representam titulares de dados:
- Facilitação probatória: dispensada a prova do dano efetivo, bastando demonstrar a divulgação indevida e a falta de consentimento;
- Ampliação do rol de demandados: empresas que compartilham dados cadastrais básicos podem ser responsabilizadas, não apenas aquelas que tratam dados sensíveis;
- Estratégia processual: foco na demonstração da violação legal e da ausência de consentimento, com valorização da “sensação de insegurança”.
Para advogados que representam empresas:
- Compliance rigoroso: necessidade de revisão de políticas de compartilhamento de dados, mesmo os considerados básicos;
- Defesas técnicas: argumentação sobre bases legais específicas, consentimento válido e medidas de segurança implementadas;
- Gestão de riscos: implementação de programas de governança de dados mais robustos.
Quais são os critérios para configuração do dano moral presumido?
A jurisprudência do STJ estabeleceu os seguintes parâmetros:
- Divulgação não autorizada: compartilhamento sem base legal ou consentimento válido;
- Violação da finalidade: uso dos dados para propósito diverso do autorizado;
- Sensação de insegurança: exposição que gera vulnerabilidade ao titular;
- Quebra da confiança: violação da expectativa legítima de proteção.
Como empresas podem se proteger após essa decisão?
Medidas preventivas essenciais:
- Auditoria de dados: mapeamento completo dos dados coletados, armazenados e compartilhados;
- Bases legais claras: identificação precisa da base legal para cada tratamento de dados;
- Políticas de consentimento: implementação de mecanismos robustos de coleta e gestão de consentimentos;
- Contratos específicos: cláusulas detalhadas sobre proteção de dados em contratos com fornecedores e parceiros.
Governança e compliance
Após a decisão do STJ sobre dano moral presumido por exposição indevida de dados, algumas medidas de governança e compliance são indicadas como:
- DPO qualificado: nomeação de encarregado com expertise técnica e jurídica;
- Treinamento contínuo: capacitação de equipes sobre LGPD e melhores práticas;
- Incident response: procedimentos para resposta rápida a vazamentos ou violações;
- Documentação: registro detalhado de todas as atividades de tratamento.
Qual é o impacto nos valores indenizatórios?
Embora a decisão não fixe valores específicos, o reconhecimento do dano presumido tende a uniformizar e elevar os patamares indenizatórios.
Precedentes similares têm fixado valores entre R$ 5.000 a R$ 20.000 para pessoas físicas, podendo ser majorados conforme a gravidade da violação, o número de pessoas atingidas e a capacidade econômica do ofensor.
Quais são as recomendações estratégicas para escritórios de advocacia?
Contencioso:
- Criar departamentos especializados em direito digital e proteção de dados;
- Desenvolver modelos de petições para ações de dano moral por violação de dados;
- Capacitar equipes em aspectos técnicos de segurança da informação.
Consultivo:
- Oferecer serviços de compliance em LGPD como diferencial competitivo;
- Desenvolver produtos jurídicos para implementação de governança de dados;
- Estabelecer parcerias com consultorias especializadas em cibersegurança.
Oportunidades para advocacia na proteção de dados
A decisão do STJ representa marco na proteção de dados pessoais no Brasil, estabelecendo que a violação da privacidade gera dano moral presumido independentemente da natureza do dado ou da comprovação de prejuízo concreto.
Para a advocacia, isso significa uma nova era de oportunidades no contencioso de proteção de dados e na consultoria preventiva, exigindo especialização técnica e atualização constante sobre as rápidas mudanças no direito digital.
O precedente sinaliza que o Judiciário brasileiro está alinhado com as melhores práticas internacionais de proteção de dados, privilegiando a tutela da privacidade sobre interesses meramente econômicos.
Empresas que não se adaptarem a esse novo paradigma enfrentarão riscos jurídicos e reputacionais crescentes, enquanto aquelas que investirem em compliance robusto ganharão vantagem competitiva significativa no mercado.
Acesse também nosso Web Stories sobre Adjudicação compulsória judicial e extrajudicial
O que exatamente decidiu o STJ no caso paradigmático REsp 2.201.694-SP?
A Terceira Turma do STJ, com relatoria da ministra Nancy Andrighi, estabeleceu que gestores de bancos de dados que disponibilizam a terceiros informações cadastrais ou de adimplemento do consumidor, em desacordo com a legislação específica, devem responder objetivamente pelos danos morais causados.
O tribunal consolidou o entendimento de que a disponibilização indevida de informações pessoais sem consentimento do titular caracteriza violação dos direitos da personalidade e gera dano moral presumido (in re ipsa), dispensando a prova do prejuízo concreto.
A decisão enfatiza que esses danos “são presumidos, diante da forte sensação de insegurança” experimentada pela vítima.
Qual foi a inovação jurisprudencial trazida por essa decisão em relação à natureza dos dados?
A decisão inovou significativamente ao estabelecer que mesmo dados considerados “não sensíveis” (como informações cadastrais básicas) podem gerar dano moral presumido quando divulgados indevidamente.
O STJ superou a distinção tradicional baseada apenas na natureza do dado, focando na violação do consentimento e na sensação de insegurança gerada pela exposição não autorizada.
Isso significa que a proteção jurídica não se restringe mais apenas aos dados sensíveis previstos na LGPD, ampliando o escopo de responsabilização para qualquer divulgação indevida de dados pessoais.
Quais são os critérios estabelecidos pelo STJ para configuração do dano moral presumido?
O STJ estabeleceu quatro parâmetros principais para configurar o dano moral presumido:
– Divulgação não autorizada: compartilhamento sem base legal ou consentimento válido do titular;
– Violação da finalidade: uso dos dados para propósito diverso do autorizado originalmente;
– Sensação de insegurança: exposição que gera vulnerabilidade e desconforto ao titular dos dados;
– Quebra da confiança: violação da expectativa legítima de proteção que o titular depositava na empresa.
Esses critérios dispensam a necessidade de prova do dano efetivo, bastando demonstrar a ocorrência da violação.
Como essa decisão impacta a estratégia processual dos advogados?
Para advogados que representam titulares de dados, a decisão traz:
– Facilitação probatória: dispensada a prova do dano efetivo, bastando demonstrar a divulgação indevida e a falta de consentimento;
– Ampliação do rol de demandados: empresas que compartilham dados cadastrais básicos podem ser responsabilizadas;
– Nova estratégia processual: foco na demonstração da violação legal e valorização da “sensação de insegurança”.
Para advogados que representam empresas:
– Compliance rigoroso: necessidade de revisão urgente de políticas de compartilhamento;
– Defesas técnicas: argumentação sobre bases legais específicas e consentimento válido;
– Gestão preventiva de riscos: implementação de programas de governança mais robustos.
Quais medidas preventivas as empresas devem adotar após essa decisão?
As empresas devem implementar um conjunto abrangente de medidas preventivas:
Auditoria e Mapeamento:
Mapeamento completo dos dados coletados, armazenados e compartilhados;
Identificação precisa da base legal para cada tratamento de dados.
Governança e Compliance:
Nomeação de DPO (Encarregado) qualificado com expertise técnica e jurídica;
Implementação de mecanismos robustos de coleta e gestão de consentimentos;
Treinamento contínuo de equipes sobre LGPD e melhores práticas.
Documentação e Contratos:
Cláusulas detalhadas sobre proteção de dados em contratos com fornecedores;
Registro detalhado de todas as atividades de tratamento;
Procedimentos para resposta rápida a vazamentos ou violações.
Qual é o impacto esperado nos valores indenizatórios e na uniformização da jurisprudência?
Embora a decisão não fixe valores específicos, o reconhecimento do dano moral presumido tende a uniformizar e elevar os patamares indenizatórios em todo o país.
Precedentes similares têm fixado valores entre R$ 5.000 a R$ 20.000 para pessoas físicas, podendo ser majorados conforme:
– A gravidade da violação cometida;
– O número de pessoas atingidas pelo incidente;
– A capacidade econômica do ofensor;
– A reincidência em violações similares.
Essa uniformização representa maior segurança jurídica tanto para titulares quanto para empresas, estabelecendo parâmetros mais claros para acordos e sentenças.
Que oportunidades essa decisão cria para a advocacia especializada?
A decisão representa um marco divisório que cria diversas oportunidades para escritórios de advocacia:
No Contencioso:
– Criação de departamentos especializados em direito digital e proteção de dados;
– Desenvolvimento de modelos de petições para ações de dano moral por violação de dados;
– Capacitação de equipes em aspectos técnicos de segurança da informação;
– Aumento significativo da demanda por ações indenizatórias.
Na Consultoria Preventiva:
– Oferta de serviços de compliance em LGPD como diferencial competitivo;
– Desenvolvimento de produtos jurídicos para implementação de governança de dados;
– Parcerias estratégicas com consultorias especializadas em cibersegurança;
– Assessoria em auditorias e adequações à legislação.
