Em julgamento recente, o Superior Tribunal de Justiça (STJ) analisou um recurso interposto contra a Boa Vista Serviços S.A., gestora de banco de dados creditícios, e definiu os limites legais para o compartilhamento de informações cadastrais e de adimplemento de consumidores. A decisão, relatada pela Ministra Nancy Andrighi, condenou a empresa a pagar R$ 11.000,00 por danos morais à autora do recurso, após a comprovação de que seus dados foram compartilhados com terceiros sem a devida autorização e comunicação, violando a Lei nº 12.414/2011 (Lei do Cadastro Positivo) e a Lei Geral de Proteção de Dados (LGPD).
A autora identificou que seus dados cadastrais estavam sendo comercializados por meio dos serviços ACERTA Essencial, ACERTA Intermediário, Acerta Completo e DATAPLUS, todos oferecidos pela Boa Vista Serviços. Assim, ela ajuizou ação buscando a cessão do oferecimento dos dados, além de indenização por danos morais.
Conforme o julgamento, os bancos de dados podem compartilhar as seguintes informações sem a necessidade de consentimento prévio:
- Score de crédito: A pontuação de crédito elaborada com base nas informações de adimplemento pode ser disponibilizada a terceiros sem a autorização do titular, em conformidade com a Súmula 550 do STJ e a Lei nº 12.414/2011.
- Cadastro de adimplemento: A abertura de cadastro com informações sobre adimplemento de pessoas naturais e jurídicas também é permitida sem consentimento, desde que haja comunicação ao cadastrado em até 30 dias após a abertura, assegurando o direito de cancelamento.
Entretanto, para que outras informações, como o histórico de crédito, sejam compartilhadas com terceiros, é necessária a autorização prévia e específica do cadastrado, conforme as regras estabelecidas pelo Decreto nº 9.936/2019. As informações cadastrais (nome, CPF, endereço, telefone, etc.), por sua vez, podem ser compartilhadas apenas entre bancos de dados autorizados, sendo vedada sua disponibilização a outros consulentes sem autorização expressa do titular. Firma-se, portanto, a orientação de que: "se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o
gestor de banco de dados disponibilize tais dados aos consulentes".
Portanto, quando algum gestor de bancos de dados disponibiliza informações cadastrais para outras partes, que não sejam bancos de dados, isso configura um tratamento ilícito de dados pessoais, com dano moral presumido, de acordo com as disposições da LGPD. No caso concreto, o gestor disponibilizou para terceiros informações que só poderiam ser acessadas por outros bancos de dados (que só poderiam ter acesso ao score de crédito e histórico de crédito mediante autorização). Além do mais, a falta de comunicação ao titular dos dados, impede que ele exercite os seus direitos previstos na Lei do Cadastro Positivo e na LGPD. De outra forma, somente poderiam ter acesso a dados cadastrais aquelas instituições que mantiverem ou pretendem manter uma relação comercial ou creditícia com o cadastrado, conforme o art. 9º daquela Lei ou obtendo o seu consentimento.
A presente decisão constitui um verdadeiro marco na jurisprudência brasileira. Ficam limitadas, a partir de agora, a comercialização de dados pessoais por bureaus de crédito, caso elas ocorram fora das hipóteses acima indicadas. Além do mais, a decisão acertou ao considerar a LGPD e seus princípios, sendo suas disposições de fundamental importância para a definição da condenação. Também ficou destacada a diferença entre dados de escore de crédito e os dados provenientes de bancos de dados cadastrais.
REsp. n. 2.133.261/SP
Este post foi resumido a partir da decisão original com o uso do ChatGPT versão 4o, com revisão humana.
