A Quarta Turma do Superior Tribunal de Justiça deu um passo relevante no debate sobre proteção de dados e responsabilidade civil. Por decisão unânime, o colegiado fixou entendimento de que a simples disponibilização de dados pessoais no âmbito do cadastro positivo não gera, por si só, direito à indenização por dano moral.
O julgamento seguiu o voto da relatora, ministra Isabel Gallotti, que enfatizou: para haver condenação, é indispensável a comprovação de que a conduta do gestor do banco de dados tenha causado abalo significativo aos direitos de personalidade do titular.
O caso concreto
A controvérsia teve origem em ação proposta por consumidor contra empresa gestora de banco de dados voltado à formação de histórico e pontuação de crédito (credit scoring). O autor alegou que seus dados teriam sido comercializados sem autorização por meio de serviços como “Acerta Essencial” e “Data Plus”, pleiteando a exclusão das informações e indenização de R$ 11 mil por danos morais.
Sustentou que a abertura de cadastro e a divulgação de dados como endereço, telefone e título de eleitor violariam a Lei Geral de Proteção de Dados, a Lei do Cadastro Positivo e o Código de Defesa do Consumidor, defendendo a tese do dano moral presumido (in re ipsa).
Em primeira instância, houve determinação para exclusão dos dados das plataformas, mas o pedido indenizatório foi rejeitado por ausência de comprovação de prejuízo concreto. O Tribunal de Justiça de São Paulo reformou parcialmente a decisão e julgou a ação totalmente improcedente, por entender que não ficou demonstrada a efetiva disponibilização indevida a terceiros nem o uso irregular de informações sensíveis.
LGPD e proteção do crédito
Ao apreciar o recurso especial, a ministra relatora destacou que o artigo 7º da LGPD autoriza o tratamento de dados pessoais para proteção do crédito, remetendo à legislação específica — a Lei do Cadastro Positivo — a disciplina dos limites dessa atividade.
Segundo o entendimento firmado, o gestor pode abrir cadastro sem consentimento prévio do titular e compartilhar informações cadastrais e de adimplemento com outros bancos de dados, além de disponibilizar a nota de crédito aos consulentes do sistema. Já o fornecimento do histórico detalhado depende de autorização específica.
A ministra fez distinção relevante entre dados pessoais comuns e dados sensíveis. Estes últimos possuem proteção reforçada, dada sua aptidão discriminatória e impacto direto na dignidade da pessoa. Já os dados ordinários — frequentemente informados em cadastros diversos e plataformas digitais — não estão, como regra, submetidos ao mesmo regime de sigilo absoluto.
Dano moral exige prova do abalo
O ponto central do acórdão reside na exigência de prova concreta. Para que haja indenização, é necessário demonstrar que houve efetiva disponibilização, compartilhamento ou comercialização indevida e que tal conduta gerou abalo significativo aos direitos da personalidade.
No caso analisado, o tribunal estadual concluiu que tais elementos não foram comprovados. Rever essa conclusão demandaria reexame do conjunto fático-probatório, providência vedada em recurso especial pela Súmula 7 do STJ. Assim, a Quarta Turma negou provimento ao recurso.
A decisão sinaliza que, no campo da proteção de dados, nem toda irregularidade formal gera automaticamente dano moral. A responsabilidade civil, especialmente quando fundada na LGPD, exige demonstração concreta de lesão relevante — reforçando a importância da prova e delimitando o alcance da tese do dano presumido.
