ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da TERCEIRA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 09/12/2025 a 15/12/2025, por unanimidade, conhecer do recurso e, nessa parte, dar-lhe provimento, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Daniela Teixeira, Nancy Andrighi, Humberto Martins e Ricardo Villas Bôas Cueva votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro Humberto Martins.<br>EMENTA<br>PROCESSUAL CIVIL, CONSUMIDOR E PROTEÇÃO DE DADOS. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. BANCO DE DADOS DE CRÉDITO. DISPONIBILIZAÇÃO/COMERCIALIZAÇÃO DE DADOS CADASTRAIS A TERCEIROS CONSULENTES. LEI 12.414/2011 . LGPD. TEMA 710/STJ E SÚMULA 550/STJ. DISTINÇÃO. DANO MORAL IN RE IPSA. RESPONSABILIDADE OBJETIVA. RECURSO CONHECIDO E PROVIDO.<br>1. Recurso especial contra acórdão estadual que manteve a improcedência de ação de obrigação de fazer cumulada com indenização, ajuizada em face de BOA VISTA SERVIÇOS S/A, por disponibilização/compartilhamento/comercialização de dados pessoais em plataformas da gestora, sem consentimento e sem comunicação prévia.<br>2. O objetivo recursal é decidir se (i) é lícita a abertura/manutenção/divulgação/comercialização de dados pessoais em banco de dados de proteção ao crédito sem comunicação prévia ou consentimento; (ii) o gestor pode disponibilizar a terceiros consulentes dados cadastrais e de adimplemento; (iii) há distinção em relação ao Tema 710/STJ (credit scoring) e (iv) se a prática configura dano moral presumido.<br>3. A abertura do cadastro para proteção do crédito dispensa consentimento, mas exige comunicação prévia ao cadastrado, inclusive quanto aos agentes de tratamento, assegurada a exclusão a qualquer tempo (Lei 12.414/2011, art. 4º, I e § 4º; LGPD, art. 7º, X). O gestor somente pode disponibilizar a consulentes o score de crédito, sem consentimento, e o histórico de crédito, com autorização específica; informações cadastrais e de adimplemento são compartilháveis apenas com outros bancos de dados (Lei 12.414/2011, art. 4º, III e IV).<br>4. A disponibilização/comercialização de dados cadastrais a terceiros consulentes, sem autorização específica, viola o microssistema de proteção ao crédito e a autodeterminação informativa, configurando ato ilícito e dano moral in re ipsa, com responsabilidade objetiva do gestor (Lei 12.414/2011, art. 16; LGPD, arts. 42 e 43, II; CDC, art. 43, §§ 1º e 2º). O Tema 710/STJ e a Súmula 550/STJ, restritos ao credit scoring, não se aplicam ao fornecimento de dados cadastrais por banco de dados.<br>5. Recurso especial conhecido e provido.

RELATÓRIO<br>Trata-se de recurso especial interposto por SOLANGE DA SILVA OLIVEIRA (Solange), contra acórdão proferido pelo Tribunal de Justiça do Estado de São Paulo, assim ementado:<br>EMENTA: Prestação de serviços - Ação de obrigação de fazer cumulada com pretensão indenizatória - Dados cadastrais da autora constantes de serviços disponibilizados pela ré - Informações não enquadradas dentre as legalmente definidas como sensíveis ou excessivas, nos termos do artigo 5º, inciso II, da Lei nº 13.709/2018 e do artigo 3º, § 3º, da Lei nº 12.414/11 - Danos morais indevidos - Apelo improvido." (e-STJ, fl. 331)<br>Os embargos de declaração de Solange foram rejeitados (e-STJ, fls. 351/356).<br>Nas razões de seu apelo nobre, interposto com fundamento nas alíneas a e c do inciso III do art. 105 da Constituição Federal, SOLANGE apontou (1) violação dos arts. 21 do Código Civil (CC), 43, §§ 1º e 2º, do Código de Defesa do Consumidor (CDC), 7º, incisos I e X, 8º e seus parágrafos e 9º, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD), e dos arts. 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso VII, da Lei nº 12.414/2011 (Lei do Cadastro Positivo), sustentando ilicitude na abertura/compartilhamento/comercialização de dados pessoais sem consentimento e sem comunicação prévia, com dano moral in re ipsa e distinção do Tema 710/STJ (REsp 1.419.697/RS) por não se tratar de mera pontuação estatística (credit scoring), mas de banco de dados com compartilhamento remunerado; (2) afronta do art. 5º, inciso X, da Constituição Federal, pela violação à intimidade e vida privada com disponibilização de dados em plataformas acessíveis a terceiros; (3) dissídio jurisprudencial, com paradigmas que exigem consentimento específico ou comunicação para compartilhamento/comercialização de dados pessoais e reconhecem dano moral decorrente da violação do dever de informação, inclusive com referência ao REsp 1.758.799/MG e ao REsp 2146806/SP, ambos distintivos do Tema 710/STJ (e-STJ, fls. 360/374).<br>Foram apresentadas contrarrazões por BOA VISTA SERVIÇOS S/A, (e-STJ, fls. 389/408).<br>O apelo nobre foi admitido na origem.<br>É o relatório.<br>EMENTA<br>PROCESSUAL CIVIL, CONSUMIDOR E PROTEÇÃO DE DADOS. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. BANCO DE DADOS DE CRÉDITO. DISPONIBILIZAÇÃO/COMERCIALIZAÇÃO DE DADOS CADASTRAIS A TERCEIROS CONSULENTES. LEI 12.414/2011 . LGPD. TEMA 710/STJ E SÚMULA 550/STJ. DISTINÇÃO. DANO MORAL IN RE IPSA. RESPONSABILIDADE OBJETIVA. RECURSO CONHECIDO E PROVIDO.<br>1. Recurso especial contra acórdão estadual que manteve a improcedência de ação de obrigação de fazer cumulada com indenização, ajuizada em face de BOA VISTA SERVIÇOS S/A, por disponibilização/compartilhamento/comercialização de dados pessoais em plataformas da gestora, sem consentimento e sem comunicação prévia.<br>2. O objetivo recursal é decidir se (i) é lícita a abertura/manutenção/divulgação/comercialização de dados pessoais em banco de dados de proteção ao crédito sem comunicação prévia ou consentimento; (ii) o gestor pode disponibilizar a terceiros consulentes dados cadastrais e de adimplemento; (iii) há distinção em relação ao Tema 710/STJ (credit scoring) e (iv) se a prática configura dano moral presumido.<br>3. A abertura do cadastro para proteção do crédito dispensa consentimento, mas exige comunicação prévia ao cadastrado, inclusive quanto aos agentes de tratamento, assegurada a exclusão a qualquer tempo (Lei 12.414/2011, art. 4º, I e § 4º; LGPD, art. 7º, X). O gestor somente pode disponibilizar a consulentes o score de crédito, sem consentimento, e o histórico de crédito, com autorização específica; informações cadastrais e de adimplemento são compartilháveis apenas com outros bancos de dados (Lei 12.414/2011, art. 4º, III e IV).<br>4. A disponibilização/comercialização de dados cadastrais a terceiros consulentes, sem autorização específica, viola o microssistema de proteção ao crédito e a autodeterminação informativa, configurando ato ilícito e dano moral in re ipsa, com responsabilidade objetiva do gestor (Lei 12.414/2011, art. 16; LGPD, arts. 42 e 43, II; CDC, art. 43, §§ 1º e 2º). O Tema 710/STJ e a Súmula 550/STJ, restritos ao credit scoring, não se aplicam ao fornecimento de dados cadastrais por banco de dados.<br>5. Recurso especial conhecido e provido.<br>VOTO<br>O recurso merece prosperar.<br>Contextualização fática<br>No caso concreto, a autora afirma que seus dados pessoais foram armazenados e disponibilizados/compartilhados em plataformas da ré, sem consentimento ou comunicação, incluindo informações como faixa salarial, score, protestos, grau de instrução, título de eleitor, nome da mãe, região de origem do CPF, endereço e contatos telefônicos, alegando violação à intimidade e à vida privada e requerendo retirada dos dados, indenização por dano moral e tutela de urgência (e-STJ, fls. 332/333 e 339).<br>O acórdão recorrido manteve a improcedência por entender que tais dados não são sensíveis ou excessivos à luz da LGPD e da Lei do Cadastro Positivo, que o tratamento se deu em contexto de proteção ao crédito e que não houve demonstração de lesão extrapatrimonial (e-STJ, fls. 333/339).<br>Objetivo recursal<br>Trata-se de recurso especial cível que questiona a legalidade da abertura, manutenção, divulgação e comercialização de dados pessoais em banco de dados de proteção ao crédito, sem comunicação ou consentimento do titular, e a consequente responsabilização por danos morais.<br>O objetivo recursal é a reforma do acórdão para reconhecer a ilicitude da abertura/compartilhamento/comercialização de dados pessoais sem consentimento e sem comunicação prévia, com condenação da ré ao pagamento de danos morais e à cessação da prática, bem como a uniformização da interpretação dos arts. 43, §§ 1º e 2º, do CDC, dos arts. 7º, I e X, 8º e 9º, da LGPD, e dos arts. 3º, §§ 1º e 3º, I, 4º e 5º, VII, da Lei nº 12.414/2011, distinguindo-se o Tema 710/STJ por não se tratar de credit scoring, mas de banco de dados com compartilhamento remunerado de informações pessoais (e-STJ, fls. 360/374).<br>1 e 2 Da alegada violação aos arts. 5º, X, da CF e 21 do CC,; art. 43, §§ 1º e 2º, do CDC; Lei 12.414/2011; arts. 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso VII, da Lei 12.414/2011; e suposta contrariedade ao art. 5º, XII, da CF e regras da Lei 9.472/1997.<br>SOLANGE pretendeu ver conhecido o recurso especial, pela alínea a do art. 105, III, da Constituição Federal, sob o argumento de que o acórdão do Tribunal bandeirante teria violado, entre outros, os arts. 5º, X, da CF e 21 do CC,; art. 43, §§ 1º e 2º, do CDC; Lei 12.414/2011; arts. 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso VII, da Lei 12.414/2011; e suposta contrariedade ao art. 5º, XII, da CF e regras da Lei 9.472/1997.<br>Arguiu a ilicitude da abertura, do compartilhamento e da comercialização remunerada de seus dados pessoais, sem consentimento e sem comunicação prévia, com a consequente condenação por dano moral in re ipsa, distinguindo o Tema 710/STJ por não se tratar de mera pontuação estatística, mas de banco de dados e fornecimento de informações a terceiros.<br>Alegou ainda violação do art. 5º, X, da CF, por afronta à intimidade e à vida privada com a disponibilização dos dados em plataformas acessíveis, como "ACERTA Essencial", "ACERTA Intermediário", "ACERTA Completo" e "DATA PLUS" (e-STJ, fls. 332/332).<br>E razão lhe assiste.<br>O acórdão recorrido ancorou a conclusão de improcedência na premissa de que os dados exibidos (faixa salarial, score, protestos, grau de instrução, título de eleitor, nome da mãe, região de origem do CPF e endereço) não seriam sensíveis ou excessivos à luz da LGPD e da Lei do Cadastro Positivo, e que, por isso, a retirada não seria cabível, inexistindo dano moral (e-STJ, fls. 333/339).<br>O núcleo argumentativo, entretanto, deslocou-se para a tipologia dos dados e para a licitude abstrata do seu tratamento na proteção do crédito, sem enfrentar, de modo específico, dois pontos cruciais suscitados pela recorrente: (i) o dever de comunicação prévia ao consumidor quando não solicitada a abertura de cadastro, nos termos do art. 43, § 2º, do CDC; e (ii) a distinção entre score (Tema 710/STJ) e banco de dados com compartilhamento remunerado a controladores e consulentes, em que se reclama consentimento ou, ao menos, estrita observância do dever informacional.<br>Ao longo do voto, identifica-se a referência a precedentes que tratam de credit scoring e de dispensa de anuência para dados não sensíveis, bem como a transcrição do art. 5º da LGPD e do art. 3º, § 3º, da Lei nº 12.414/2011 (e-STJ, fls. 333/336), mas não há aderência decisiva à questão da comercialização e do compartilhamento remunerado, que foi o cerne da insurgência.<br>Em síntese, embora o julgado tenha transcrito a definição normativa de dado sensível e a vedação a informações excessivas (LGPD, art. 5º; Lei nº 12.414/2011, art. 3º, § 3º), quedou-se silente nos aspectos de comunicação obrigatória na abertura de cadastro e de distinção entre tratamento para proteção do crédito e comercialização de dados com interesse econômico próprio, temas que estruturam a tese recursal.<br>SOLANGE opôs embargos de declaração apontando omissão quanto ao art. 43, §§ 1º e 2º, do CDC, à distinção em face do Tema 710/STJ e à necessidade de comunicação/consentimento na abertura de cadastro e comercialização de dados (e-STJ, fls. 329/334). Os embargos foram rejeitados, sob fundamento de inexistência de omissão, obscuridade ou contradição (e-STJ, fls. 351-356). .<br>O tratamento de dados pessoais para proteção ao crédito, embora autorizado pelo art. 7º, X, da LGPD, submete-se aos limites da Lei nº 12.414/2011.<br>SOLANGE demonstrou, por meio de uma consulta paga, a existência de produtos específicos  nominados como ACERTA Cadastral, ACERTA Essencial, entre outros  por meio dos quais a BOA VISTA disponibilizava a terceiros um vasto leque de suas informações pessoais. O relatório obtido por meio deste serviço, (e-STJ fls. 30/36), foi utilizado como prova da materialidade dos fatos, evidenciando que seus dados estavam, de fato, sendo objeto de uma transação comercial.<br>O art. 4º dessa lei, com redação da LC nº 166/2019, distingue claramente o compartilhamento de dados com outros gestores da disponibilização a consulentes:<br>"Art. 4º O gestor está autorizado, nas condições estabelecidas nesta Lei, a:  ..  III - compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados; e IV - disponibilizar a consulentes: a) a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas; e b) o histórico de crédito, mediante prévia autorização específica do cadastrado."<br>A norma expressamente declara que informações cadastrais apenas podem ser compartilhadas entre bancos de dados. Aos consulentes, o gestor pode disponibilizar exclusivamente o score de crédito e, mediante autorização, o histórico de crédito. Inexiste autorização legal para disponibilizar dados cadastrais (nome, CPF, endereço, telefone) a terceiros consulentes.<br>Em nenhum momento foi contestada a autenticidade do relatório apresentado ou a oferta dos serviços ACERTA a seus clientes. A defesa optou por um caminho distinto: o da justificação jurídica. Admitiu-se a prática, mas sob o argumento de que se tratava de uma atividade lícita, essencial à análise de crédito e amparada por uma interpretação ampla da legislação, notadamente a exceção prevista na Lei Geral de Proteção de Dados.<br>Ao disponibilizar as informações cadastrais da SOLANGE mediante os serviços ACERTA, a BOA VISTA ultrapassou os limites de sua autorização legal, praticando ato ilícito, conforme jurisprudencia desta Terceira Turma do STJ, assim ementada:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ . CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011 . TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE . DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO . POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO . DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1 . Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/5/2023 e concluso ao gabinete em 19/12/2023.2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.3 . O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts . 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.5. Todavia, o gestor de banco de dados regido pela Lei nº 12 .414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, a e b da referida lei. 6 . Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.7 . Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12 .414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente .10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts . 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da autora a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, do histórico de crédito .13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais .<br>(STJ - REsp: 2115461 SP 2023/0453798-4, Relator.: Ministra NANCY ANDRIGHI, Data de Julgamento: 08/10/2024, T3 - TERCEIRA TURMA, Data de Publicação: DJe 14/10/2024).<br>A lei não autoriza, portanto, que o gestor de banco de dados disponibilize informações puramente cadastrais do consumidor a qualquer terceiro consulente. Ao fazê-lo, como restou incontroverso nos autos, a BOA VISTA extrapolou sua autorização legal, praticando ato ilícito. A finalidade de proteção ao crédito não constitui um salvo-conduto para o descumprimento das regras específicas que disciplinam como essa proteção deve ser exercida.<br>Portanto, quando um terceiro interessado deseja acessar as informações de registro do titular cadastrado, mesmo tratando-se de dados pessoais não considerados sensíveis, é imprescindível que obtenha previamente o consentimento explícito do titular dos dados, fundamentado no princípio da autonomia da vontade, uma vez que inexiste amparo legal para que o administrador da base de dados faculte o acesso a tais informações aos consulentes.<br>No que tange à constituição do cadastro pelo administrador da base de dados, embora dispense o consentimento antecipado, torna-se imperativa a notificação ao titular cadastrado, inclusive acerca dos demais responsáveis pelo tratamento, facultando-lhe requerer a exclusão de seu registro a qualquer tempo, conforme estabelecido no art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercitar as demais prerrogativas legalmente asseguradas relativamente aos seus dados.<br>O descumprimento das obrigações inerentes ao tratamento (compreendendo a captação, o arquivamento e o repasse a terceiros) das informações do titular - entre as quais se destaca o dever de informação - gera para este a pretensão reparatória pelos prejuízos sofridos e o direito de exigir a interrupção imediata da violação aos direitos da personalidade.<br>Nesse sentido:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ . CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011 . TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE . DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO . POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO . DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1 . Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024.2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.3 . O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts . 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.5. Todavia, o gestor de banco de dados regido pela Lei nº 12 .414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, a e b da referida lei. 6 . Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.7 . Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12 .414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente .10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts . 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da autora a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito .13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (BOA VISTA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(STJ - REsp: 2133261 SP 2024/0109609-9, Relator.: Ministra NANCY ANDRIGHI, Data de Julgamento: 08/10/2024, T3 - TERCEIRA TURMA, Data de Publicação: DJe 10/10/2024)<br>O fornecimento inadequado de informações pessoais pelas bases de dados a terceiros configura dano moral presumido ao titular cadastrado, considerando, principalmente, o expressivo sentimento de insegurança por ele vivenciado.<br>O administrador de base de dados que faculta a terceiros consulentes o ingresso aos dados do titular cadastrado que deveriam ser compartilhados exclusivamente entre bases de dados - a exemplo das informações cadastrais - deve responder de forma objetiva pelos danos morais provocados ao cadastrado, em conformidade com os arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>Configurado o ato ilícito, surge o dever de indenizar. Esta Terceira Turma pacificou que a disponibilização indevida de dados pessoais por bancos de dados a terceiros, em desconformidade com limites legais, caracteriza dano moral presumido. (REsp 1.758.799/MG; REsp: 2133261 SP; REsp: 2146806; REsp: 2169986 )<br>A violação decorre da insegurança experimentada pelo titular ao constatar que suas informações foram indevidamente compartilhadas, perdendo o controle sobre o acesso e a finalidade. Tal situação transcende o mero dissabor, vulnerando o direito fundamental à privacidade e à autodeterminação informativa, expondo o indivíduo a riscos como fraudes e abordagens comerciais invasivas.<br>A responsabilidade do gestor é objetiva, nos termos do art. 16 da Lei nº 12.414/2011 e do art. 42 da LGPD, independentemente de demonstração de culpa.<br>Na hipótese dos autos, BOA VISTA disponibilizou irregularmente as informações cadastrais da SOLANGE a terceiros consulentes, os quais, por lei, deveriam ter acesso apenas à pontuação de crédito ou, mediante autorização, ao histórico de crédito.<br>A hipótese dos autos difere daquela examinada no Tema 710/STJ e na Súmula 550/STJ. No julgamento do REsp 1.419.697/RS, sob o rito dos repetitivos, consignou-se que o credit scoring não se trata de um cadastro ou banco de dados de consumidores, mas de uma metodologia de cálculo do risco de crédito, dispensando-se o consentimento prévio do consumidor.<br>O presente caso não versa sobre atribuição de pontuação de crédito, mas sobre gestão de banco de dados e, especificamente, sobre disponibilização e comercialização de informações cadastrais a terceiros consulentes. Essa atividade é regulada por microssistema normativo específico: Lei nº 12.414/2011, CDC e LGPD. Ao aplicar o raciocínio do Tema 710, o acórdão recorrido desconsiderou as particularidades e limites impostos pela legislação que rege os bancos de dados.<br>Desse modo, o recurso merece ser provido e deve o pedido de obrigação de não fazer ser julgado parcialmente procedente para que BOA VISTA se abstenha de disponibilizar, de qualquer forma, os dados da SOLANGE (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados, aos quais é permitido tal compartilhamento.<br>Ainda, diante da disponibilização indevida dos dados da SOLANGE, merece ser julgado procedente o pedido indenizatório, para condenar BOA VISTA a pagar a SOLANGE a quantia de R$ 11.000,00, a título de danos morais<br>Diante do todo exposto, CONHEÇO do recurso especial e DOU-LHE PROVIMENTO, para julgar procedentes os pedidos formulados na inicial, a fim de condenar BOA VISTA a se abster de disponibilizar, de qualquer forma, os dados da SOLANGE(informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e pagar a SOLANGE a quantia de R$ 11.000,00, a título de indenização por danos morais acrescido de correção monetária a partir deste arbitramento e juros de mora desde a citação.<br>Invertida a sucumbência, condeno BOA VISTA ao pagamento das custas processuais e honorários advocatícios de sucumbência, os quais fixo em 15% sobre o valor da condenação, com base no art. 85, § 2º, do CPC.<br>É como voto.<br>Por oportuno, previno que a interposição de recurso contra este acórdão, se declarado manifestamente inadmissível, protelatório ou improcedente, poderá acarretar condenação nos termos do art. 1.026, § 2º, do CPC.