ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da TERCEIRA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 09/12/2025 a 15/12/2025, por unanimidade, conhecer do recurso e, nessa parte, dar-lhe provimento, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Daniela Teixeira, Na ncy Andrighi, Humberto Martins e Ricardo Villas Bôas Cueva votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro Humberto Martins.<br>EMENTA<br>PROCESSUAL CIVIL, CONSUMIDOR E PROTEÇÃO DE DADOS. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. BANCO DE DADOS DE CRÉDITO. DISPONIBILIZAÇÃO/COMERCIALIZAÇÃO DE DADOS CADASTRAIS A TERCEIROS CONSULENTES. LEI 12.414/2011 . LGPD. TEMA 710/STJ E SÚMULA 550/STJ . DISTINÇÃO. DANO MORAL IN RE IPSA. RESPONSABILIDADE OBJETIVA. RECURSO CONHECIDO E PROVIDO.<br>1. Recurso especial em ação de obrigação de fazer cumulada com indenização por danos morais, interposto por consumidor contra acórdão que reputou lícita a disponibilização, em relatórios confidenciais de proteção ao crédito, de dados pessoais não sensíveis (endereço, telefones, participação societária, score e faixa estimada de renda) sem consentimento e sem comunicação prévia, afastando dano moral.<br>2. O objetivo recursal é decidir se (i) a disponibilização, a terceiros consulentes, de informações cadastrais e de adimplemento, em ambiente de proteção ao crédito, dispensa consentimento e comunicação prévia; (ii) a legislação específica (Lei 12.414/2011 e CDC) limita o conteúdo que pode ser disponibilizado a consulentes ao score e, mediante autorização, ao histórico de crédito; (iii) a mera disponibilização indevida de dados cadastrais configura dano moral; (iv) aplica-se, ou não, por distinção, o entendimento do Tema 710/STJ e da Súmula 550/STJ.<br>3. O tratamento de dados para proteção do crédito é autorizado (LGPD, art. 7º, X), mas se submete aos limites da Lei 12.414/2011: ao consulente, podem ser disponibilizados o score de crédito (sem consentimento) e, mediante autorização específica, o histórico de crédito; informações cadastrais e de adimplemento armazenadas só podem ser compartilhadas entre bancos de dados (art. 4º, III e IV). A disponibilização de dados cadastrais a consulentes, sem consentimento específico do titular, é ilícita.<br>4. A disponibilização/comercialização de dados cadastrais a terceiros consulentes, sem autorização específica, viola o microssistema de proteção ao crédito e a autodeterminação informativa, configurando ato ilícito e dano moral presumido, com responsabilidade objetiva do gestor (Lei 12.414/2011, art. 16; LGPD, arts. 42 e 43, II; CDC, art. 43, §§ 1º e 2º). O Tema 710/STJ e a Súmula 550/STJ, restritos ao credit scoring, não se aplicam ao fornecimento de dados cadastrais por banco de dados.<br>5. Recurso especial conhecido e provido.

RELATÓRIO<br>Trata-se de recurso especial interposto por Marcio Veloso Soares (MARCIO), contra acórdão do Tribunal de Justiça do Estado de São Paulo, de relatoria da Desembargadora Silvia Rocha, assim ementado:<br>Prestação de serviços Ação de obrigação de fazer c.c. pedido indenizatório Inexistência de prova da comercialização de dados sensíveis do autor Informações destinadas à proteção de crédito, cuja divulgação independe do consentimento do consumidor Aplicação da tese fixada no julgamento do REsp 1.419.697/RS e da súmula 550/STJ Dano moral Inocorrência Recurso não provido. (e-STJ, fl. 550)<br>Nas razões de seu apelo nobre, interposto com fundamento nas alíneas a e c do inciso III do art. 105 da Constituição Federal, MARCIO VELOSO SOARES apontou: (1) contrariedade ao art. 5º, X, da Constituição Federal e ao art. 21 do Código Civil, por suposta violação à privacidade, honra e imagem decorrente da disponibilização/comercialização de dados pessoais sem consentimento; (2) violação dos arts. 7º, I e X, 8º e seus parágrafos, e 9º da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD), sustentando a exigência de consentimento e comunicação prévia para tratamento e compartilhamento de dados pessoais, bem como a incompatibilidade da prática com os fundamentos da proteção de dados, dentre eles o respeito à privacidade e a autodeterminação informativa; (3) violação dos arts. 3º, §§ 1º e 3º, I, 4º e 5º, VII, da Lei nº 12.414/2011 (Lei do Cadastro Positivo), por entender que o compartilhamento realizado não se destina ao histórico de crédito e exige autorização expressa do cadastrado; (4) violação do art. 43, §§ 1º e 2º, do Código de Defesa do Consumidor (CDC), por ausência de comunicação escrita da abertura de cadastro e manutenção/divulgação de dados negativos para além de cinco anos, bem como pela inserção não solicitada; (5) ocorrência de dissídio jurisprudencial com julgados do Tribunal de Justiça do Distrito Federal e dos Territórios, notadamente no Agravo de Instrumento nº 0749765-29.2020.8.07.0000 e na Apelação nº 0734712-68.2021.8.07.0001; (6) pedido de reparação por danos morais, com fundamento no REsp nº 1.758.799/MG, por entender configurado dano in re ipsa na hipótese de tratamento e transferência indevida de dados pessoais a terceiros (e-STJ, fls. 565/566).<br>Houve apresentação de contrarrazões por SERASA S.A. (SERASA) (e-STJ, fls. 587/599).<br>É o relatório.<br>EMENTA<br>PROCESSUAL CIVIL, CONSUMIDOR E PROTEÇÃO DE DADOS. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. BANCO DE DADOS DE CRÉDITO. DISPONIBILIZAÇÃO/COMERCIALIZAÇÃO DE DADOS CADASTRAIS A TERCEIROS CONSULENTES. LEI 12.414/2011 . LGPD. TEMA 710/STJ E SÚMULA 550/STJ . DISTINÇÃO. DANO MORAL IN RE IPSA. RESPONSABILIDADE OBJETIVA. RECURSO CONHECIDO E PROVIDO.<br>1. Recurso especial em ação de obrigação de fazer cumulada com indenização por danos morais, interposto por consumidor contra acórdão que reputou lícita a disponibilização, em relatórios confidenciais de proteção ao crédito, de dados pessoais não sensíveis (endereço, telefones, participação societária, score e faixa estimada de renda) sem consentimento e sem comunicação prévia, afastando dano moral.<br>2. O objetivo recursal é decidir se (i) a disponibilização, a terceiros consulentes, de informações cadastrais e de adimplemento, em ambiente de proteção ao crédito, dispensa consentimento e comunicação prévia; (ii) a legislação específica (Lei 12.414/2011 e CDC) limita o conteúdo que pode ser disponibilizado a consulentes ao score e, mediante autorização, ao histórico de crédito; (iii) a mera disponibilização indevida de dados cadastrais configura dano moral; (iv) aplica-se, ou não, por distinção, o entendimento do Tema 710/STJ e da Súmula 550/STJ.<br>3. O tratamento de dados para proteção do crédito é autorizado (LGPD, art. 7º, X), mas se submete aos limites da Lei 12.414/2011: ao consulente, podem ser disponibilizados o score de crédito (sem consentimento) e, mediante autorização específica, o histórico de crédito; informações cadastrais e de adimplemento armazenadas só podem ser compartilhadas entre bancos de dados (art. 4º, III e IV). A disponibilização de dados cadastrais a consulentes, sem consentimento específico do titular, é ilícita.<br>4. A disponibilização/comercialização de dados cadastrais a terceiros consulentes, sem autorização específica, viola o microssistema de proteção ao crédito e a autodeterminação informativa, configurando ato ilícito e dano moral presumido, com responsabilidade objetiva do gestor (Lei 12.414/2011, art. 16; LGPD, arts. 42 e 43, II; CDC, art. 43, §§ 1º e 2º). O Tema 710/STJ e a Súmula 550/STJ, restritos ao credit scoring, não se aplicam ao fornecimento de dados cadastrais por banco de dados.<br>5. Recurso especial conhecido e provido.<br>VOTO<br>O recurso merece prosperar.<br>Contextualização fática<br>Na origem, o caso cuida de ação de obrigação de fazer cumulada com indenização por danos morais proposta por consumidor que alegou a comercialização e divulgação de seus dados pessoais por serviços da requerida, então identificados como Info Busca, Lista Online e Prospecção de Clientes, sem consentimento e comunicação prévia.<br>O Juízo de primeira instância julgou improcedentes os pedidos, por entender que as informações veiculadas não eram dados sensíveis e destinavam-se à proteção do crédito, dispensando autorização do titular. Na apelação, a parte sustentou que a abertura e divulgação de cadastro exigiriam consentimento e comunicação prévia, que os dados seriam sensíveis e sigilosos, que haveria afronta à ação civil pública do Distrito Federal e que o Tema 710 não se aplicaria.<br>O Tribunal de Justiça de São Paulo, por unanimidade, negou provimento ao recurso, assentando que o relatório de consulta juntado aos autos (fls. 41/42) não se referia aos produtos Info Busca, Lista Online e Prospecção de Clientes, mas a consulta de crédito realizada por cliente previamente cadastrado. Registrou que o documento indicava dados pessoais, endereço, anotações negativas, participação societária, score e faixa estimada de renda, com cláusula de confidencialidade.<br>Concluiu que não havia dados sensíveis, que a divulgação era lícita e dispensava consentimento, à luz do REsp nº 1.419.697/RS (Tema 710) e da Súmula 550/STJ, e que o precedente REsp nº 1.758.799/MG não se aplicava por versar sobre bancos de dados e dever de comunicação; afastou a alegação de descumprimento da ação civil pública do Distrito Federal, por não se tratar dos serviços nela alcançados, e manteve a improcedência do pedido de dano moral (e-STJ, fls. 551/557).<br>Nesta Corte Superior, a pretensão recursal busca a reforma do acórdão por violação de dispositivos da Constituição Federal, do Código Civil, da LGPD, da Lei do Cadastro Positivo e do CDC, além de dissídio com julgados do Tribunal distrital, com vistas ao reconhecimento da ilicitude da comercialização/tratamento de dados pessoais sem consentimento e da necessidade de comunicação prévia, bem como à condenação por danos morais (e-STJ, fls. 562/568).<br>Objetivo recursal<br>Trata-se de recurso especial em ação de obrigação de fazer cumulada com indenização por danos morais, no qual se discute a licitude do tratamento e da disponibilização de dados pessoais em relatórios confidenciais de proteção ao crédito, sem consentimento e sem comunicação prévia, e o consequente cabimento de reparação por dano moral.<br>O objetivo recursal é decidir se (i) a disponibilização/confidencial em relatórios de proteção ao crédito de dados pessoais não sensíveis, como endereço, telefones, participação societária, score e faixa estimada de renda, dispensa consentimento do titular à luz do art. 7º, X, da LGPD e do entendimento firmado no REsp nº 1.419.697/RS (Tema 710) e Súmula 550/STJ; (ii) há necessidade de comunicação prévia nos termos do art. 43, §§ 1º e 2º, do CDC e da Lei nº 12.414/2011, e se houve violação a esses dispositivos no caso concreto; (iii) configura-se dano moral, presumido ou não, pela mera disponibilização desses dados; (iv) há dissídio jurisprudencial válido e demonstrado, com similitude fática e cotejo analítico, em confronto com julgados do Tribunal de Justiça do Distrito Federal e dos Territórios (e-STJ, fls. 562/568; 587/599).<br>1 a 6 Da alegada violação aos arts. 5º, X, da CF e 21 do CC,; art. 43, §§ 1º e 2º, do CDC; Lei 12.414/2011; arts. 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso VII, da Lei 12.414/2011; arts. 7º, I e X, 8º e seus parágrafos, e 9º da Lei nº 13.709/2018 e suposta contrariedade ao art. 5º, XII, da CF e regras da Lei 9.472/1997.<br>MARCIO pretendeu ver conhecido o recurso especial, pela alínea a do art. 105, III, da Constituição Federal, sob o argumento de que o acórdão do Tribunal bandeirante teria violado, entre outros, os arts. 5º, X, da CF e 21 do CC,; art. 43, §§ 1º e 2º, do CDC; Lei 12.414/2011; arts. 3º, §§ 1º e 3º, inciso I, 4º e 5º, inciso VII, da Lei 12.414/2011; e suposta contrariedade ao art. 5º, XII, da CF e regras da Lei 9.472/1997.<br>Arguiu a ilicitude da abertura, do compartilhamento e da comercialização remunerada de seus dados pessoais, sem consentimento e sem comunicação prévia, com a consequente condenação por dano moral in re ipsa, distinguindo o Tema 710/STJ por não se tratar de mera pontuação estatística, mas de banco de dados e fornecimento de informações a terceiros.<br>Alegou ainda violação do art. 5º, X, da CF, por afronta à intimidade e à vida privada com a disponibilização dos dados em plataformas acessíveis, como Info Busca, Lista Online e Prospecção de Clientes que o documento indicava dados pessoais, endereço, anotações negativas, participação societária, score e faixa estimada de renda, com cláusula de confidencialidade (e-STJ, fls. 332/332).<br>E razão lhe assiste.<br>O acórdão estadual construiu sua conclusão a partir de uma premissa restritiva: tratava-se de consulta confidencial para proteção do crédito, com dados não sensíveis, acessível apenas a clientes da requerida e sob sigilo contratual. Com base nisso, aplicou o Tema 710/STJ e a Súmula 550/STJ para dispensar consentimento e, por fim, distinguiu o REsp 1.758.799/MG e afastou dano moral (e-STJ, fls. 552/555).<br>A tese recursal procede ao demonstrar que o acórdão, embora minucioso em delimitar dados não sensíveis, não enfrentou dois pontos determinantes: a natureza e a amplitude do conjunto de informações, inclusive faixa de renda estimada e participação societária, e o regime específico de comunicação e consentimento quando há abertura ou disponibilização de cadastro com dados pessoais em ambiente de mercado, ainda que dito confidencial e sobre disponibilização e comercialização de informações cadastrais a terceiros consulentes. Atividade regulada por microssistema normativo específico, qual seja, a Lei nº 12.414/2011, CDC e LGPD.<br>Ao circunscrever o debate apenas ao critério sensíveis versus não sensíveis, deixou de enfrentar a categoria legal de informações excessivas e seu limite, prevista na Lei nº 12.414/2011, além de ignorar que estimativas de renda e agregações de variados atributos pessoais podem extrapolar o mínimo necessário ao fim declarado.<br>O acórdão afirmou que o caso não se confundia com bancos de dados, afastando a incidência do dever de comunicação, por reputar tratar-se de situação do consumidor no mercado de crédito, inclusive com a possibilidade de consulta ao seu score (e-STJ, fls. 554/555). A irresignação demonstrou que a abertura e a disponibilização do relatório implicaram manutenção e difusão de dados pessoais em ambiente de consulta remunerada, com acesso por terceiros cadastrados, o que, no sistema do CDC, aciona o dever de comunicação escrita quando não solicitada pelo titular (art. 43, §§ 1º e 2º).<br>Na aplicação do Tema 710 e da Súmula 550/STJ, o precedente consolidou a licitude do credit scoring, sem constituir banco de dados e com transparência nas informações valoradas. Aqui, o próprio acórdão registrou que o relatório reuniu múltiplos itens pessoais e de mercado (anotações negativas, participação societária, score, faixa estimada de renda), em tela consultável por cliente mediante pagamento, com uso exclusivo do destinatário (e-STJ, fls. 553/553).<br>Essa descrição se aproxima de um arquivo de dados com utilidade para além da pontuação estatística, afastando a correspondência plena com o paradigma e reintroduzindo o debate sobre a base legal adequada de tratamento (LGPD, art. 7, I versus X) e a comunicação exigida pelo CDC quando o titular não solicitou a abertura de cadastro.<br>O acórdão recorrido ancorou a conclusão de improcedência na premissa de que os dados exibidos (faixa salarial, score, protestos, grau de instrução, título de eleitor, nome da mãe, região de origem do CPF e endereço) não seriam sensíveis ou excessivos à luz da LGPD e da Lei do Cadastro Positivo, e que, por isso, a retirada não seria cabível, inexistindo dano moral.<br>O tratamento de dados pessoais para proteção ao crédito, embora autorizado pelo art. 7º, X, da LGPD, submete-se aos limites da Lei nº 12.414/2011.<br>MARCIO demonstrou, por meio de uma consulta paga, a existência de produtos específicos por meio dos quais a SERASA disponibilizava a terceiros um vasto leque de suas informações pessoais. O relatório obtido por meio deste serviço, (e-STJ fls. 41/42;44/45), foi utilizado como prova da materialidade dos fatos, evidenciando que seus dados estavam, de fato, sendo objeto de uma transação comercial.<br>O art. 4º dessa lei, com redação da LC nº 166/2019, distingue claramente o compartilhamento de dados com outros gestores da disponibilização a consulentes:<br>"Art. 4º O gestor está autorizado, nas condições estabelecidas nesta Lei, a:  ..  III - compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados; e IV - disponibilizar a consulentes: a) a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas; e b) o histórico de crédito, mediante prévia autorização específica do cadastrado."<br>A norma expressamente declara que informações cadastrais apenas podem ser compartilhadas entre bancos de dados. Aos consulentes, o gestor pode disponibilizar exclusivamente o score de crédito e, mediante autorização, o histórico de crédito. Inexiste autorização legal para disponibilizar dados cadastrais (nome, CPF, endereço, telefone) a terceiros consulentes.<br>Em nenhum momento foi contestada a autenticidade do relatório apresentado ou a oferta dos serviços a seus clientes. A defesa optou por um caminho distinto: o da justificação jurídica. Admitiu-se a prática, mas sob o argumento de que se tratava de uma atividade lícita, essencial à análise de crédito e amparada por uma interpretação ampla da legislação, notadamente a exceção prevista na Lei Geral de Proteção de Dados.<br>Ao disponibilizar as informações cadastrais do MARCIO, a SERASA ultrapassou os limites de sua autorização legal, praticando ato ilícito, conforme jurisprudencia desta Terceira Turma do STJ, assim ementada:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ . CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011 . TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE . DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO . POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO . DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1 . Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/5/2023 e concluso ao gabinete em 19/12/2023.2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.3 . O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts . 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.5. Todavia, o gestor de banco de dados regido pela Lei nº 12 .414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, a e b da referida lei. 6 . Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.7 . Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12 .414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente .10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts . 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da autora a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, do histórico de crédito .13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais .<br>(STJ - REsp: 2115461 SP 2023/0453798-4, Relator.: Ministra NANCY ANDRIGHI, Data de Julgamento: 08/10/2024, T3 - TERCEIRA TURMA, Data de Publicação: DJe 14/10/2024).<br>A lei não autoriza, portanto, que o gestor de banco de dados disponibilize informações puramente cadastrais do consumidor a qualquer terceiro consulente. Ao fazê-lo, como restou incontroverso nos autos, a SERASA extrapolou sua autorização legal, praticando ato ilícito. A finalidade de proteção ao crédito não constitui um salvo-conduto para o descumprimento das regras específicas que disciplinam como essa proteção deve ser exercida.<br>Portanto, quando um terceiro interessado deseja acessar as informações de registro do titular cadastrado, mesmo tratando-se de dados pessoais não considerados sensíveis, é imprescindível que obtenha previamente o consentimento explícito do titular dos dados, fundamentado no princípio da autonomia da vontade, uma vez que inexiste amparo legal para que o administrador da base de dados faculte o acesso a tais informações aos consulentes.<br>No que tange à constituição do cadastro pelo administrador da base de dados, embora dispense o consentimento antecipado, torna-se imperativa a notificação ao titular cadastrado, inclusive acerca dos demais responsáveis pelo tratamento, facultando-lhe requerer a exclusão de seu registro a qualquer tempo, conforme estabelecido no art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercitar as demais prerrogativas legalmente asseguradas relativamente aos seus dados.<br>O descumprimento das obrigações inerentes ao tratamento (compreendendo a captação, o arquivamento e o repasse a terceiros) das informações do titular - entre as quais se destaca o dever de informação - gera para este a pretensão reparatória pelos prejuízos sofridos e o direito de exigir a interrupção imediata da violação aos direitos da personalidade.<br>Nesse sentido:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ . CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011 . TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE . DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO . POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO . DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO. 1 . Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024.2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.3 . O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts . 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.5. Todavia, o gestor de banco de dados regido pela Lei nº 12 .414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, a e b da referida lei. 6 . Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.7 . Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12 .414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente .10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts . 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da autora a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito .13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(STJ - REsp: 2133261 SP 2024/0109609-9, Relator.: Ministra NANCY ANDRIGHI, Data de Julgamento: 08/10/2024, T3 - TERCEIRA TURMA, Data de Publicação: DJe 10/10/2024)<br>O fornecimento inadequado de informações pessoais pelas bases de dados a terceiros configura dano moral presumido ao titular cadastrado, considerando, principalmente, o expressivo sentimento de insegurança por ele vivenciado.<br>O administrador de base de dados que faculta a terceiros consulentes o ingresso aos dados do titular cadastrado que deveriam ser compartilhados exclusivamente entre bases de dados - a exemplo das informações cadastrais - deve responder de forma objetiva pelos danos morais provocados ao cadastrado, em conformidade com os arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>Configurado o ato ilícito, surge o dever de indenizar. Esta Terceira Turma pacificou que a disponibilização indevida de dados pessoais por bancos de dados a terceiros, em desconformidade com limites legais, caracteriza dano moral presumido. (REsp 1.758.799/MG; REsp: 2133261 SP; REsp: 2146806; REsp: 2169986 )<br>A violação decorre da insegurança experimentada pelo titular ao constatar que suas informações foram indevidamente compartilhadas, perdendo o controle sobre o acesso e a finalidade. Tal situação transcende o mero dissabor, vulnerando o direito fundamental à privacidade e à autodeterminação informativa, expondo o indivíduo a riscos como fraudes e abordagens comerciais invasivas.<br>A responsabilidade do gestor é objetiva, nos termos do art. 16 da Lei nº 12.414/2011 e do art. 42 da LGPD, independentemente de demonstração de culpa. Na hipótese dos autos, SERASA disponibilizou irregularmente as informações cadastrais do MARCIO a terceiros consulentes, os quais, por lei, deveriam ter acesso apenas à pontuação de crédito ou, mediante autorização, ao histórico de crédito.<br>A hipótese dos autos difere daquela examinada no Tema 710/STJ e na Súmula 550/STJ. No julgamento do REsp 1.419.697/RS, sob o rito dos repetitivos, consignou-se que o credit scoring não se trata de um cadastro ou banco de dados de consumidores, mas de uma metodologia de cálculo do risco de crédito, dispensando-se o consentimento prévio do consumidor.<br>O presente caso não versa sobre atribuição de pontuação de crédito, mas sobre gestão de banco de dados e, especificamente, sobre disponibilização e comercialização de informações cadastrais a terceiros consulentes. Essa atividade é regulada por microssistema normativo específico: Lei nº 12.414/2011, CDC e LGPD. Ao aplicar o raciocínio do Tema 710, o acórdão recorrido desconsiderou as particularidades e limites impostos pela legislação que rege os bancos de dados.<br>Desse modo, o recurso merece ser provido e deve o pedido de obrigação de não fazer ser julgado parcialmente procedente para que SERASA se abstenha de disponibilizar, permitir acesso ou compartilhar de qualquer forma, os dados da MARCIO (renda, endereço, telefones) via Lista Online, Prospecção de Clientes, Info Busca ou outra estrutura de consulta informações cadastrais e de adimplemento, sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados, aos quais é permitido tal compartilhamento.<br>Ainda, diante da disponibilização indevida dos dados de MARCIO, merece ser julgado procedente o pedido indenizatório, para condenar SERASA a pagar ao MARCIO a quantia de R$ 11.000,00, a título de danos morais<br>Diante do todo exposto, CONHEÇO do recurso especial e DOU-LHE PROVIMENTO, para julgar procedentes os pedidos formulados na inicial, a fim de condenar SERASA se abstenha de disponibilizar, permitir acesso ou compartilhar de qualquer forma, os dados do MARCIO (renda, endereço, telefones) via Lista Online, Prospecção de Clientes, Info Busca ou outra estrutura de consulta informações cadastrais e de adimplemento, sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e pagar ao MARCIO a quantia de R$ 11.000,00, a título de indenização por danos morais acrescido de correção monetária a partir deste arbitramento e juros de mora desde a citação.<br>Invertida a sucumbência, condeno SERASA ao pagamento das custas processuais e honorários advocatícios de sucumbência, os quais fixo em 15% sobre o valor da condenação, com base no art. 85, § 2º, do CPC.<br>É como voto.<br>Por oportuno, previno que a interposição de recurso contra este acórdão, se declarado manifestamente inadmissível, protelatório ou improcedente, poderá acarretar condenação nos termos do art. 1.026, § 2º, do CPC.