DECISÃO<br>Trata-se de recurso especial, interposto por LENITA DOS SANTOS SOUZA LIMA, fundado no art. 105, III, "a" e "c" da Constituição Federal, em face de acórdão proferido pelo eg. Tribunal de Justiça do Estado de São Paulo, assim ementado (e-STJ, fls. 420/429) :<br>Apelação Cível. Ação de obrigação de fazer com pedido indenizatório por danos morais e tutela antecipada. Alegação de indevida comercialização dos dados pessoais da parte autora por meio dos serviços prestados pela ré. Descabimento. Ausência de prova acerca de eventual abuso de direito na manipulação dos dados pessoais da parte autora, assim como inexistente indício de vazamento dos dados pessoais. Validade do "Credit Scoring". Aplicação do R Esp Repetitivo nº 1.419.697/RS e da Súmula 550 do STJ. Danos morais. Inocorrência. Sentença mantida, com a majoração da verba honorária de sucumbência. Artigo 85, § 11, do Código de Processo Civil. Recurso não provido.<br>Em suas razões recursais, a parte recorrente alegou divergência jurisprudencial quanto à interpretação dada ao art. 43, parágrafos 1º e 2º, do Código de Defesa do Consumidor, sustentando, em síntese, que restou comprovado, nos autos, a comercialização de seus dados pessoais, pela empresa recorrida, sem que houvesse comunicação ou autorização prévia.<br>Suscita violação dos arts. 21 do Código Civil; 3º, parágrafos 1º e 3º, I, 4º e 5º, VII, da Lei Federal 12.414/2011; e 7º, I e X, parágrafos 8º e 9º, da Lei Federal 13.709/2018, defendendo que as informações pessoais disponibilizadas pelos bancos de dados, sem consentimento do consumidor, devem se restringir ao score de crédito.<br>Alega, por fim, que a disponibilização de dados pessoais do consumidor em banco de dados acessível a terceiros configura, por si só, dano moral in re ipsa.<br>O recurso recebeu crivo positivo de admissibilidade na origem, ascendendo a esta Corte Superior para julgamento.<br>É o relatório.<br>Decido.<br>Delineada a controvérsia, observa-se que o Tribunal de origem excluiu a responsabilização da empresa recorrida pela disponibilização dos dados cadastrais da parte recorrente, consignando, para tanto, que os dados pessoais não sensíveis não necessitam de autorização para serem compartilhados, in verbis:<br>"A pretensão fundamenta-se, em síntese, na alegação de que, sem prévia solicitação ou autorização, os dados pessoais da apelante foram incluídos pela apelada em bancos de dados e divulgados a terceiros por intermédio dos serviços INFOBUSCA, LISTA ONLINE E PROSPECÇÃO DE CLIENTES.<br>Afirma que as informações incluem seu nome completo, número de CPF, endereço residencial, números de telefone, renda mensal, dentre outros dados sigilosos. Diz que a abertura de cadastro sequer lhe foi informada e sua divulgação constitui violação à privacidade e intimidade, comportando tutela no campo da responsabilidade civil.<br>A r. sentença julgou os pedidos improcedentes, por entender que não houve comprovação de que a apelada incluiu em cadastro e divulgou seus dados sensíveis, assim compreendidos, nos termos do artigo 5º, inciso II, da Lei nº 13.709/20181, e do artigo 3º, § 3º, inciso II, da Lei nº 12.414/20112.<br>Entendeu o Juízo "a quo" que os únicos dados da apelante constantes no cadastro da apelada são: nome completo; nome da mãe; número, situação e região de origem do CPF; sexo; data de nascimento, número do título de eleitor, endereços e números de telefone.<br>Essas informações, porém, não seriam informações sensíveis ou excessivas à finalidade do cadastro, que é a proteção ao crédito. Ademais, o consentimento do titular não é exigível na hipótese, nos termos do disposto no artigo 7º da Lei nº 13.709/2018.<br>Desnecessária, portanto, a observância do artigo 8º da Lei nº 13.709/2018, somente exigível na hipótese de que trata o inciso I do artigo 7º da referida norma legal.<br>Em tais casos, suficiente que a mantenedora comprove a comunicação da abertura de cadastro ao titular dos dados, como determina o artigo 4º, § 4º, da Lei nº 12.414/2011.<br>Nesse sentido, a r. sentença não merece qualquer reforma.<br>(..)<br>No caso, verifica-se dos documentos trazidos com a inicial que não houve divulgação de dados pessoais sensíveis (artigo 5º, inciso II, da Lei nº 13.709/2018), assim considerados os referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.<br>Aliás, o referido diploma legal, em seu artigo 7º, inciso X, autoriza o tratamento de dados pessoais para a proteção de crédito, e os § 3º e § 4º dispõe o seguinte:<br>(..)<br>Portanto, não se evidencia qualquer ilegalidade ou ilicitude na conduta da demandada a ensejar a pretendida reparação de ordem moral, até porque o controle de disponibilização dos dados de formação do "credit scoring" é feito a posteriori, mediante solicitação do consumidor, que deve demonstrar eventual abusividade cometida pela entidade privada de proteção ao crédito, o que não ficou comprovado nos autos."  g.n <br>Sobre o tema, é importante destacar que, conforme dispõe a Lei Geral de Proteção de Dados, o responsável pelo banco de dados está autorizado a abrir o cadastro de informações de adimplemento sem a necessidade de consentimento prévio do titular. Todavia, o repasse dessas informações, tanto cadastrais quanto de adimplemento, deve se restringir exclusivamente a outros bancos de dados, nos termos do art. 4º, III, da referida Lei nº 12.414/2011, com redação dada pela LC nº 166/2019.<br>Caso um terceiro, não autorizado, deseje acessar as informações cadastrais de um consumidor cadastrado, mesmo que se trate de dados pessoais não sensíveis, é imprescindível que obtenha o consentimento prévio e expresso do titular.<br>Assim, é de rigor a reforma do acórdão no ponto objeto do recurso, uma vez que, no caso dos autos, inexiste aval para o compartilhamento dos dados, ainda que não sensíveis, "em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento." (REsp 2.133.261/SP, relatora Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 8/10/2024, DJe de 10/10/2024.)<br>Ainda, no voto condutor do REsp 2.133.261/SP acima citado, a Relatora, eminente Ministra NANCY ANDRIGHI, adiciona importantes fundamentos a respeito da diferenciação entre a autorização para o compartilhamento da pontuação de crédito (score) e dos dados cadastrais:<br>" 36. Nesse sentido, dispõe o art. 4º, IV, que o gestor de banco de dados pode "IV - disponibilizar a consulentes: a) a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas; e b) o histórico de crédito, mediante prévia autorização específica do cadastrado", com redação dada pela LC nº 166/2019.<br>37. Nota-se que a hipótese da alínea "a" trata do score de crédito (pontuação de crédito) e dispensa o consentimento prévio do cadastrado, em conformidade com a Súmula 550/STJ e o Tema 710/STJ, embora anteriores à LC nº 166/2019.<br>38. A única outra informação que pode ser disponibilizada aos consulentes, além do score de crédito, é o "histórico de crédito" (alínea "b") e, para tanto, a Lei exige a prévia autorização específica do cadastrado.<br>39. O histórico de crédito é definido pela Lei nº 12.414/2011 como o "conjunto de dados financeiros e de pagamentos, relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento por pessoa natural ou jurídica". Não abrange, portanto, informações cadastrais (dados pessoais não sensíveis) - hipótese do inciso III do art. 4º, cujo compartilhamento é autorizado apenas para outros bancos de dados."  g.n <br>Nessa linha de intelecção:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer cumulada com compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.207.172/SP, relatora Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 5/8/2025, DJEN de 15/8/2025.)<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.201.694/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, relatora para acórdão Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 5/8/2025, DJEN de 15/8/2025.)<br>Por fim, do compulsar dos autos, explicitou a sentença que "Como muito bem demonstrado pelo réu, os dados cadastrais são fornecidos somente a pessoas e órgãos públicos e privados cadastrados, com a única finalidade de viabilizar a análise e garantia da segurança da oferta de crédito; e, nesses casos, o fornecimento desses dados, por óbvio, independe da autorização da pessoa." (e-STJ, fl. 226). Assim, a disponibilização indevida (em ofensa aos limites legais) de dados pessoais pelos bancos de dados para terceiros, caracteriza dano moral presumido. Nesse sentido:<br>RECURSO ESPECIAL. CONSUMIDOR. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. CADASTRO DE CRÉDITO. TEMA Nº 710/STJ E SÚMULA Nº 550/STJ. CREDIT SCORING. DISTINÇÃO. DADOS PESSOAIS. COMERCIALIZAÇÃO. TERCEIROS CONSULENTES. DISPONIBILIZAÇÃO. DEVERES LEGAIS DE TRATAMENTO DE DADOS. INOBSERVÂNCIA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. A comercialização dos dados pessoais do consumidor por meio dos serviços "Acerta Essencial", "Acerta Intermediário", "Acerta Completo" e "Dataplus", oferecidos aos clientes da recorrida, não foi enfrentada no julgamento do Tema nº 710/STJ e na Súmula nº 550/STJ, consistindo, assim, em caso de distinção (distinguishing).<br>2. A obtenção de informações cadastrais do consumidor por terceiros, ainda que sejam dados pessoais não sensíveis, exige o prévio e expresso consentimento do titular, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados a esses consulentes, ficando caracterizada, com a comercialização indevida, o dano moral presumido (in re ipsa).<br>3. Recurso especial provido.<br>(REsp n. 2.206.924/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, TERCEIRA TURMA, julgado em 9/6/2025, DJEN de 12/6/2025.)<br>Desse modo, é evidente a divergência entre o acórdão recorrido e a jurisprudência desta Corte, motivo pelo qual é impositivo o provimento do recurso especial, para a devida adequação do julgado à jurisprudência do STJ.<br>Assim, dou provimento ao recurso especial, e determino o retorno dos autos ao Tribunal de origem, para a adequação do julgado ao entendimento do STJ, nos termos da decisão supra.<br>Em virtude da reforma, inverto os ônus sucumbenciais, na proporção estabelecida na sentença , ressalvada a concessão da gratuidade de justiça.<br>Publique-se.<br>EMENTA