DECISÃO<br>Trata-se de recurso especial, interposto por MARIA DOS ANJOS MONTEIRO TORRES, fundado no art. 105, III, "a" e "c" da Constituição Federal, em face de acórdão proferido pelo eg. Tribunal de Justiça do Estado de São Paulo, assim ementado (e-STJ, fls. 185/193):<br>APELAÇÃO. OBRIGAÇÃO DE FAZER. DANOS MORAIS. CADASTRO POSITIVO.<br>1- Sentença que julgou improcedentes os pedidos por não vislumbrar prática de ilícito pela empresa apelada (Boa Vista Serviços S. A.).<br>2- Alegação de que houve violação de privacidade quando da abertura e divulgação dos dados pessoais da consumidora sem expressa autorização ou consentimento em cadastro positivo nos serviços "ACERTA Essencial", "ACERTA Intermediário", "ACERTA Completo" e "DATAPLUS.<br>3- Desnecessidade de autorização ou consentimento da pessoa para abertura e disponibilização de dados pessoais. Aplicabilidade do Tema repetitivo 710 e da Súmula 550 do C. STJ. Inteligência das regras dos artigos 4º, I e 5º, I da Lei nº 12.414/2011, com redações dadas pela Lei Complementar nº 166/2019.<br>4- Conduta da empresa apelada que não configura ato ilícito.<br>5- Dano moral não caracterizado. Precedentes.<br>6- Majoração da verba sucumbencial honorária devida pela apelante sucumbente, nos termos do artigo 85, § 11º do CPC. Sentença mantida.<br>Recurso não provido.<br>Em suas razões recursais, a parte recorrente alegou, além de divergência jurisprudencial, violação aos arts. 21 e 884, ambos do Código Civil; 7º, I e X, 8º, caput e parágrafos 1º, 2º, 3º e 4º e 9º, §3º da Lei Federal n. 13.709/2018 (Lei Geral de Proteção aos Dados); 3º, parágrafos 1º e 3º, I; 4º, IV, "b" e 5º, VII da Lei Federal n. 12.414/2011 e 42-A e 43, parágrafos e 2º, 3º e 4º do Código de Defesa do Consumidor, sustentando, em síntese, que a comercialização de dados sensíveis, sem a autorização do consumidor, constitui ato ilícito, causador de danos morais in re ipsa.<br>Alega que não houve prévia autorização ou comunicação para a abertura do cadastro positivo, tampouco para a comercialização de seus dados pessoais, incluindo a divulgação de seu número de telefone e dados de renda.<br>O recurso recebeu crivo positivo de admissibilidade na origem, ascendendo a esta Corte Superior para julgamento.<br>É o relatório.<br>Decido.<br>Delineada a controvérsia, tem-se que o Tribunal de origem, mantendo a sentença de primeiro grau por seus próprios fundamentos, excluiu a responsabilização da empresa recorrida pela abertura e manutenção de cadastro positivo da parte recorrente, consignando, para tanto, que tais práticas dispensam a prévia autorização ou comunicação ao consumidor, in verbis (e-STJ, fls. 188/192):<br>"Correta, pois, a r. sentença, que segue transcrita ipsis litteris:<br>(..)<br>Decididamente, não houve configuração de qualquer prática de ato ilícito na conduta da empresa apelada nem caracterização de danos morais indenizáveis no caso concreto, pois, como alhures esclarecido, não há necessidade de consentimento nem autorização do consumidor para abertura e mantença de cadastro sub judice, nos termos do artigo 4º, I da Lei nº 12.414/20112.<br>De outra parte, eventual ausência de posterior comunicação de abertura de cadastro, como alegado pela apelante, não altera o entendimento adotado neste provimento, até porque é permitido à apelante, se assim o desejar, requerer junto à apelante o cancelamento do cadastro a qualquer momento, o que lhe é garantido pela regra do artigo 5º, I da Lei nº 12.414/20113."  g.n <br>Sobre o tema, é importante destacar que, conforme dispõe a Lei Geral de Proteção de Dados, o responsável pelo banco de dados está autorizado a abrir o cadastro de informações de adimplemento sem a necessidade de consentimento prévio do titular. Todavia, o repasse dessas informações, tanto cadastrais quanto de adimplemento, deve se restringir exclusivamente a outros bancos de dados, nos termos do art. 4º, III, da referida Lei nº 12.414/2011, com redação dada pela LC nº 166/2019.<br>Assim, é de rigor reconhecer que o acórdão recorrido encontra-se em harmonia com o entendimento desta Egrégia Corte, vez que o caso dos autos trata unicamente da abertura e manutenção de cadastro positivo de consumidor.<br>Nesta linha de intelecção:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/5/2023 e concluso ao gabinete em 19/12/2023.<br>2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.<br>3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".<br>4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.<br>5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, "a" e "b" da referida lei.<br>6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.<br>7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.<br>8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.<br>9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente.<br>10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.<br>11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, do histórico de crédito.<br>13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(REsp n. 2.115.461/SP, relatora Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 8/10/2024, DJe de 14/10/2024.)<br>Ademais, alterar a conclusão do acórdão recorrido, notadamente quanto à finalidade do cadastro mantido pela recorrida, demandaria a incursão ao acervo probatório dos autos, prática vedada pela Súmula 7/STJ.<br>Diante do exposto, conheço do recurso e lhe nego provimento, por incidir à espécie a Súmula 83/STJ.<br>Com supedâneo no art. 85, §11, do Código de Processo Civil, majoro os honorários advocatícios devidos à parte recorrida de 15% (quinze por cento) para 16% (dezesseis por cento) do valor da causa.<br>Publique-se.<br>EMENTA