ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da TERCEIRA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 18/11/2025 a 24/11/2025, por unanimidade, dar provimento ao recurso, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Daniela Teixeira, Nancy Andrighi, Humberto Martins e Ricardo Villas Bôas Cueva votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro Humberto Martins.<br>EMENTA<br>PROCESSUAL CIVIL. AÇÃO DE OBRIGAÇÃO DE FAZER C.C. COM INDENIZATÓRIA. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). CONSULTA DE DADOS DO CONSUMIDOR POR TERCEIROS. CONSENTIMENTO. NECESSIDADE. DANOS MORAIS PRESUMIDOS. RECURSO ESPECIAL CONHECIDO E PROVIDO.<br>1. A comercialização de dados do consumidor, para consulta por terceiros, como no caso em exame, não se enquadra no que foi decidido no julgamento do Tema nº 710/STJ e no teor da Súmula nº 550/STJ.<br>2. As informações cadastrais e de adimplemento do consumidor somente podem ser compartilhadas com outros bancos de dados, sendo necessário o prévio e expresso consentimento do titular para consulta de terceiros, ainda que sejam dados pessoais não sensíveis.<br>3. A comercialização indevida de dados do consumidor, ainda que não sensíveis, gera dano moral de forma presumida (in re ipsa).<br>4. Recurso especial conhecido e provido

RELATÓRIO<br>Trata-se de recurso especial interposto por CASTALIDE MAGALHÃES INÁCIO (CASTALIDE), com fundamento no art. 105, III, alínea a e c, da CF, contra acórdão proferido pelo TRIBUNAL DE JUSTIÇA DE SÃO PAULO , assim ementado:<br>APELAÇÃO CÍVEL - Prestação de serviços - Ação de obrigação de fazer c. c. indenização por dano moral, na qual a autora alega que seus dados pessoais foram divulgados sem seu consentimento, resultando violação de sua privacidade - Sentença de improcedência - O tratamento de dados pessoais realizado pela ré é lícito, conforme disposto no art. 7º, X, da Lei nº 13.709/2018 (LGPD) uma vez que se destina à avaliação de risco e proteção ao crédito, o que dispensa o consentimento prévio do titular dos dados - Dados disponibilizados pela ré que são obtidos de registros públicos e utilizados em sistema de proteção ao crédito, conforme autorizado pela Lei nº 12.414/2011 e que não são confidenciais Incidência do Tema nº 710 e Súmula nº 550 do C. STJ - A alegação de inaplicabilidade do R Esp 1.419.697/RS (Tema 710) não merece acolhimento, uma vez que o precedente reconhece a licitude do tratamento de dados pessoais para fins de proteção ao crédito, dispensando o consentimento prévio, nos termos dos artigos 5º, IV, e 7º, I, da Lei nº 12.414/2011 - Entendimento reforçado pela Súmula 550 do C. STJ - A aplicação do REsp 1.758.799 ao caso concreto é inviável, pois referido precedente trata de compartilhamento de dados sensíveis ou excessivos, situação inexistente nos autos, em que os dados disponibilizados pela ré, obtidos de registros públicos e destinados exclusivamente à avaliação de risco e proteção ao crédito, não configuram dados sensíveis, conforme os artigos 5º, II, e 7º, X, da LGPD - Ausência de ilicitude e também inexistência de prova de que a ré tenha comercializado tais dados para fins diversos daqueles inerentes às atividades por ela desenvolvidas - Inexistência de ato ilícito da ré, o que afasta a reparação por danos morais - Sentença mantida - Recurso desprovido (e-STJ, fl. 285).<br>Opostos embargos de declaração por CASTALIDE, foram rejeitados (e-STJ, fls. 412-420).<br>Nas razões do presente recurso, CASTALIDE alegou violação dos arts. 21 do CC, 43, §§1º, 2º, do CDC, 7º, I e X, 8º e §§, e 9º da Lei nº 13.709/18, 3º, §§1º e 3º, I, 4º e 5º, VII, da nº 12.414/11, bem como dissídio jurisprudencial, aduzindo que a divulgação de informações relativas à vida privada da pessoa sem comunicação ao consumidor, ainda que não sejam dados sensíveis, importa em dano moral presumido (e-STJ, fls. 331-346).<br>Foram apresentadas contrarrazões (e-STJ, fls. 363-384).<br>É o relatório.<br>EMENTA<br>PROCESSUAL CIVIL. AÇÃO DE OBRIGAÇÃO DE FAZER C.C. COM INDENIZATÓRIA. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). CONSULTA DE DADOS DO CONSUMIDOR POR TERCEIROS. CONSENTIMENTO. NECESSIDADE. DANOS MORAIS PRESUMIDOS. RECURSO ESPECIAL CONHECIDO E PROVIDO.<br>1. A comercialização de dados do consumidor, para consulta por terceiros, como no caso em exame, não se enquadra no que foi decidido no julgamento do Tema nº 710/STJ e no teor da Súmula nº 550/STJ.<br>2. As informações cadastrais e de adimplemento do consumidor somente podem ser compartilhadas com outros bancos de dados, sendo necessário o prévio e expresso consentimento do titular para consulta de terceiros, ainda que sejam dados pessoais não sensíveis.<br>3. A comercialização indevida de dados do consumidor, ainda que não sensíveis, gera dano moral de forma presumida (in re ipsa).<br>4. Recurso especial conhecido e provido<br>VOTO<br>O recurso merece prosperar.<br>Da divulgação de dados pessoais sem autorização<br>Nas razões do presente recurso, CASTALIDE alegou que a divulgação de dados pessoais sem prévia comunicação, ainda que não sejam dados sensíveis, caracteriza dano moral presumido.<br>Sobre o tema o Tribunal estadual consignou que os dados presentes no cadastro são disponibilizados em registros públicos e não consistem em dados sensíveis, não se exigindo autorização do consumidor.<br>Confira-se a fundamentação:<br>Os dados disponibilizados na plataforma digital mantida pela ré são obtidos de registros públicos, e prescindem de prévio consentimento, além do que são consultados por pessoas jurídicas mediante pagamento pelo serviço prestado pela ré no âmbito do sistema de proteção ao crédito. Estes dados que servem ao sistema de proteção ao crédito, podem ser utilizados conforme prevê o artigo 7º da Lei Geral de Proteção de Dados. Não são dados confidenciais porventura repassados pela ré.<br>Nesse passo, o C. Superior Tribunal de Justiça reconheceu a licitude da prática comercial em questão, ao entender que tal conduta está expressamente autorizada pelos artigos 5º, IV, e 7º, I, da Lei nº 12.414/2011, conhecida como Lei do Cadastro Positivo (R Esp 1.419.697-RS, Segunda Seção, Rel. Min. Paulo de Tarso Sanseverino, julgado em 12 de novembro de 2014). Ademais, a Súmula 550, do C. Superior Tribunal de Justiça reforça que o consentimento do consumidor não é exigido para a realização dessa prática, tornando descabida qualquer determinação judicial para exclusão dos dados em questão.<br>No que se refere à disponibilização de informações obtidas por meio de técnicas estatísticas de prospecção, não acarretam qualquer prejuízo à honra ou imagem do titular. Nesse sentido, a inclusão dessas informações não caracteriza violação de direitos da personalidade nem justifica a reparação moral requerida (e-STJ, fls. 289-290)<br>A abertura de cadastro por gestor de banco de dados não exige o consentimento prévio, mas é imprescindível a comunicação ao cadastrado, que pode requerer seu cancelamento a qualquer tempo, além de exercer outros direitos previstos em lei. Caso não observados os deveres associados ao tratamento dos dados, que inclui coleta, armazenamento e transferência a terceiros, entre os quais o de informar, enseja o dever de indenizar e o direito do titular de fazer cessar a ofensa a seus direitos da personalidade.<br>Ademais, a divulgação de dados cadastrais do consumidor a terceiros consulentes, sem prévia autorização, enseja dano moral, ainda que os dados não se enquadrem como sensíveis, salvo quando divulgados a outros bancos de dados.<br>Confira-se:<br>RECURSO ESPECIAL. CONSUMIDOR. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. CADASTRO DE CRÉDITO. TEMA Nº 710/STJ E SÚMULA Nº 550/STJ. CREDIT SCORING. DISTINÇÃO. DADOS PESSOAIS. COMERCIALIZAÇÃO. TERCEIROS CONSULENTES. DISPONIBILIZAÇÃO. DEVERES LEGAIS DE TRATAMENTO DE DADOS. INOBSERVÂNCIA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. A comercialização dos dados pessoais do consumidor por meio dos serviços "Acerta Essencial", "Acerta Intermediário", "Acerta Completo" e "Dataplus", oferecidos aos clientes da recorrida, não foi enfrentada no julgamento do Tema nº 710/STJ e na Súmula nº 550/STJ, consistindo, assim, em caso de distinção (distinguishing).<br>2. A obtenção de informações cadastrais do consumidor por terceiros, ainda que sejam dados pessoais não sensíveis, exige o prévio e expresso consentimento do titular, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados a esses consulentes, ficando caracterizada, com a comercialização indevida, o dano moral presumido (in re ipsa).<br>3. Recurso especial provido.<br>(REsp n. 2.206.924/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, Terceira Turma, julgado em 9/6/2025, DJEN de 12/6/2025.)<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024.<br>2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.<br>3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".<br>4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.<br>5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, "a" e "b" da referida lei.<br>6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.<br>7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.<br>8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.<br>9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente.<br>10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.<br>11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito.<br>13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (BOA VISTA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(REsp n. 2.133.261/SP, relatora Ministra NANCY ANDRIGHI, Terceira Turma, j. em 8/10/2024, DJe de 10/10/2024 - sem destaques no original)<br>Nessa linha, os fundamentos adotados pelo acórdão recorrido estão em dissonância com o entendimento firmado nesta Terceira Turma, devendo ser ele reformado.<br>Tendo em vista a divulgação de dados pessoais de CASTALIDE, sem seu consentimento, fixo a indenização em R$ 11.000,00 (onze mil reais), à luz do art. 944, caput, do CC.<br>Nessas condições, DOU PROVIMENTO ao recurso especial, para julgar procedentes os pedidos, condenando BOA VISTA SERVIÇOS S.A. (BOA VISTA) (i) a se abster de disponibilizar as informações cadastrais da consumidora, sem sua prévia autorização, para terceiros consulentes, exceto outros bancos de dados; bem como (ii) a pagar indenização por danos morais no montante de R$ 11.000,00 (onze mil reais), acrescida de juros de mora desde o evento danoso e correção monetária a partir da data deste julgamento.<br>Ante a inversão da sucumbência, CONDENO BOA VISTA ao pagamento das custas processuais e dos honorários advocatícios, estes fixados em 10% sobre o valor da condenação.<br>É o voto.