ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da TERCEIRA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 18/11/2025 a 24/11/2025, por unanimidade, dar provimento ao recurso, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Daniela Teixeira, Nancy Andrighi, Humberto Martins e Ricardo Villas Bôas Cueva votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro Humberto Martins.<br>EMENTA<br>PROCESSUAL CIVIL. AÇÃO DE OBRIGAÇÃO DE FAZER C.C. COM INDENIZATÓRIA. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). CONSULTA DE DADOS DO CONSUMIDOR POR TERCEIROS. CONSENTIMENTO. NECESSIDADE. DANOS MORAIS PRESUMIDOS. RECURSO ESPECIAL CONHECIDO E PROVIDO.<br>1. A comercialização de dados do consumidor, para consulta por terceiros, como no caso em exame, não se enquadra no que foi decidido no julgamento do Tema nº 710/STJ e no teor da Súmula nº 550/STJ.<br>2. As informações cadastrais e de adimplemento do consumidor somente podem ser compartilhadas com outros bancos de dados, sendo necessário o prévio e expresso consentimento do titular para consulta de terceiros, ainda que sejam dados pessoais não sensíveis.<br>3. A comercialização indevida de dados do consumidor, ainda que não sensíveis, gera dano moral de forma presumida (in re ipsa).<br>4. Recurso especial conhecido e provido

RELATÓRIO<br>Trata-se de recurso especial interposto por VALDENICE BATISTA MARQUES ROCHA, com fundamento no art. 105, III, alínea a e c, da CF, contra acórdão proferido pelo TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO, assim ementado:<br>AÇÃO COMINATÓRIA C. C. INDENIZATÓRIA. CADASTRO DE PROTEÇÃO AO CRÉDITO. Autora que requer a exclusão de suas informações constantes em cadastro de sociedade de proteção ao crédito, bem como indenização pelos danos morais incorridos. Sentença de improcedência. Apelo da autora. Ausência de infração a dispositivos da Lei Geral de Proteção de Dados e Lei de Cadastro Positivo. Licitude da existência de cadastros de proteção ao crédito. Aplicação da Súmula nº 550 e do Tema Repetitivo nº 710 do E. STJ. Requerente que não demonstrou excesso na utilização de informações pessoais constantes em cadastro de proteção ao crédito, inexistindo dados sensíveis sob a custódia da requerida, ou ainda que houve recusa injustificada de crédito por uso de dados incorretos ou desatualizados da consumidora. Ausência de conduta ilícita praticada pela ré, a justificar a cominação e a indenização pretendida. Improcedência da ação. Sentença mantida. Recurso não provido (e-STJ, fl. 395).<br>Opostos embargos de declaração por VALDENICE, foram rejeitados (e-STJ, fls. 412-420).<br>Nas razões do presente recurso, VALDENICE alegou violação dos arts. 21 do CC, 43, §§1º, 2º, do CDC, 7º, I e X, 8º e §§, e 9º da Lei nº 13.709/18, 3º, §§1º e 3º, I, 4º e 5º, VII, da nº 12.414/11, bem como dissídio jurisprudencial, aduzindo que a divulgação de informações relativas à vida privada da pessoa sem comunicação ao consumidor, ainda que não sejam dados sensíveis, importa em dano moral presumido (e-STJ, fls. 423-437).<br>Foram apresentadas contrarrazões (e-STJ, fls. 459-484).<br>É o relatório.<br>EMENTA<br>PROCESSUAL CIVIL. AÇÃO DE OBRIGAÇÃO DE FAZER C.C. COM INDENIZATÓRIA. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). CONSULTA DE DADOS DO CONSUMIDOR POR TERCEIROS. CONSENTIMENTO. NECESSIDADE. DANOS MORAIS PRESUMIDOS. RECURSO ESPECIAL CONHECIDO E PROVIDO.<br>1. A comercialização de dados do consumidor, para consulta por terceiros, como no caso em exame, não se enquadra no que foi decidido no julgamento do Tema nº 710/STJ e no teor da Súmula nº 550/STJ.<br>2. As informações cadastrais e de adimplemento do consumidor somente podem ser compartilhadas com outros bancos de dados, sendo necessário o prévio e expresso consentimento do titular para consulta de terceiros, ainda que sejam dados pessoais não sensíveis.<br>3. A comercialização indevida de dados do consumidor, ainda que não sensíveis, gera dano moral de forma presumida (in re ipsa).<br>4. Recurso especial conhecido e provido<br>VOTO<br>O recurso merece prosperar.<br>Da divulgação de dados pessoais sem autorização<br>Nas razões do presente recurso, VALDENICE alegou que a divulgação de dados pessoais sem prévia comunicação, ainda que não sejam dados sensíveis, caracteriza dano moral presumido.<br>Sobre o tema o Tribunal estadual consignou que os dados presentes no cadastro são disponibilizados em registros públicos e não consistem em dados sensíveis, não se exigindo autorização do consumidor.<br>Confira-se a fundamentação:<br>Pelo que se depreende dos autos, em especial da assertividade exordia, não há dados sigilosos ou sensíveis relativos à figura da autora que tenham sido tornados públicos, não se vislumbrando qualquer infração à Lei Geral de Proteção de Dados ou à Lei do Cadastro Positivo.<br>Sobre o tema, o E. STJ possui ampla jurisprudência favorável à licitude dos cadastros de proteção ao crédito, tendo inclusive editado a Súmula nº 550: (e-STJ, fl. 398)<br>A abertura de cadastro por gestor de banco de dados não exige o consentimento prévio, mas é imprescindível a comunicação ao cadastrado, que pode requerer seu cancelamento a qualquer tempo, além de exercer outros direitos previstos em lei. Caso não observados os deveres associados ao tratamento dos dados, que inclui coleta, armazenamento e transferência a terceiros, entre os quais o de informar, enseja o dever de indenizar e o direito do titular de fazer cessar a ofensa a seus direitos da personalidade.<br>Ademais, a divulgação de dados cadastrais do consumidor a terceiros consulentes, sem prévia autorização, enseja dano moral, ainda que os dados não se enquadrem como sensíveis, salvo quando divulgados a outros bancos de dados.<br>Confira-se:<br>RECURSO ESPECIAL. CONSUMIDOR. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. CADASTRO DE CRÉDITO. TEMA Nº 710/STJ E SÚMULA Nº 550/STJ. CREDIT SCORING. DISTINÇÃO. DADOS PESSOAIS. COMERCIALIZAÇÃO. TERCEIROS CONSULENTES. DISPONIBILIZAÇÃO. DEVERES LEGAIS DE TRATAMENTO DE DADOS. INOBSERVÂNCIA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. A comercialização dos dados pessoais do consumidor por meio dos serviços "Acerta Essencial", "Acerta Intermediário", "Acerta Completo" e "Dataplus", oferecidos aos clientes da recorrida, não foi enfrentada no julgamento do Tema nº 710/STJ e na Súmula nº 550/STJ, consistindo, assim, em caso de distinção (distinguishing).<br>2. A obtenção de informações cadastrais do consumidor por terceiros, ainda que sejam dados pessoais não sensíveis, exige o prévio e expresso consentimento do titular, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados a esses consulentes, ficando caracterizada, com a comercialização indevida, o dano moral presumido (in re ipsa).<br>3. Recurso especial provido.<br>(REsp n. 2.206.924/SP, relator Ministro RICARDO VILLAS BÔAS CUEVA, Terceira Turma, julgado em 9/6/2025, DJEN de 12/6/2025.)<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024.<br>2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.<br>3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".<br>4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.<br>5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, "a" e "b" da referida lei.<br>6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.<br>7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.<br>8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.<br>9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente.<br>10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.<br>11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito.<br>13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (BOA VISTA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(REsp n. 2.133.261/SP, relatora Ministra NANCY ANDRIGHI, Terceira Turma, j. em 8/10/2024, DJe de 10/10/2024 - sem destaques no original)<br>Nessa linha, os fundamentos adotados pelo acórdão recorrido estão em dissonância com o entendimento firmado nesta Terceira Turma, devendo ser ele reformado.<br>Tendo em vista a divulgação de dados pessoais de VALDENICE, sem seu consentimento, fixo a indenização em R$ 11.000,00 (onze mil reais), à luz do art. 944, caput, do CC.<br>Nessas condições, DOU PROVIMENTO ao recurso especial, para julgar procedentes os pedidos, condenando BOA VISTA SERVIÇOS S.A. (BOA VISTA) (i) a se abster de disponibilizar as informações cadastrais da consumidora, sem sua prévia autorização, para terceiros consulentes, exceto outros bancos de dados; bem como (ii) a pagar indenização por danos morais no montante de R$ 11.000,00 (onze mil reais), acrescida de juros de mora desde o evento danoso e correção monetária a partir da data deste julgamento.<br>Ante a inversão da sucumbência, CONDENO BOA VISTA ao pagamento das custas processuais e dos honorários advocatícios, estes fixados em 10% sobre o valor da condenação.<br>É o voto.