ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da TERCEIRA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 04/11/2025 a 10/11/2025, por unanimidade, dar parcial provimento ao recurso, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Ricardo Villas Bôas Cueva, Moura Ribeiro, Daniela Teixeira e Nancy Andrighi votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro Humberto Martins.<br>EMENTA<br>PROCESSUAL CIVIL E DIREITO DO CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER, C/C INDENIZAÇÃO POR DANOS MORAIS. PROTEÇÃO DE DADOS PESSOAIS. DISPONIBILIZAÇÃO DE INFORMAÇÕES CADASTRAIS A TERCEIROS. AUSÊNCIA DE COMUNICAÇÃO PRÉVIA AO TITULAR. ART. 43, § 2º, DO CDC, E ART. 5º, V, DA LEI N. 12.414/2011. DISTINÇÃO EM RELAÇÃO AO SISTEMA DE CREDIT SCORING (TEMA N. 710/STJ E SÚMULA N. 550/STJ). DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DO BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Cuida-se de recurso especial interposto em ação de obrigação de fazer cumulada com pedido de indenização por danos morais, em razão da disponibilização de informações cadastrais do consumidor, sem sua comunicação ou autorização prévia, a terceiros consulentes, por gestora de banco de dados.<br>2. A controvérsia não se insere no âmbito do sistema de credit scoring (Tema n. 710/STJ), mas na atividade de tratamento, armazenamento e compartilhamento de dados pessoais para fins de proteção ao crédito, atividade regida por microssistema normativo composto pelo CDC, pela Lei n. 12.414/2011 e pela LGPD.<br>3. O art. 43, § 2º, do CDC, e o art. 5º, V, da Lei n. 12.414/2011 impõem ao gestor do banco de dados o dever de informar o consumidor sobre a abertura do cadastro e a finalidade do tratamento de seus dados, ainda que não sensíveis, sendo inadmissível a disponibilização a terceiros fora das hipóteses legais expressamente previstas.<br>4. De acordo com os precedentes da Terceira Turma, a disponibilização indevida de dados cadastrais a terceiros, sem a comunicação prévia ao titular, constitui ato ilícito e enseja a configuração de dano moral in re ipsa, por violação à privacidade, à autodeterminação informativa e à segurança do consumidor.<br>5. A responsabilidade civil do gestor do banco de dados é objetiva, nos termos do art. 14 do CDC e do art. 16 da Lei n. 12.414/2011, independentemente de demonstração de culpa, bastando a comprovação da ilicitude e do nexo de causalidade.<br>6. Recurso especial parcialmente provido.

RELATÓRIO<br>O EXMO. SR. MINISTRO HUMBERTO MARTINS (relator):<br>Cuida-se de recurso especial interposto por CLEONILZA CERQUEIRA DOS PASSOS, com fundamento no artigo 105, inciso III, alíneas a e c, da Constituição Federal, contra acórdão proferido pelo Tribunal de Justiça do Estado de São Paulo assim ementado (fls. 409-410):<br>AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS - INSURGÊNCIA DO CONSUMIDOR CONTRA O ARMAZENAMENTO E DISPONIBILIZAÇÃO A TERCEIROS DE SEU NÚMERO DE TELEFONE PELA RÉ - INFORMAÇÃO QUE NÃO SE ENQUADRA NO CONCEITO LEGAL DE INFORMAÇÃO SENSÍVEL - DADO COLETADO E DISPONIBILIZADO COM O ESCOPO DE AUXILIAR O CONSULENTE NA AVALIAÇÃO DO RISCO DE CONCESSÃO DE CRÉDITO - LEGALIDADE - RECONHECIMENTO - ATO QUE É PRATICADO NO ÂMBITO DO SISTEMA DE SCORE DE CRÉDITO, DISPENSANDO-SE O CONSENTIMENTO DO CONSUMIDOR - SÚMULA 550 DO STJ - DANO MORAL NÃO CARACTERIZADO - IMPROCEDÊNCIA MANTIDA.<br>RECURSO DESPROVIDO.<br>Na origem, a parte recorrente ajuizou ação condenatória em obrigação de fazer cumulada com indenização por danos morais contra SERASA S.A., sob o fundamento de que a recorrida, na qualidade de gestora de banco de dados, coleta e comercializa informações pessoais suas, notadamente seu número de CPF, nome completo, endereço, números de telefone e estimativa de renda, sem que tenha havido prévia comunicação ou autorização para tanto. Sustenta que tal prática viola o disposto no art. 43, § 2º, do Código de Defesa do Consumidor, na Lei n. 12.414/2011 (Lei do Cadastro Positivo) e na Lei Geral de Proteção de Dados, configurando ato ilícito que enseja o dever de indenizar os danos morais sofridos, os quais seriam in re ipsa.<br>O juízo de primeiro grau julgou o pedido improcedente, ao argumento de que a disponibilização de dados se destina exclusivamente à proteção do crédito, hipótese autorizadora do tratamento de dados prevista na Lei n. 13.709/18 (LGPD), que independe de consentimento ou comunicação do titular. O magistrado considerou, ainda, que os dados não são classificados como sensíveis e a questão se amolda à Súmula n. 550 do STJ (fls. 268-271).<br>Interposta apelação pela autora, ora recorrente, o Tribunal de Justiça do Estado de São Paulo negou provimento ao recurso. O acórdão recorrido entendeu que a disponibilização dos dados da consumidora se insere no contexto do sistema de score de crédito, prática lícita que dispensa o consentimento do titular, nos termos da Súmula n. 550/STJ e do Tema n. 710/STJ. Consignou, ademais, que os dados cadastrais não constituem informação sensível ou excessiva e que sua disponibilização é útil para a análise de risco de crédito, não havendo ato ilícito a ser reparado (fls. 409-417).<br>Em suas razões de recurso especial, a recorrente alega violação dos arts. 43, § 2º, do Código de Defesa do Consumidor, 5º, V, da Lei n. 12.414/2011 e 7º da Lei n. 13.709/2018 (LGPD). Argumenta, em suma, que o acórdão recorrido partiu de premissa equivocada ao confundir a disponibilização de dados cadastrais com o sistema de credit scoring. Defende que a abertura de cadastro com dados pessoais, ainda que não negativos, exige a prévia comunicação ao consumidor, e que a ausência de tal providência configura ato ilícito e gera dano moral presumido. Aponta, ainda, dissídio jurisprudencial com o acórdão proferido no REsp 1.758.799/MG, desta Corte, que teria reconhecido o dano moral in re ipsa na hipótese de compartilhamento de informações pessoais sem a devida comunicação ao consumidor.<br>Apresentadas as contrarrazões (fls. 304-320 e 486-498), sobreveio o juízo de admissibilidade positivo da instância de origem (fls. 545-547).<br>É, no essencial, o relatório.<br>EMENTA<br>PROCESSUAL CIVIL E DIREITO DO CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER, C/C INDENIZAÇÃO POR DANOS MORAIS. PROTEÇÃO DE DADOS PESSOAIS. DISPONIBILIZAÇÃO DE INFORMAÇÕES CADASTRAIS A TERCEIROS. AUSÊNCIA DE COMUNICAÇÃO PRÉVIA AO TITULAR. ART. 43, § 2º, DO CDC, E ART. 5º, V, DA LEI N. 12.414/2011. DISTINÇÃO EM RELAÇÃO AO SISTEMA DE CREDIT SCORING (TEMA N. 710/STJ E SÚMULA N. 550/STJ). DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DO BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Cuida-se de recurso especial interposto em ação de obrigação de fazer cumulada com pedido de indenização por danos morais, em razão da disponibilização de informações cadastrais do consumidor, sem sua comunicação ou autorização prévia, a terceiros consulentes, por gestora de banco de dados.<br>2. A controvérsia não se insere no âmbito do sistema de credit scoring (Tema n. 710/STJ), mas na atividade de tratamento, armazenamento e compartilhamento de dados pessoais para fins de proteção ao crédito, atividade regida por microssistema normativo composto pelo CDC, pela Lei n. 12.414/2011 e pela LGPD.<br>3. O art. 43, § 2º, do CDC, e o art. 5º, V, da Lei n. 12.414/2011 impõem ao gestor do banco de dados o dever de informar o consumidor sobre a abertura do cadastro e a finalidade do tratamento de seus dados, ainda que não sensíveis, sendo inadmissível a disponibilização a terceiros fora das hipóteses legais expressamente previstas.<br>4. De acordo com os precedentes da Terceira Turma, a disponibilização indevida de dados cadastrais a terceiros, sem a comunicação prévia ao titular, constitui ato ilícito e enseja a configuração de dano moral in re ipsa, por violação à privacidade, à autodeterminação informativa e à segurança do consumidor.<br>5. A responsabilidade civil do gestor do banco de dados é objetiva, nos termos do art. 14 do CDC e do art. 16 da Lei n. 12.414/2011, independentemente de demonstração de culpa, bastando a comprovação da ilicitude e do nexo de causalidade.<br>6. Recurso especial parcialmente provido.<br>VOTO<br>O EXMO. SR. MINISTRO HUMBERTO MARTINS (relator):<br>O recurso especial merece ser provido em parte.<br>A controvérsia jurídica posta à apreciação desta Corte Superior consiste em decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais, especificamente o número de telefone, dos cadastrados a terceiros consulentes, sem a sua comunicação prévia; e (II) se essa prática, em caso de ilegalidade, configura dano moral indenizável ao titular dos dados.<br>Sobre a matéria, o Tribunal paulista assim se posicionou (fls. 412-416):<br>No recurso especial nº 1.419.697/RS, julgado segundo a sistemática dos recursos repetitivos (tema 710), restaram definidas as seguintes teses:<br>"1) O sistema "credit scoring" é um método desenvolvido para avaliação do risco de concessão de crédito, a partir de modelos estatísticos, considerando diversas variáveis, com atribuição de uma pontuação ao consumidor avaliado (nota do risco de crédito).<br>2) Essa prática comercial é lícita, estando autorizada pelo art. 5º, IV, e pelo art. 7º, I, da Lei n. 12.414/2011 (lei do cadastro positivo).<br>3) Na avaliação do risco de crédito, devem ser respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, conforme previsão do CDC e da Lei n. 12.414/2011.<br>4) Apesar de desnecessário o consentimento do consumidor consultado, devem ser a ele fornecidos esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como as informações pessoais valoradas.<br>5) O desrespeito aos limites legais na utilização do sistema "credit scoring", configurando abuso no exercício desse direito (art. 187 do CC), pode ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da Lei n. 12.414/2011) pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis (art. 3º, § 3º, I e II, da Lei n. 12.414/2011), bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados." (Rel. Ministro Paulo de Tarso Sanseverino, j. 12/11/2014, DJe 17/11/2014).<br>Frise-se que, consoante estabelece o artigo 3º da Lei nº 12.414/2011, "Os bancos de dados poderão conter informações de adimplemento do cadastrado, para a formação do histórico de crédito, nas condições estabelecidas nesta Lei", prevendo seu § 1º que "somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado", ao passo que seu § 3º proíbe as anotações de informações excessivas e sensíveis, definindo as primeiras como "aquelas que não estiverem vinculadas à análise de risco de crédito ao consumidor" (inciso I) e as segundas como "aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas" (inciso II).<br>Ainda sobre informação pessoal sensível, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) a conceitua como "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (artigo 5º, inciso II).<br>Cabe obtemperar que as informações se mostram relevantes na medida em que o consulente pode utilizá-la na confirmação da identidade de quem solicita crédito, evitando-se, assim, eventual contratação fraudulenta.<br>Nessa perspectiva, evidente que as informações acessadas não pode ser tido como informação excessiva ou sensível, sendo, portanto, admitido seu armazenamento no banco de dados da ré, assim como sua disponibilização aos clientes desta que venham a consultar informações com o escopo de avaliar o risco de concessão de crédito, independentemente de consentimento do consumidor, conforme disposto na Súmula 550 do STJ, in verbis "A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo." (negrito nosso).<br>Ressalte-se, por fim, que a autora sequer alega que as informações a seu respeito constantes do cadastro da ré estão incorretas, bem como que o pedido indenizatório se fundou essencialmente em suposta inobservância dos deveres associados ao tratamento e proteção dos dados pessoais e do dever de informar, acenando, genericamente, com violação a direitos da personalidade, sem descrever qualquer situação fática concreta de efetivo prejuízo imaterial decorrente do armazenamento e divulgação de seu número de telefone pela ré.<br>Em assim sendo, não se extrai dos fatos narrados na inicial prática alguma de ato ilícito por parte da ré, inexistindo, por conseguinte, dano moral a ser indenizado, de modo que o desfecho de improcedência da demanda há de ser mantido.<br>Com efeito, constata-se que o acórdão recorrido, ao afastar a pretensão do recorrente, com base na ratio decidendi do REsp n. 1.419.697/RS (Tema n. 710), distanciou-se da jurisprudência firmada por esta Terceira Turma, que é no sentido de que há uma distinção entre a hipótese dos autos e aquela tratada no referido paradigma, que culminou na edição da Súmula n. 550/STJ.<br>Nesse sentido:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.201.694/SP, relator Ministro Ricardo Villas Bôas Cueva, relatora para acórdão Ministra Nancy Andrighi, Terceira Turma, julgado em 5/8/2025, DJEN de 15/8/2025 - grifou-se.)<br>É assente a compreensão deste Colegiado de que o aresto paradigma se limitou a atestar a legalidade do sistema de credit scoring, definindo-o como um método estatístico de avaliação de risco que, por sua natureza, não constitui um banco de dados propriamente dito. A partir dessa premissa, concluiu-se pela dispensa do consentimento prévio do consumidor para a elaboração de sua pontuação de crédito.<br>Confira-se:<br>RECURSO ESPECIAL REPRESENTATIVO DE CONTROVÉRSIA (ART. 543-C DO CPC). TEMA 710/STJ. DIREITO DO CONSUMIDOR. ARQUIVOS DE CRÉDITO. SISTEMA "CREDIT SCORING". COMPATIBILIDADE COM O DIREITO BRASILEIRO. LIMITES. DANO MORAL.<br>I - TESES: 1) O sistema "credit scoring" é um método desenvolvido para avaliação do risco de concessão de crédito, a partir de modelos estatísticos, considerando diversas variáveis, com atribuição de uma pontuação ao consumidor avaliado (nota do risco de crédito).<br>2) Essa prática comercial é lícita, estando autorizada pelo art. 5º, IV, e pelo art. 7º, I, da Lei n. 12.414/2011 (lei do cadastro positivo).<br>3) Na avaliação do risco de crédito, devem ser respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, conforme previsão do CDC e da Lei n. 12.414/2011.<br>4) Apesar de desnecessário o consentimento do consumidor consultado, devem ser a ele fornecidos esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como as informações pessoais valoradas.<br>5) O desrespeito aos limites legais na utilização do sistema "credit scoring", configurando abuso no exercício desse direito (art. 187 do CC), pode ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da Lei n. 12.414/2011) pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis (art. 3º, § 3º, I e II, da Lei n. 12.414/2011), bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados.<br>II - CASO CONCRETO: 1) Não conhecimento do agravo regimental e dos embargos declaratórios interpostos no curso do processamento do presente recurso representativo de controvérsia; 2) Inocorrência de violação ao art. 535, II, do CPC.<br>3) Não reconhecimento de ofensa ao art. 267, VI, e ao art. 333, II, do CPC.<br>4) Acolhimento da alegação de inocorrência de dano moral "in re ipsa".<br>5) Não reconhecimento pelas instâncias ordinárias da comprovação de recusa efetiva do crédito ao consumidor recorrido, não sendo possível afirmar a ocorrência de dano moral na espécie.<br>6) Demanda indenizatória improcedente.<br>III - NÃO CONHECIMENTO DO AGRAVO REGIMENTAL E DOS EMBARGOS<br>DECLARATÓRIOS, E RECURSO ESPECIAL PARCIALMENTE PROVIDO.<br>(REsp n. 1.419.697/RS, relator Ministro Paulo de Tarso Sanseverino, Segunda Seção, julgado em 12/11/2014, DJe de 17/11/2014.)<br>Do inteiro teor do acórdão paradigma, extrai-se a compreensão de que o score de crédito "não se trata de um cadastro ou banco de dados de consumidores, mas de uma metodologia de cálculo do risco de crédito, utilizando-se de modelos estatísticos". A Súmula n. 550/STJ, por sua vez, cristalizou esse entendimento ao enunciar: "A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor.<br>O caso em tela, contudo, versa sobre situação fática e jurídica diversa. A controvérsia não reside na legalidade da atribuição de uma pontuação de risco ao consumidor, mas sim na coleta, no armazenamento e na disponibilização onerosa de um dado pessoal específico e identificável - o número de telefone do recorrente - a terceiros consulentes. Tal atividade caracteriza, inequivocamente, a gestão de um banco de dados, cuja disciplina é regida por um microssistema normativo específico, composto pelo Código de Defesa do Consumidor, pela Lei n. 12.414/2011 (Lei do Cadastro Positivo) e, mais recentemente, pela Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD).<br>Portanto, a aplicação indiscriminada do Tema n. 710/STJ e da Súmula n. 550/STJ pelo Tribunal de origem, para afastar a ilicitude da conduta da recorrida, representa um equívoco de enquadramento jurídico, pois ignora a natureza distinta das atividades de scoring e de gestão de banco de dados cadastrais. A presente questão deve ser analisada sob a ótica das normas que regem o tratamento de dados pessoais para fins de proteção ao crédito, e não sob a égide do precedente que tratou de modelos estatísticos.<br>Fixada a premissa adequada ao caso, passo ao exame de violação da legislação federal.<br>A legislação consumerista, atenta à vulnerabilidade do consumidor e à importância da proteção de seus dados pessoais, estabeleceu, desde a sua gênese, um claro dever de informação por parte dos gestores de bancos de dados.<br>O artigo 43, § 2º, do Código de Defesa do Consumidor é taxativo ao dispor que "a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele".<br>A norma não faz qualquer distinção entre informações de caráter negativo (inadimplemento) ou positivo (adimplemento, dados cadastrais). O seu escopo é garantir ao consumidor o direito fundamental de saber que suas informações estão sendo coletadas, armazenadas e tratadas por terceiros, direito este que constitui o alicerce para o exercício de outros direitos correlatos, como o acesso, a retificação e o cancelamento dos dados, conforme assegura o próprio art. 43 do CDC.<br>A Lei n. 12.414/2011, que disciplinou especificamente os bancos de dados com informações de adimplemento (Cadastro Positivo), veio reforçar e detalhar esse dever. Em sua redação original, a lei exigia autorização prévia e consentimento informado do consumidor para a abertura do cadastro. Com as alterações promovidas pela Lei Complementar n. 166/2019, a exigência de consentimento prévio para a abertura do cadastro foi flexibilizada, alinhando-se a um modelo de opt-out. Contudo, o dever de comunicação ao cadastrado não foi suprimido; ao contrário, foi mantido e especificado no § 4º do artigo 4º, que determina a comunicação em até 30 dias após a abertura do cadastro. Veja-se:<br>Art. 4º O gestor está autorizado, nas condições estabelecidas nesta Lei, a: § 4º A comunicação ao cadastrado deve:<br>I - ocorrer em até 30 (trinta) dias após a abertura do cadastro no banco de dados, sem custo para o cadastrado; (Incluído pela Lei Complementar nº 166, de 2019)<br>II - ser realizada pelo gestor, diretamente ou por intermédio de fontes; e (Incluído pela Lei Complementar nº 166, de 2019)<br>III - informar de maneira clara e objetiva os canais disponíveis para o cancelamento do cadastro no banco de dados. (Incluído pela Lei Complementar nº 166, de 2019)<br>Ademais, e de crucial importância para o deslinde da causa, o artigo 5º, inciso V, da Lei n. 12.414/2011, consagra como direito do cadastrado "ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais". A violação desse dispositivo é flagrante no caso dos autos, em que a recorrida coletou e disponibilizou o número de telefone do recorrente sem lhe fornecer qualquer informação a respeito.<br>Quando um consumidor fornece seus dados em uma relação comercial, como a de compra e venda, ele o faz para a finalidade específica daquele negócio jurídico, confiando ao fornecedor a proteção de suas informações. Não há, nesse ato, uma autorização implícita e genérica para que o comerciante ou qualquer outro agente divulgue esses dados no mercado. A comercialização de dados pessoais, transformando a privacidade do consumidor em mercadoria, sem a sua ciência, subverte a lógica da proteção de dados e viola frontalmente a boa-fé objetiva que deve reger as relações de consumo.<br>Em razão dessa controvérsia, a Ministra Nancy Andrighi, relatora do REsp 2.133.261/SP, julgado em 08/10/2024, teceu as seguintes considerações, as quais adoto como razão de decidir:<br>3. DO TRATAMENTO DE DADOS PESSOAIS POR BANCO DE DADOS PARA PROTEÇÃO DO CRÉDITO, DA DISPONIBILIZAÇÃO A TERCEIROS E DO CONSENTIMENTO PRÉVIO DO CADASTRADO<br>O ponto central da presente controvérsia consiste em definir se o gestor de banco de dados, com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais do cadastrado e, ainda, disponibilizar tais dados a terceiros consulentes, bem como definir se é necessário o consentimento prévio do titular dos dados em alguma hipótese.<br>O tratamento de dados pessoais, quando envolve proteção ao crédito, submete-se a um microssistema formado, sobretudo, pelo Código de Defesa do Consumidor, pela Lei nº 12.414/2011 (Lei do Cadastro Positivo), pela Lei nº 12.965/2014 (Marco Civil da Internet) e pela Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD).<br> .. <br>Portanto, a LGPD não exige o consentimento para o tratamento de dados pessoais não sensíveis com a finalidade de proteção do crédito.<br> .. <br>Portanto, não se pode afirmar de forma genérica que o gestor de banco de dados pode disponibilizar dados pessoais dos cadastrados, sem consentimento prévio. Existe um tratamento diferenciado para cada situação, a depender da atividade do gestor, dos dados ou informações a serem disponibilizados e do sujeito que os receberá.<br> .. <br>Por sua vez, as "informações cadastrais e de adimplemento" podem ser compartilhadas apenas com "outros bancos de dados", nos termos do art. 4º, III, da referida Lei nº 12.414/2011, com redação dada pela LC nº 166/2019.<br> .. <br>Nesse sentido, dispõe o art. 4º, IV, que o gestor de banco de dados pode "disponibilizar a consulentes: a) a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas; e b) o histórico de crédito, mediante prévia autorização específica do cadastrado", com redação dada pela LC nº 166/2019.<br> .. <br>O histórico de crédito é definido pela Lei nº 12.414/2011 como o "conjunto de dados financeiros e de pagamentos, relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento por pessoa natural ou jurídica". Não abrange, portanto, informações cadastrais (dados pessoais não sensíveis) - hipótese do inciso III do art. 4º, cujo compartilhamento é autorizado apenas para outros bancos de dados.<br> .. <br>Em síntese, embora o gestor de banco de dados para proteção do crédito possa realizar o tratamento de dados pessoais e abrir cadastro sem prévio consentimento do cadastrado, a Lei nº 12.414/2011 (I) restringe o compartilhamento das informações cadastrais a outros bancos de dados - que são geridos por pessoas devidamente autorizadas pelo BACEN; e (II) em relação aos consulentes, apenas autoriza a disponibilização (a) da pontuação de crédito; e (b) do histórico de crédito, desde que autorizado previamente pelo cadastrado, em observância ao modelo de autorização do Decreto nº 9.936/2019.<br>Desse modo, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados.<br>4. DA COMUNICAÇÃO QUANTO À ABERTURA DO CADASTRO EM BANCO DE DADOS E SOBRE OS AGENTES DE TRATAMENTO DE DADOS<br>Deve-se diferenciar a abertura do cadastro em banco de dados pelo respectivo gestor da disponibilização dos dados a terceiros, sobretudo tendo em vista que o Tribunal de origem confundiu as duas hipóteses, não observando adequadamente as regras específicas para cada uma delas.<br>Conforme analisado acima, a Lei nº 12.414/2011 restringe os dados e informações que podem ser disponibilizadas ou compartilhadas, exigindo, ainda, a autorização prévia na hipótese de histórico de crédito.<br>Por sua vez, o art. 4º, I, da Lei nº 12.414/2011 autoriza o gestor, nas condições desta lei, a "abrir cadastro em banco de dados com informações de adimplemento de pessoas naturais e jurídicas", sem exigir o consentimento prévio do cadastrado, como era antes da LC nº 166/2019.<br>No entanto, a dispensa do consentimento prévio para a abertura do cadastro não significa a dispensa da comunicação.<br>Com efeito, o § 4º do referido art. 4º é expresso ao prever que "a comunicação ao cadastrado deve: (I) ocorrer em até 30 (trinta) dias após a abertura do cadastro no banco de dados, sem custo para o cadastrado; (II) ser realizada pelo gestor, diretamente ou por intermédio de fontes; e (III) informar de maneira clara e objetiva os canais disponíveis para o cancelamento do cadastro no banco de dados".<br>Ademais, a comunicação quanto à abertura do cadastro é essencial para que o cadastrado possa exercer os seus direitos previstos no art. 5º da Lei nº 12.414/2011, dentre eles o de obter o cancelamento do cadastro. Confira-se:<br>"Art. 5º. São direitos do cadastrado:<br>I - obter o cancelamento ou a reabertura do cadastro, quando solicitado;<br>II - acessar gratuitamente, independentemente de justificativa, as informações sobre ele existentes no banco de dados, inclusive seu histórico e sua nota ou pontuação de crédito, cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta às informações pelo cadastrado;<br>III - solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de dados que compartilharam a informação;<br>IV - conhecer os principais elementos e critérios considerados para a análise de risco, resguardado o segredo empresarial;<br>V - ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais;<br>VI - solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados; e<br>VII - ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles foram coletados."<br>Registra-se que essas disposições estão em conformidade com o art. 43 do CDC, segundo o qual o consumidor "terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes".<br>O § 2º do referido dispositivo prevê que "a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele".<br>Já o § 3º atribui ao consumidor o direito de, sempre que encontrar inexatidão nos seus dados e cadastros, exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.<br>Além disso, a necessidade de comunicação ao cadastrado - além de ser exigência expressa pela Lei nº 12.414/2011, com a redação dada pela LC nº 166/2019, e pelo CDC (pelos dispositivos acima elencados) - está em completa harmonia com o direito de informação amplamente protegido pela LGPD.<br>O art. 2º da LGPD aponta entre os fundamentos da disciplina da proteção dos dados pessoais o respeito à privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, da honra e da imagem.<br>Ao lado dos fundamentos, a LGPD estabeleceu uma série de princípios que devem ser observados nas atividades de tratamento de dados pessoais.<br>Destaca-se, nesse contexto, o princípio da finalidade, segundo o qual o tratamento de dados deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (art. 6º, I).<br>O princípio da adequação, por sua vez, preceitua que deve existir compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento (art. 6º, II).<br>Merece menção, ainda, o princípio da transparência, que garante aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (art. 6º, VI).<br>Nesse sentido, "o consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas" (REsp 1.758.799/MG, Terceira Turma, DJe 19/11/2019).<br>Desse modo, todo o microssistema de proteção de dados pessoais impõe ao agente de tratamento o dever de informar ao titular acerca do tratamento de seus dados pessoais. A eventual não exigência de consentimento não significa que o consumidor não deva ser cientificado de que seus dados estão sendo utilizados e por quem, inclusive para exercer o indispensável controle, nos limites da lei.<br>Em síntese, embora não seja exigido o consentimento prévio para a abertura do cadastro pelo gestor de banco de dados, é necessária a comunicação ao cadastrado, inclusive sobre os demais agentes de tratamento (terceiros que obtêm acesso aos dados), destacando-se que o cadastrado pode exigir o cancelamento a qualquer momento, jamais podendo o gestor manter um cadastro contra a vontade expressa do cadastrado.<br>Nesse contexto, a inobservância dos deveres associados ao tratamento de dados do consumidor - que abrange a coleta, o armazenamento e a transferência a terceiros - e, em especial, a violação do dever de informar, faz nascer para o titular dos dados a pretensão de reparação pelos danos sofridos, bem como o direito de fazer cessar imediatamente a ofensa aos seus direitos da personalidade.<br>Essa, a propósito, é a compreensão desta Colenda Turma:<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. DISTINÇÃO. BANCO DE DADOS. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. TERCEIROS CONSULENTES. RESTRIÇÃO LEGAL. DISPONIBILIZAÇÃO INDEVIDA. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer cumulada com compensação de danos morais.<br>2. No particular, não se aplicam o Tema 710/STJ e a Súmula 550/STJ, que tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", sendo este regulamentado pela Lei nº 12.414/2011.<br>3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV).<br>Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes.<br>4. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.<br>5. Recurso especial conhecido e provido.<br>(REsp n. 2.207.172/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 5/8/2025, DJEN de 15/8/2025.)<br>CIVIL, CONSUMIDOR E PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. TEMA 710 E SÚMULA 550 DO STJ. CREDIT SCORING. DISTINÇÃO. BANCO DE DADOS REGIDO PELA LEI Nº 12.414/2011. TRATAMENTO E ABERTURA DO CADASTRO SEM CONSENTIMENTO. POSSIBILIDADE. COMUNICAÇÃO. NECESSIDADE. DISPONIBILIZAÇÃO DOS DADOS DO CADASTRADO. HIPÓTESES PREVISTAS NA LEI Nº 12.414/2011. INFORMAÇÕES CADASTRAIS E DE ADIMPLEMENTO. POSSIBILIDADE DE COMPARTILHAMENTO APENAS A OUTROS BANCOS DE DADOS. RESTRIÇÃO LEGAL QUANTO AOS DADOS QUE PODEM SER DISPONIBILIZADOS A TERCEIROS CONSULENTES. INOBSERVÂNCIA QUANTO AOS DEVERES LEGAIS DE TRATAMENTO DE DADOS PELO GESTOR DE BANCO DE DADOS. DISPONIBILIZAÇÃO INDEVIDA DE DADOS DO CADASTRADO. DANO MORAL PRESUMIDO. RESPONSABILIDADE OBJETIVA DO GESTOR DE BANCO DE DADOS. CONFIGURAÇÃO.<br>1. Ação de obrigação de fazer c/c indenização por danos morais, da qual foi extraído o presente recurso especial, interposto em 9/2/2024 e concluso ao gabinete em 5/4/2024.<br>2. O propósito recursal é decidir se (I) o gestor de banco de dados para formação de histórico de crédito pode disponibilizar informações cadastrais (dados pessoais não sensíveis) dos cadastrados a terceiros consulentes, sem a sua comunicação e prévio consentimento; e (II) essa prática configura dano moral ao cadastrado.<br>3. O Tema 710/STJ e a Súmula 550/STJ tratam especificamente do credit scoring, ficando expressamente consignado que essa prática "não constitui banco de dados", o qual é regulamentado pela Lei nº 12.414/2011, que "disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito".<br>4. O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos arts. 4º, I, da Lei nº 12.414/2011 e 7º, X, da LGPD.<br>5. Todavia, o gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes (I) o score de crédito, sendo desnecessário o consentimento prévio; e (II) o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto nº 9.936/2019), conforme o art. 4º, IV, "a" e "b" da referida lei.<br>6. Por outro lado, em observância o inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.<br>7. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.<br>8. Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei nº 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.<br>9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente.<br>10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.<br>11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD.<br>12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, ao histórico de crédito.<br>13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (BOA VISTA) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.<br>(REsp n. 2.133.261/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 8/10/2024, DJe de 10/10/2024.)<br>Como visto, em tais hipóteses, o dano é presumido e decorre da própria ilicitude do ato. A violação do direito à privacidade e à autodeterminação informativa, com a exposição de dados pessoais a um número indeterminado de consulentes, gera no indivíduo um sentimento de vulnerabilidade e insegurança que, por si só, é suficiente para caracterizar o abalo moral. A disponibilização do número de telefone, embora não seja um "dado sensível" na acepção técnica da LGPD, expõe o consumidor a uma série de riscos e aborrecimentos, como o recebimento de publicidade indesejada, contatos para fins fraudulentos e a violação de seu sossego.<br>No caso, a parte recorrente comprovou, por meio do relatório emitido pela própria recorrida (fls. 36-38), que houve a efetiva coleta, armazenamento e disponibilização de seus dados pessoais, abrangendo não apenas elementos de identificação básica, mas também informações sobre seu endereço, telefones e uma estimativa de sua renda mensal. Tais dados foram acessados por terceiros consulentes mediante consulta onerosa, sem que tivesse havido a prévia comunicação exigida pelo art. 43, § 2º, do CDC, e pelo art. 4º, § 4º, da Lei n. 12.414/2011, tampouco consentimento específico para tanto, em afronta à garantia fundamental da autodeterminação informativa consolidada pela LGPD.<br>A documentação carreada aos autos revela (fls. 36-38), assim, a ilicitude da conduta da gestora do banco de dados, que ultrapassou os limites legalmente permitidos de utilização e compartilhamento de informações cadastrais, atraindo a sua responsabilidade objetiva pelos danos decorrentes, nos termos do microssistema normativo consumerista e de proteção de dados pessoais.<br>A responsabilidade da recorrida, na qualidade de gestora de banco de dados, é objetiva, nos termos do art. 14 do CDC e do art. 16 da Lei n. 12.414/2011. Tendo sido demonstrada a conduta ilícita (disponibilização de dados sem comunicação) e o nexo de causalidade, e sendo o dano moral presumido, exsurge o dever de indenizar.<br>Ante o exposto, conheço do recurso especial e dou-lhe parcial provimento, para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a recorrida (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da parte recorrente (informações cadastrais e histórico de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar à parte autora, ora recorrente, o valor de R$ 5.000,00 (cinco mil reais), a título de indenização por danos morais, acrescido de juros de mora incidentes pela taxa SELIC, desde a data do evento danoso (Súmula 54/STJ), qual seja, a data da consulta indevidamente disponibilizada, com o decote da atualização monetária pelo IPCA até a prolação da sentença, quando a partir de então bastará a taxa SELIC, que inclui o índice de recomposição da moeda, nos termos da Súmula 362/STJ.<br>Invertida a sucumbência, condeno a parte recorrida ao pagamento das custas processuais e honorários advocatícios de sucumbência, os quais fixo em 15% sobre o valor da condenação, com base no art. 85, §§ 2º e 11, do CPC.<br>É como penso. É como voto.