A 3ª Turma do Superior Tribunal de Justiça proferiu, recentemente, por apertada maioria, um novo entendimento sobre proteção de dados pessoais. Na decisão, a corte determinou o pagamento de indenização por vazamento de informações mesmo sem prova de prejuízo concreto. Assim, entendeu que o dano moral em tais situações é presumido (REsp 2.201.694/SP, por maioria, relatora ministra Nancy Andrighi, 5/8/2025).
A mudança de entendimento jurisprudencial vai impactar significativamente o mercado de crédito brasileiro. Gestores de bancos de dados enfrentam agora, além da responsabilidade objetiva, um alto risco de demandas indenizatórias com inversão do ônus probatório.
No julgamento, uma empresa disponibilizava dados cadastrais para terceiros sem autorização específica. A prática era considerada regular até então.
O julgamento teve reviravoltas e não foi unânime.
Primeiro, o ministro Ricardo Villas Bôas Cueva defendeu interpretação mais flexível. Na sequência, ministro Humberto Martins o acompanhou. Para ambos os julgadores, a Lei Geral de Proteção de Dados (LGPD) já autoriza o tratamento para proteção ao crédito. O consentimento prévio seria desnecessário nestes casos, já que a Lei nº 12.414/2011 estabelece marco regulatório suficiente. Para eles, exigências adicionais comprometeriam o sistema creditício, já que as ineficiências gerariam custos para todos os consumidores.
Os ministros Villas Bôas Cueva e Humberto Martins também destacaram o problema da seleção adversa: sem informações adequadas, credores aplicam taxas baseadas em médias, o que faz com que consumidores adimplentes acabem subsidiando os inadimplentes, o que gera um crédito mais caro para quem paga em dia.
No entanto, a ministra Nancy Andrighi abriu divergência e liderou o entendimento contrário, absolutamente mais restritivo. Os ministros Moura Ribeiro e Daniela Teixeira a seguiram. Para a maioria, portanto, a lei limita claramente o que pode ser compartilhado, ou seja, gestores podem disponibilizar apenas duas informações: 1) o score de crédito, sem necessidade de autorização; e 2) o histórico de crédito, com consentimento específico.
Dados cadastrais ficam restritos ao compartilhamento entre bancos de dados. Assim, entenderam que é ilegal a sua disponibilização para terceiros, é que essa conduta que gera “forte sensação de insegurança” no titular e, consequentemente, dano moral. Em suma, prevaleceu a tese da responsabilidade do gestor independentemente de culpa e sem necessidade da prova cabal do dano moral.
Decisão pode prejudicar quem se pretende proteger
A decisão prevaleceu por maioria, e revela ausência de consenso dentro do próprio STJ, que, em outros julgamentos, diverge sobre a interpretação da lei.
A divergência compromete a segurança jurídica. Operadores ficam sem parâmetros claros. Empresas não conseguem planejar adequadamente suas atividades.
A presunção absoluta de dano gera distorções econômicas, já que os custos operacionais aumentam pelo risco de demandas. O mercado incorpora esses custos nos preços e, assim, todos os consumidores acabam pagando mais caro.
A restrição na disponibilização de dados compromete a análise de risco, o que faz com que as instituições adotem critérios menos precisos. Isso porque elas terão que se basear em médias setoriais por falta de informações individualizadas. As consequências são previsíveis: a) taxas de juros mais altas para compensar incertezas; b) menor oferta de crédito, especialmente para baixa renda; e c) concentração em instituições com maior capacidade financeira.
A presunção de dano combinada com responsabilidade objetiva cria incentivos perversos para demandas frívolas, que são demandas artificialmente criadas (com informações inverídicas) para fomentar a chamada indústria do dano moral. Isso porque, se qualquer irregularidade vira fonte automática de indenização, pessoas mal-intencionadas podem massificar demandas sem substância só para dificultar a defesa e ganhar indenização.
O Judiciário fica sobrecarregado com processos temerários e juízes que poderiam resolver conflitos relevantes têm a atenção desviada. Ou seja, a eficiência do sistema judicial diminui.
A decisão pode prejudicar quem se pretendia proteger. As taxas ficarão uniformemente mais altas e, assim, bons pagadores vão subsidiar maus pagadores.
A menor precisão na avaliação do risco excluirá consumidores de baixo perfil. Eles migram para o mercado informal. Os custos, lá, são significativamente superiores e, assim, o tiro sai pela culatra.
É importante lembrar que o tratamento de dados pessoais, nos termos da lei nº 13.709/2018 (LGPD), não se limita ao consentimento do titular. O artigo 7º elenca outras hipóteses legítimas que podem fundamentar a atividade de tratamento, desde que observados os princípios da finalidade, necessidade, adequação e proporcionalidade.
Dentre as hipóteses previstas no artigo 7º, podemos destacar execução de contrato, interesse legítimo e proteção de crédito.
No caso específico do legítimo interesse, trata-se de hipótese que permite o tratamento quando houver pertinência entre a finalidade almejada e a expectativa legítima do titular. A análise de dados para concessão de crédito; a adoção de medidas para solução de pendências contratuais ou financeiras; a implementação de programas de fidelidade; a comunicação com clientes sobre produtos ou serviços compatíveis com sua relação já existente com a instituição e até mesmo medidas de prevenção a fraude e à segurança dos sistemas justificam o tratamento de dados sem consentimento.
Portanto, a exigência de consentimento não deve ser interpretada de forma absoluta. A LGPD consagra um sistema de múltiplos fundamentos que permite conciliar a proteção dos dados pessoais com a viabilidade das atividades empresariais e do interesse público, assegurando tanto a conformidade regulatória quanto a proteção efetiva dos direitos do titular, previstos no artigo 18 da LGPD, valendo destaque o direito a opor-se a tratamento dos seus dados.
Regra basilar
Por fim, a questão mais importante: o acórdão analisado entende que o vazamento de dados públicos deve merecer o mesmo tratamento de informações particulares sensíveis. Dados como telefone celular e endereço foram equiparados a dados médicos sigilosos.
No entanto, ousamos discordar, já que o sistema de justiça não pode dispensar a prova concreta do prejuízo. Isso é regra basilar da responsabilidade civil. A prova do nexo causal entre conduta e dano é fundamento para qualquer condenação. É extremamente importante examinar, no caso concreto, a gravidade da violação, até mesmo para dimensionar com justeza o valor da indenização. Além disso, a condenação deve conter um caráter pedagógico (que está na essência da responsabilidade civil), para punir com razoabilidade e evitar reincidência de condutas mais gravosas, sempre separando o joio do trigo.
O próprio STJ tem precedente de relatoria do ministro Francisco Falcão entendendo que: “O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações” (STJ-AREsp 2130619/SP). A nosso ver é esse o entendimento que deveria prevalecer para harmonizar as normas jurídicas brasileiras aplicáveis com as regras internacionais.
Considerações finais
A divergência de entendimentos entre os ministros indica que a matéria deve retornar ao STJ. Embargos de divergência ou novos recursos provavelmente serão interpostos. O tribunal terá oportunidade de revisitar o tema. Análise mais aprofundada se faz necessária.
A solução ideal deve conciliar a proteção de dados com a funcionalidade do crédito. Critérios de proporcionalidade precisam ser considerados. Violações graves devem ser distinguidas de irregularidades menores.
O sistema punitivo não pode comprometer a eficiência econômica. Benefícios concretos para consumidores devem ser demonstráveis. Efeitos colaterais precisam ser minimizados.
O STJ enfrenta desafio complexo que exige um equilíbrio: de um lado, o direito à privacidade que merece proteção; do outro, o funcionamento eficiente dos mercados para que uma decisão bem-intencionada não gere efeitos econômicos e sociais indesejados.
O acesso ao crédito pelos consumidores pode ficar comprometido. Justamente aqueles que a decisão pretende beneficiar sofrerão as consequências. A ironia da proteção excessiva se materializa.
A jurisprudência do STJ terá novas oportunidades para aperfeiçoar sua abordagem. A evolução do entendimento é esperada e necessária.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login