A recente decisão da 3ª Turma do Superior Tribunal de Justiça (STJ), no REsp 2.201.694/SP, acendeu alerta na proteção de dados pessoais. Por maioria, o colegiado entendeu que a disponibilização de informações de consumidores a terceiros, sem prévia comunicação e sem consentimento, viola direitos da personalidade e gera indenização por dano moral. O caso envolveu birô de crédito que repassou dados pessoais além do permitido legalmente.
Relatada pela ministra Nancy Andrighi, a decisão reconheceu a gravidade da quebra de confiança e da exposição indevida da privacidade, presumindo o dano moral da vítima. O julgamento insere-se no movimento de consolidação dos direitos dos titulares, especialmente após a LGPD (Lei 13.709/2018) e a EC 115/2022, que elevou a proteção de dados a direito fundamental. A seguir, analisamos seu impacto na responsabilidade civil.
Primeiramente, fundamental esclarecer que nem todo compartilhamento sem consentimento é ilícito. A LGPD (art. 7º) prevê bases legais como cumprimento de obrigação legal, execução contratual, exercício regular de direitos e legítimo interesse. Assim, ausência de consentimento não implica violação se houver fundamento válido.
Quando não existe base legal, há tratamento indevido, atraindo a responsabilidade objetiva prevista no art. 42 da LGPD: basta comprovar ação ilícita, dano e nexo para haver responsabilização. A 3ª Turma enfatizou que gestores de bancos de dados que agem fora da lei respondem objetivamente por danos morais, pois violam direitos da personalidade.
No caso concreto, aplicava-se a Lei do Cadastro Positivo (12.414/2011). Ela autoriza a coleta e compartilhamento de algumas informações, mas limita: o score pode ser fornecido sem consentimento, já dados cadastrais ou históricos detalhados exigem autorização do titular. O STJ entendeu que o birô excedeu ao repassar dados como telefone a consulentes, sem base legal nem aviso ao consumidor.
Assim, empresas que compartilham dados sem consentimento ou fundamento legal assumem o risco de indenizar por dano moral, pois atingem intimidade, privacidade, honra e, principalmente, a autodeterminação informativa. O STJ, assim, sinaliza que a própria violação da proteção de dados pode presumir dano moral, quando implicar quebra injustificada de sigilo ou uso indevido.
Entende-se, porém, que cada caso será analisado conforme suas particularidades, considerando por exemplo normas setoriais e peculiaridades do segmento de mercado. Nos birôs, havia lei específica; em outros setores, verifica-se se havia hipótese do art. 7º. Se não houver, o compartilhamento é ilícito e passível de indenização.
A decisão da 3ª Turma reforçou a tutela da privacidade ao reconhecer o dano moral presumido no compartilhamento indevido. Para a ministra Nancy Andrighi, os danos decorrem da sensação de insegurança da vítima, alinhando-se à tradição do STJ em violações de direitos da personalidade.
Constatado isso, questiona-se: há mudança no panorama em razão da decisão recente? Para responder, é preciso cotejar decisões recentes.
Em março de 2023, a 2ª Turma analisou um caso de vazamento de dados básicos (nome, RG, endereço) da Enel, em sede do AREsp 2.130.619, e decidiu que mero vazamento de dados não sensíveis não gera dano moral automático; exigindo prova de prejuízo.
Já em dezembro de 2024, a 3ª Turma, relatoria do ministro Cueva, enfrentou caso de ataque hacker à Eletropaulo. A empresa alegou fortuito externo, mas o STJ entendeu que, se não houver demonstração de medidas adequadas de segurança, trata-se de fortuito interno, com responsabilidade do controlador. Reforçou-se o princípio da accountability (art. 6º, X, LGPD): a empresa só se exime se comprovar culpa exclusiva de terceiro ou do titular. Contudo, não se reconheceu dano moral por falta de prova de prejuízo concreto.
Por fim, em fevereiro de 2025, a 3ª Turma, novamente sob Andrighi, reconheceu que vazamento de dados sensíveis (saúde, finanças, contas bancárias) em contratos de seguro gera dano moral presumido. A exposição de tais dados coloca o consumidor em risco direto, dispensando prova de prejuízo.
No caso do birô, embora os dados não fossem sensíveis, a conduta ilícita e voluntária do agente justificou equiparação a uma violação grave de privacidade, presumindo-se o dano. O consumidor, que confiara seus dados ao cadastro positivo, teve frustrada sua expectativa legítima. Dessa comparação, extrai-se que o precedente não altera tudo, mas refina que vazamento fortuito de dados comuns exige prova de prejuízo, enquanto vazamento de dados sensíveis ou compartilhamento ilícito voluntário admite dano moral presumido.
Ou seja, a análise é casuística, mas com rigor maior para condutas ilícitas ou dados de maior relevância. Para o setor de crédito, reforça-se a necessidade de observância estrita da lei, mas os efeitos irradiam-se a outros setores.
Com isso em mente, cabe questionar se deve o consumidor se incumbir de provar o compartilhamento indevido. A princípio, pelo art. 373 do CPC, sim. Mas há que se considerar que existe uma assimetria informacional nessa relação jurídica, pois os fluxos de dados estão sob controle da empresa. Nesse ponto, dois instrumentos auxiliam o titular: a partir do CDC (art. 6º, VIII), se o juiz entender que a alegação do consumidor é verossímil e ele hipossuficiente, pode inverter o ônus, exigindo que a empresa prove que não houve o compartilhamento ilícito.
Essa inversão é uma faculdade do julgador, aplicada caso a caso, mas bastante pertinente em matéria de proteção de dados, já que o consumidor muitas vezes sequer saberia da ocorrência do incidente se não fosse uma comunicação oficial; e a própria LGPD (arts. 18 e 19), que garante direito de confirmar tratamento, acessar dados e conhecer os compartilhamentos, de forma que a negativa injustificada pode ser indício favorável ao consumidor e até infração administrativa.
Além disso, contatos indesejados, comunicações oficiais de incidentes ou notificações da ANPD podem servir de prova. Uma vez demonstrado o compartilhamento indevido, a responsabilidade se configura. Nos casos de dano moral presumido, basta a ocorrência do ilícito; nos demais, exige-se comprovação de abalo.
Em vista da recente evolução da jurisprudência atinente à matéria de proteção de dados, percebemos que esta ganhou contornos efetivos na responsabilidade civil. O compartilhamento sem base legal viola a LGPD e direitos da personalidade, gerando indenização, muitas vezes presumida. A decisão da 3ª Turma sobre birôs reforça a responsabilização objetiva, protegendo confiança e segurança do consumidor.
A jurisprudência, porém, diferencia situações: em incidentes de baixo impacto, exige-se prova de dano; em casos graves – dados sensíveis ou conduta ilícita deliberada –, admite-se dano moral in re ipsa. Assim, o precedente não rompe paradigmas, mas confirma tendência de rigor maior em violações deliberadas ou decorrentes de negligência, e responsabilidade objetiva em falhas graves. Empresas devem provar conformidade e medidas de segurança, sob pena de indenização.
Por fim, cabe ressaltar que o tema está em plena evolução no STJ. É fundamental acompanhar de perto os próximos julgamentos para verificar se o tribunal manterá a linha de maior severidade em relação ao compartilhamento indevido de dados, em que o dano moral tem sido presumido, ou se haverá uma unificação do entendimento em torno da responsabilidade in re ipsa também para incidentes decorrentes de atos maliciosos de terceiros.
O desfecho dessa consolidação jurisprudencial terá impacto direto na previsibilidade das decisões e na forma como empresas estruturam suas políticas de conformidade em proteção de dados.
por André Catta Preta Federighi e Suzana Catta Preta
Fonte: Jota
www.contec.org.br
