Há informações que, na rotina corporativa, costumam ser tratadas como estritamente operacionais: telefone, endereço, dados de contato. O STJ, porém, reafirmou um ponto relevante: quando esses dados são disponibilizados indevidamente em bancos de dados, o impacto jurídico pode ser imediato, inclusive com o reconhecimento de dano moral presumido.
No REsp 2.201.694/SP, a 3ª Turma assentou que a disponibilização indevida de informações pessoais a terceiros — especialmente sem comunicação prévia ao titular e sem consentimento quando exigido — viola direitos da personalidade e enseja dano moral in re ipsa. Em termos práticos, a lógica é objetiva: não se exige a prova de prejuízo concreto (como "humilhação" ou "sofrimento"); basta a demonstração do ato de disponibilização indevida.
O Que Aconteceu
O caso envolve um consumidor que alegou que uma gestora de banco de dados teria permitido o acesso a informações como telefone, endereço e renda. O pedido incluiu: (i) cessar a disponibilização e (ii) indenização.
Um detalhe que ajuda a entender o alcance da decisão: em 1º grau a ação foi julgada improcedente e o TJSP manteve a conclusão. No STJ, porém, por maioria, prevaleceu o voto da Min. Nancy Andrighi (relatora para o acórdão), reconhecendo que a disponibilização indevida, nessas condições, viola direitos da personalidade e enseja dano moral presumido.
Por Que Essa Decisão Importa Para o Seu Negócio
O acórdão traz duas mensagens que ajudam a traduzir o tema do "jurídico" para o "negócio", especialmente em ecossistemas B2B:
1. Não Confundir "Credit Scoring" com "Banco de Dados"
O STJ distingue a discussão sobre score/credit scoring (Tema 710/Súmula 550) do ponto central aqui: compartilhamento/fornecimento de dados cadastrais a partir de um banco de dados. Essa distinção importa porque altera o enquadramento jurídico e, com ele, as obrigações, limites e salvaguardas esperadas no tratamento.
2. Dado Cadastral Também Pode Gerar Dano Moral Presumido
Mesmo quando a informação não é "sensível", o tribunal tratou a disponibilização indevida como suficiente para caracterizar a ofensa e sustentar o dano moral in re ipsa. Em outras palavras: o risco não está apenas "na categoria" do dado, mas no modo como ele é acessado, exposto e disponibilizado.
"O ponto central não é 'dado sensível vs. não sensível'. É o limite legal do acesso e a finalidade: quando dados cadastrais são disponibilizados a quem não deveria acessá-los, o tribunal presume o dano, pela insegurança decorrente da própria exposição."
O Que Pode e o Que Não Pode Circular Nesse Ecossistema
Para tornar o tema mais concreto, a decisão ajuda a desenhar uma fronteira do que pode ser disponibilizado por esse tipo de estrutura, no contexto analisado:
| Status | Tipo de Dado | Condição |
|---|---|---|
| ✅ Pode | Score de crédito | Pode ser disponibilizado a terceiros, sem consentimento prévio |
| ✅ Pode | Histórico de crédito | Pode ser disponibilizado com autorização específica do cadastrado |
| ❌ Não pode | Telefone, endereço, adimplemento | Não devem ser liberados para empresas consulentes |
O Que a Decisão Determinou no Caso Concreto
Além de determinar o cessar da disponibilização dos dados para terceiros consulentes (observadas as ressalvas nos limites legais), houve condenação em R$ 11.000,00 a título de dano moral.
Por Que Isso Deveria Entrar no Radar de Qualquer Empresário
Porque o problema aqui não é, necessariamente, um ataque hacker. É algo mais cotidiano, e por isso, mais frequente: quem tem acesso aos dados, como esse acesso é concedido e o que parceiros conseguem consultar. O risco pode nascer da própria operação, do modo como a empresa compartilha, integra e "abre" informações para terceiros.
Na prática, essa decisão se traduz em quatro frentes de impacto:
- Financeiro: Se o dano é presumido, fica mais simples converter uma falha de disponibilização/acesso em indenização, o que tende a aumentar o volume (e a previsibilidade) de disputas.
- Reputação: O argumento "não houve prejuízo comprovado" perde força quando o dano é reconhecido pelo próprio fato da exposição indevida.
- Contratos e parcerias: Em cadeias B2B, o risco raramente fica "contido" em um único ator. Quem compra, integra ou revende soluções de dados pode ser cobrado por cláusulas de responsabilidade, auditoria, regresso e até rescisão.
- Operação: O tema recai diretamente sobre controle de acesso, logs, rastreabilidade de consultas, governança de APIs e gestão de permissões de parceiros.
Checklist Prático: Se Você Faz Qualquer Item Abaixo, Atenção
Você tende a estar mais exposto se:
- Oferece soluções que dependem de consulta a bancos de dados (crédito, validação, enriquecimento, antifraude, KYC/KYB)
- Vende ou consome enriquecimento de dados (telefone/endereço/renda estimada) como diferencial
- Compartilha dado cadastral com "parceiros consulentes" sem uma matriz clara de finalidade, base legal e autorização
- Não consegue responder com rapidez: de onde veio o dado, para quem foi, quando foi consultado e com qual justificativa
Como Endereçar o Risco com Eficiência (Sem Travar o Negócio)
- Mapeie os pontos de disponibilização (API, portal, batch, integrações).
- Valide o "cardápio legal" do que é fornecido e em qual hipótese (com atenção especial quando houver relação com cadastro positivo).
- Reforce a governança de terceiros: finalidade, limites de acesso, auditoria, logs, retenção e obrigações de notificação.
- Aplique minimização e necessidade: o parceiro precisa do "dado em si" ou apenas de um resultado/indicador?
- Prepare evidências: mantenha documentação e trilhas de auditoria prontas para demonstrar conformidade (isso costuma ser decisivo em disputas).
Na sua operação, dado cadastral é tratado como detalhe ou como um ativo que, se mal governado, vira passivo?