Fale com um Advogado em Birigui-SP
A 2ª Seção do Superior Tribunal de Justiça afetou, sob o rito dos recursos repetitivos, o Tema 1404, para definir se é lícita a disponibilização ou comercialização a terceiros de dados pessoais não sensíveis, por gestor de banco de dados de entidades de proteção ao crédito, sem prévia comunicação ou consentimento do cadastrado; e se, na hipótese de ilicitude da conduta, haveria configuração de dano moral in re ipsa.
O acórdão de afetação desse repetitivo indica julgados concluindo pela ilicitude da disponibilização a terceiros de dados pessoais não sensíveis sem prévio consentimento do cadastrado.
Essa corrente jurisprudencial tem examinado o tema a partir do disposto na Lei nº 12.414, de 2011 (Lei do Cadastro Positivo), que “disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”.
Nos termos do art. 4º da Lei 12.414, de 2011, o gestor está autorizado a compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados e a disponibilizar a consulentes a nota ou pontuação de crédito elaborada com base nessas informações, bem como o histórico de crédito, mediante prévia autorização específica do cadastrado.
Tratando o rol do art. 4º como exaustivo, essa linha de entendimento conclui que a transferência de informações cadastrais sem consentimento somente seria lícita entre bancos de dados, nunca diretamente a consulentes. O silêncio da norma quanto a essa última possibilidade equivaleria, nessa leitura, a uma proibição, tornando o consentimento a única via de legitimação disponível[1].
Esse quadro poderia sugerir, em uma primeira leitura, um indicativo de esgotamento da discussão.
Não é o que nos parece.
Representando entidade admitida no processo como amicus curiae, sustentamos que o ordenamento jurídico brasileiro dispõe de base normativa expressa que afasta a necessidade de consentimento do titular para o tratamento de dados não sensíveis. Argumentamos que o tema deve ser examinado à luz da Lei Geral de Proteção de Dados, marco normativo mais recente e abrangente sobre a matéria, alinhado aos padrões globais de proteção à privacidade, e considerando a natureza jurídica das atividades exercidas pelos birôs de crédito.
Sobre esse último aspecto, deve-se recordar que o art. 43, § 4º, do Código de Defesa do Consumidor qualifica os bancos de dados e serviços de proteção ao crédito como entidades de caráter público, a refletir a compreensão, pelo legislador, de que a reunião e o fluxo de informações de crédito servem a finalidades que transcendem o interesse das partes diretamente envolvidas em cada operação. Sua função estrutural é a de mitigar a assimetria informacional entre credores e tomadores, otimizando o funcionamento do sistema.
Os dados empíricos sobre o impacto dessa atividade são eloquentes. Pesquisa do Banco Mundial sobre o impacto da criação de sistemas de compartilhamento de informações de crédito em 63 países[2] identificou que a introdução de um birô está associada a uma queda de cinco pontos percentuais nas taxas de juros e a um aumento de sete pontos percentuais na probabilidade de empresas obterem acesso ao crédito.
O benefício é ainda mais expressivo para micro e pequenas empresas, com ganhos adicionais de sete a oito pontos percentuais em relação às grandes, tudo isso a indicar que eventual cenário de restrição severa ao fluxo de informações acabará por onerar, com maior intensidade, os tomadores mais vulneráveis do sistema.
A esse dado soma-se outro igualmente relevante: estudo realizado pelo FMI dedicado à relação entre expansão da inclusão financeira e risco de instabilidade sistêmica[3] demonstra que a oferta de crédito sem triagem adequada durante ciclos de expansão torna crises financeiras mais de duas vezes mais prováveis e está associada a um salto de cerca de quarenta pontos percentuais na inadimplência.
O dado é particularmente significativo para o contexto brasileiro atual, marcado por processo acelerado de bancarização impulsionado pelas fintechs e pela expansão do crédito digital, cenário em que a disponibilidade de informações confiáveis sobre o perfil dos tomadores é condição para que a ampliação do acesso ao crédito se dê de forma responsável e sustentável.
Regulando a atividade de tratamento de dados pessoais, art. 6º da LGPD prevê, como regra geral, os princípios da finalidade, da adequação e da necessidade, que atuam, em última instância, como verdadeiros critérios de aferição da licitude da conduta do agente de tratamento: a finalidade exige propósitos legítimos, específicos e explícitos; a adequação, a compatibilidade entre o tratamento e as finalidades informadas; a necessidade, que o tratamento se limite ao mínimo indispensável para a realização dessas finalidades.
Esses critérios pressupõem, por sua própria natureza, que o tratamento de dados seja compreendido como fenômeno multidimensional, em que coleta, armazenamento, organização e disponibilização são etapas distintas de um processo integrado, cada uma com tratamento normativo próprio.
É nesse quadro que o art. 7º da LGPD disciplina as hipóteses de tratamento lícito de dados pessoais, posicionando o consentimento do titular como apenas uma dentre variadas bases legais autônomas. O inciso X do mesmo dispositivo autoriza expressamente o tratamento de dados para fins de proteção ao crédito, hipótese que abrange, por sua própria lógica e finalidade, a disponibilização ou comercialização de dados pelos birôs diretamente a instituições financeiras que deles necessitam para a análise de risco e a concessão responsável de recursos financeiros.
Nessa linha, merece destaque o voto-vencido do ministro Ricardo Villas Bôas Cueva, proferido no julgamento do REsp 2.201.694/SP, ao concluir que o art. 7º, inciso X, da LGPD autoriza o tratamento de dados para fins de proteção ao crédito sem exigência de consentimento, sendo o acesso a essas informações não apenas lícito, mas necessário ao funcionamento eficiente do mercado de crédito[4].
Essa conclusão converge com a posição adotada pela Autoridade Nacional de Proteção de Dados, a consignar, na Nota Técnica 92/2022[5], que o consentimento não é hierarquicamente superior às demais bases legais do art. 7º, com as quais convive, na razão das particularidades de cada tratamento normativo[6], de modo que, existindo outra hipótese aplicável (como ocorre com a proteção de crédito), a anuência expressa é desnecessária.
A disponibilização ou comercialização de dados pessoais não sensíveis por gestores de bancos de dados de proteção ao crédito não configuraria, portanto, uma conduta ilícita por si só, exigindo, na prática, verificação concreta da adequação entre o tipo de dado tratado, a finalidade que justifica o acesso e o perfil do consulente que o exerce.
É dizer: aquilo que qualquer agente pode (ou deve) obter licitamente por meios próprios, a partir de fontes públicas ou de relações contratuais que autorizem o acesso, pode ser legitimamente reunido, organizado e transferido por terceiros, desde que haja compatibilidade entre a finalidade do tratamento e o interesse juridicamente tutelado que justifique o acesso, como ocorre na proteção do crédito (relação que não encerra dimensão e interesse de proteção exclusivamente de parte do tomador do crédito, abrangendo também o interesse não só do credor diretamente envolvido como o dos demais agentes do mercado de crédito organizado).
O desenvolvimento da experiência regulatória internacional também traz importantes aportes à discussão.
O Regulamento Geral de Proteção de Dados da União Europeia (GDPR), diploma que serviu de modelo declarado para a LGPD, adota a mesma estrutura pluralista de bases legais autônomas, sem hierarquia entre elas. O legítimo interesse, previsto no art. 6º(1)(f) do GDPR, é reconhecido como fundamento válido para o tratamento de dados cadastrais por sistemas de proteção ao crédito, o que demonstra que a dispensabilidade do consentimento nesse contexto não é uma peculiaridade do direito brasileiro, mas uma conclusão que outros sistemas de proteção de dados já consolidaram, ponderando os interesses individuais, coletivos e sociais envolvidos.
Mais revelador, contudo, é o movimento que a própria União Europeia tem promovido em relação ao seu arcabouço regulatório. Em março de 2025, a Comissão Europeia apresentou a proposta de Regulamento Omnibus Digital, que propõe alterações significativas no GDPR com o declarado propósito de simplificar o arcabouço de proteção de dados para apoiar a competitividade europeia, reconhecendo, na própria exposição de motivos, que o excesso de regras rígidas adotado pela União Europeia acabou gerando efeitos adversos sobre a economia, inclusive no que tange ao desenvolvimento e aprimoramento da inteligência artificial.
Dois pontos da proposta são diretamente relevantes para o debate aqui posto. O primeiro diz respeito ao dever de informar: a proposta de alteração do art. 13 do GDPR pretende suprimir a obrigação de comunicar o titular quando houver motivos razoáveis para presumir que ele já dispõe das informações sobre o tratamento, especialmente em operações de baixo risco.
O raciocínio subjacente é de fácil compreensão: o consumidor que celebra um contrato de crédito ou mantém relação com uma instituição financeira não ignora que a análise de risco e a consulta a dados cadastrais fazem parte da dinâmica inerente ao sistema. Exigir notificação individualizada a cada consulta seria impor um formalismo e um custo que a própria experiência europeia parece estar diagnosticando como desproporcional.
Além desse aspecto, a proposta do Omnibus Digital pretende criar mecanismos expressos para coibir o exercício abusivo de direitos pelos titulares de dados, a partir do diagnóstico, consignado na exposição de motivos, de que o rigor excessivo e a presunção automática de violação geraram incentivos à utilização instrumental da legislação de proteção de dados para fins diversos da tutela efetiva da privacidade.
Esse referencial é diretamente relevante para o julgamento do Tema 1404, na medida em que a fixação, por tese repetitiva, de dano moral presumido pela mera disponibilização de dados não sensíveis geridos por agentes regulados pode vir a produzir, na realidade brasileira, fenômeno semelhante ao que a União Europeia está agora buscando corrigir.
Independentemente do juízo que se faça sobre a legitimidade ou não da disponibilização de dados, a presunção automática de dano moral deve ser encarada como exceção no ordenamento jurídico brasileiro. Bem compreendeu esse aspecto a ministra Maria Isabel Gallotti no REsp 2.221.650/SP, ao assentar que dados pessoais não sensíveis, por serem informações ordinárias que servem apenas à identificação do titular e não estão submetidas a regime jurídico de sigilo, não atingem, por sua mera divulgação, os direitos da personalidade de forma a justificar a presunção de dano moral.
De todo modo, consideramos que o STJ, no julgamento do Tema 1404, deve, partindo do marco legal da LGPD, reconhecer, no interesse público subjacente à proteção ao crédito, fundamento normativo suficiente e autônomo para dispensar o consentimento individual, conferindo a adequada harmonização entre a proteção de dados, na sua função de tutela efetiva da privacidade, e o necessário fluxo de informações que o mercado de crédito responsável exige, não apenas em benefício do credor, mas do funcionamento ótimo do sistema de crédito.
[1] Exemplificativo desse entendimento é o REsp 2.115.461/SP, julgado pela 3ª Turma do STJ em 08/10/2024, oportunidade em que se consignou que “em observância ao inciso III do art. 4º da Lei nº 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento. Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes”.
[2]The Impact of Credit Information Sharing (2014), disponível em: https://openknowledge.worldbank.org/entities/publication/69c02b75-3d08-559a-8a8b-34bdc826162f
[3] Financial Inclusion, Credit Booms, and Financial Stability Risk (2026), disponível em: https://www.imf.org/en/publications/wp/issues/2026/01/16/financial-inclusion-credit-booms-and-financial-stability-risk-573286
[4] No REsp 2.201.694/SP, julgado pela 3ª Turma em 05/08/2025, o Min. Cueva, vencido por 3×2, sustentou que o art. 7º, X, da LGPD dispensa o consentimento do titular para o tratamento de dados voltados à proteção do crédito, e que a Lei nº 12.414, de 2011, não proíbe a disponibilização de dados cadastrais não sensíveis a consulentes, limitando-se a regulamentar o ecossistema de concessão de crédito. O voto destacou ainda o argumento econômico da seleção adversa, no sentido de que a restrição ao fluxo de informações impede a personalização do risco, eleva o custo do crédito para os adimplentes e reduz o acesso ao crédito para os tomadores de menor risco, penalizando justamente os mais vulneráveis. O Min. Humberto Martins acompanhou o relator. Venceu a divergência inaugurada pela Min. Nancy Andrighi, que reconheceu a ilicitude da disponibilização e presumiu o dano moral diante da “forte sensação de insegurança” experimentada pelo titular.
[5] In verbis: “Nesse sentido, ressalta-se que o consentimento é uma das hipóteses previstas tanto no art. 7º, quanto no art. 11, que se refere ao tratamento de dados pessoais sensíveis. Contudo, o consentimento não é hierarquicamente superior a nenhuma outra hipótese estabelecida nesses artigos. Dessa forma, caso o controlador realize o tratamento de dados pessoais com base em outra hipótese que não o consentimento, a coleta do consentimento é desnecessária.”
[6] Daí a propriedade de se considerarem como não aplicáveis à generalidade das situações os requisitos de aplicação do regime da Lei do Cadastro Positivo, ante as especificidades da realização do propósito de formação e classificação consentida de histórico de crédito, requisitos e propósitos esses indiscutivelmente não exaurientes das demandas legítimas do fenômeno econômico a que correspondem as operações de crédito, que pressupõem as fases e a disponibilidade do fornecimento e obtenção das informações indispensáveis não só à avaliação e à formalização da operação, como à execução regular do crédito (quadro que legitima a reunião e o fornecimento dos dados não sensíveis necessários a tanto.