Compartilhamento Indevido de Dados Pessoais: STJ Reconhece Dano Moral Presumido

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 15 de setembro de 2025

O Superior Tribunal de Justiça (STJ) determinou que a disponibilização de dados pessoais armazenados em bancos de dados para terceiros — sem comunicação prévia ao titular e sem autorização — configura violação dos direitos da personalidade e gera dano moral presumido. Ou seja: não é necessário que a vítima comprove o prejuízo concreto; basta demonstrar que houve divulgação indevida. Superior Tribunal de Justiça+1

O que decidiu o STJ

O caso analisado (REsp 2.201.694-SP) envolvia um consumidor que processou uma agência de informações de crédito alegando que seus dados cadastrais — como telefone, endereço, informações de adimplemento — foram disponibilizados a terceiros sem seu consentimento. A princípio, tanto a instância de primeiro grau quanto o Tribunal de Justiça de São Paulo julgaram improcedente, entendendo que os dados não eram “sensíveis” e que a atividade da agência estaria amparada por legislação específica (Lei nº 12.414/2011, que trata de cadastro positivo). Superior Tribunal de Justiça+1

O STJ, em votação majoritária, firmou entendimento diverso:

  • Os gestores de banco de dados devem observar os limites legais para o compartilhamento de dados cadastrais e de adimplemento;
  • Score de crédito pode ser fornecido sem consentimento prévio, mas outras informações ficam condicionadas à autorização explícita do titular;
  • A disponibilização indevida desses dados gera dano moral presumido, diante da sensação de insegurança experimentada pela vítima;
  • A responsabilidade é objetiva — ou seja, independe de culpa, basta que o fato (divulgação) tenha ocorrido. Superior Tribunal de Justiça+2Migalhas+2

Fundamentação legal envolvida

Alguns dos marcos legais e princípios que sustentam essa decisão:

  • Lei nº 12.414/2011 (Cadastro Positivo): trata das regras específicas de bancos de dados de crédito, definindo o que pode e não pode ser compartilhado sem consentimento. Superior Tribunal de Justiça+1
  • Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018): exige tratamento seguro e com bases legais para coleta, uso, armazenamento e compartilhamento de dados pessoais. Os direitos à privacidade, à intimidade e ao consentimento prévio estão nela previstos.
  • Direitos de personalidade garantidos pela Constituição Federal (art. 5º, incisos X e XII) e pelo Código Civil, que resguardam a honra, imagem, intimidade, privacidade e vida privada.
  • Jurisprudência consolidada do STJ de que o dano moral pode ser presumido em casos em que há violação de direitos da personalidade, especialmente quando há sensação de insegurança pela vítima. Superior Tribunal de Justiça

Implicações práticas para o mundo jurídico

Essa decisão tem consequências importantes em várias frentes:

  1. Ações judiciais: advogados do consumidor ou proteção de dados agora têm uma base sólida para pleitear indenizações por dano moral sem ter que provar o dano concreto, desde que se comprove o compartilhamento indevido.
  2. Ativos de prova: o simples fato de um banco de dados ter disponibilizado informações sem consentimento pode ser suficiente — atenção aos documentos e relatórios que demonstrem esse compartilhamento, aos contratos de consentimento (ou falta dele).
  3. Responsabilidade das empresas: birôs de crédito, agências de cadastro, prestadores de serviços que manipulam dados pessoais devem adequar suas práticas, revisar consentimentos, restringir acessos indevidos e manter compliance rigoroso para evitar passivos judiciais.
  4. Valores indenizatórios: embora o acórdão não fixe um valor único, decisões semelhantes têm fixado indenizações que variam conforme a gravidade da divulgação, o tipo de dado, número de afetados e capacidade econômica do ofensor. A decisão do STJ pode funcionar para uniformizar esse patamar. sigilo.org.br+1
  5. Efetividade da LGPD: decisões judiciais como essa reforçam o papel da Lei Geral de Proteção de Dados, não apenas como norma administrativa, mas com força prática no Judiciário. Empresas negligentes podem sofrer sanções civis mesmo que não haja regulação administrativa imediata.

Riscos e pontos de atenção

Apesar do avanço, o uso dessa decisão em ações futuras demanda cuidados:

  • As empresas afetadas podem argumentar bases legais específicas, como aquelas previstas no Cadastro Positivo, ou que o dado em questão foi tratado de modo aceitável pelos termos da lei.
  • A prova do compartilhamento indevido precisa ser clara — logs, contratos, fluxo de dados, auditorias. Falta disso pode gerar impugnações.
  • A linha entre dados sensíveis ou não sensíveis ainda é debatida, embora esta decisão mostre que mesmo dados considerados “cadastrais básicos” podem dar causa a dano moral presumido se divulgados indevidamente.
  • Defesa corporativa pode usar medidas mitigadoras como notificações prévias, consentimento expresso, políticas transparentes de privacidade, documentação e adoção de boas práticas em governança de dados.

Conclusão

A decisão do STJ marca um paradigma: a privacidade dos dados pessoais tem proteção reforçada, e o dano moral presumido passa a ser regra diante do compartilhamento indevido sem consentimento. Para o público jurídico, isso significa maior segurança para titulares, mas também grande exigência para empresas que tratam dados de terceiros.

Juristas, advogados do consumidor, especialistas em proteção de dados e compliance devem se movimentar rapidamente para incorporar esse entendimento em demandas judiciais e políticas corporativas. O novo cenário exige não só conhecimento jurídico, mas também conhecimento técnico sobre gestão de dados, segurança da informação e transparência em processos de tratamento.

Fontes:

  • STJ – “Disponibilização indevida de informações pessoais em banco de dados gera dano moral presumido” (REsp 2.201.694-SP) Superior Tribunal de Justiça
  • Migalhas – “Compartilhamento de dados pessoais sem consentimento gera dano moral” Migalhas
  • SIGILO / FocusPoder – análises sobre boa vista e responsabilidade objetiva por informações cadastrais divulgadas indevidamente sigilo.org.br+1

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *