Recentemente, a 3ª Turma do STJ decidiu que disponibilizar dados pessoais a terceiros sem o consentimento do titular constitui violação dos direitos da personalidade e enseja indenização por danos morais 1 . Em outras palavras, o simples compartilhamento indevido de informações pessoais (mesmo não sensíveis, como número de telefone) gera dano moral in re ipsa, ou seja, presumido: basta demonstrar que os dados foram divulgados sem autorização, dispensando prova de abalo concreto 2 . Essa decisão reforça a aplicação da LGPD (Lei 13.709/2018) pelo Judiciário e alerta que as empresas devem redobrar o cuidado no tratamento de dados pessoais.

O que diz a decisão do STJ

O caso envolveu um consumidor que processou um birô de crédito após ter seus dados pessoais divulgados indevidamente. A Turma entendeu, por maioria, que o repasse de dados a terceiros sem autorização viola a Lei do Cadastro Positivo (Lei 12.414/2011) e os direitos de privacidade 3 . A ministra Nancy Andrighi, relatora, destacou que o banco de dados de crédito pode fornecer apenas o score de crédito (sem consentimento prévio) e o histórico de crédito (com autorização específica), mas não pode repassar diretamente os dados cadastrais ou de adimplemento a terceiros 4 . Assim, ao divulgar indevidamente informações pessoais do cliente, a empresa comprometeu a privacidade do titular.

Como resultado, o STJ reconheceu a responsabilidade objetiva da agência de crédito e determinou o pagamento de indenização pelo dano moral causado. Segundo a ministra Nancy Andrighi, esses danos “são presumidos, diante da forte sensação de insegurança” experimentada pela vítima 2 . Ou seja, bastou comprovar que os dados foram compartilhados sem consentimento para garantir a reparação, sem necessidade de demonstrar prejuízo específico.

Impacto da decisão: LGPD e dever de cuidado

Esta decisão reforça o papel protetivo da LGPD e o dever de cuidado das empresas no tratamento de dados. A lei exige que o tratamento de dados pessoais ocorra apenas com consentimento livre, informado e específico do titular. Além disso, a LGPD impõe princípios de segurança e prevenção (art. 6º, incisos VII e VIII), determinando que os agentes adotem medidas técnicas e administrativas para proteger os dados 6 . Nesse contexto, a jurisprudência destaca a lógica de risco e confiança: o controlador responde objetivamente pelos danos se não comprovar que tomou todas as diligências e medidas de segurança adequadas. Como prevê o art. 42 da LGPD, “o controlador ou o operador que […] causar dano […] em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” 7 , ou seja, a indenização independe de dolo ou culpa.

Em outras palavras, as empresas devem demonstrar que atuaram com todos os cuidados previstos na lei – contratando fornecedores comprometidos com a LGPD, fazendo auditorias de segurança, capacitando funcionários, etc. Caso contrário, a simples violação das regras (seja vazamento, seja compartilhamento indevido de dados) enseja indenização automática. Esse entendimento está alinhado à própria estrutura da LGPD, que impõe a todos os agentes o princípio da responsabilização (art. 6º, inc. X), exigindo comprovação da adoção de medidas eficazes de proteção 8 . Assim, a decisão do STJ deixa claro que o Judiciário aplicará rigorosamente a LGPD para punir o descuido das empresas na proteção de dados pessoais.

Dicas práticas

• Para consumidores: Acompanhe regularmente os relatórios de crédito nos birôs (Boa Vista, Serasa etc.) para verificar as informações no seu nome. Exerça seus direitos previstos na LGPD – por exemplo, solicite às empresas a confirmação do tratamento de seus dados, a correção de dados desatualizados ou a eliminação de informações desnecessárias (art. 18) 9 . Leia com atenção as políticas de privacidade das empresas e evite autorizações genéricas. Se você descobrir que seus dados foram compartilhados sem consentimento, saiba que é possível buscar reparação judicial, já que o STJ reconheceu que a simples divulgação indevida configura dano moral presumido 2 .

• Para empresas: Reforce a conformidade à LGPD em todas as frentes. Colete consentimento expresso e específico antes de compartilhar dados de clientes com terceiros. Implemente políticas internas e treinamentos sobre privacidade e proteção de dados. Adote medidas técnicas e organizacionais robustas de segurança (criptografia, controle de acesso, monitoramento de logs etc.) e realize avaliações de impacto (DPIA) quando houver tratamento de dados em grande escala ou considerado sensível. Mantenha contratos e acordos claros com parceiros e fornecedores de dados, exigindo que também cumpram a LGPD. Lembre-se de que, em caso de falha, a responsabilidade será objetiva 7 . Seguir essas precauções ajuda a evitar ações judiciais e multas administrativas, pois a decisão do STJ demonstra que a Justiça exige cumprimento rigoroso da lei e do dever de cuidado.