A divulgação e o compartilhamento de informações cadastrais sobre histórico de crédito e de adimplemento, sem autorização prévia do titular, pode levar o gestor do banco de dados de crédito a ser condenado ao pagamento de indenização por danos morais. Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça decidiu, por unanimidade, que uma empresa de análise de risco e crédito deverá indenizar uma consumidora em R$ 11 mil, em razão do compartilhamento indevido de seus dados pessoais com terceiros.

O caso chegou ao STJ por meio de recurso especial apresentado por uma consumidora, que alegou ter havido uma divulgação não autorizada de seus dados pessoais em plataformas administradas pela empresa, como Acerta Essencial, Acerta Intermediário, Acerta Completo e Dataplus.

Em primeira e segunda instâncias, a ação havia sido julgada improcedente, com o entendimento de que se trataria de atividade de credit scoring — método que reúne dados para criar uma pontuação, utilizada na análise de crédito.

Autorização expressa

Ao reformar as decisões anteriores, o STJ fez uma distinção relevante entre o credit scoring — objeto do Tema 710 e autorizado pela Súmula 550 — e a gestão de bancos de dados regulada pela Lei do Cadastro Positivo. Segundo a ministra Nancy Andrighi, relatora do caso, o julgamento não tratava de pontuação de crédito em si, mas da disponibilização de informações cadastrais a terceiros consulentes, prática que encontra limites legais específicos.

No entendimento consolidado pela 3ª Turma, o gestor de um banco de dados pode fornecer a terceiros apenas o score de crédito sem necessidade de consentimento prévio. Mas o histórico de crédito só pode ser compartilhado com autorização expressa do titular. E as informações cadastrais e de adimplemento armazenadas só podem ser compartilhadas entre bancos de dados autorizados, não com terceiros consulentes.

Para o colegiado, a disponibilização desses dados fora das hipóteses legais configura ato ilícito e gera dano moral presumido (in re ipsa), diante da sensação de insegurança experimentada pelo titular das informações. Nesses casos, a responsabilidade do gestor do banco de dados é objetiva.

Na decisão, a 3ª Turma do STJ determinou que a empresa deixe de compartilhar os dados cadastrais e de adimplemento da autora da ação com terceiros, salvo com outros bancos de dados autorizados.