A crescente digitalização das relações econômicas tem ampliado significativamente a circulação de dados pessoais em diversos setores, especialmente no mercado de crédito. Nesse cenário, a definição dos limites legais para o tratamento e o compartilhamento dessas informações tornou-se um dos temas mais relevantes do direito contemporâneo. O julgamento do STJ no REsp 2.221.650/SP contribui de forma relevante para esse debate ao examinar a responsabilidade civil decorrente da inclusão e do compartilhamento de dados pessoais no sistema de cadastro positivo.
A controvérsia teve origem em ação ajuizada por consumidor que questionava a inclusão e o compartilhamento de seus dados em bancos de informações de crédito sem consentimento expresso. Segundo a alegação apresentada, a divulgação dessas informações configuraria violação à privacidade e ensejaria o pagamento de indenização por danos morais.
A discussão chegou ao tribunal superior em um contexto normativo marcado pela consolidação da LGPD e pela evolução do regime jurídico do cadastro positivo, instituído pela lei 12.414/11.
O cadastro positivo foi criado com a finalidade de reunir informações relacionadas ao histórico de pagamento de consumidores e empresas, permitindo uma avaliação mais precisa do risco de crédito. Diferentemente dos tradicionais cadastros negativos, que registram apenas situações de inadimplência, o cadastro positivo busca valorizar o comportamento financeiro regular, registrando pagamentos realizados dentro do prazo e outras informações relacionadas à pontualidade no cumprimento de obrigações financeiras.
Inicialmente, a inclusão no sistema dependia da manifestação expressa do titular dos dados. Entretanto, com a edição da LC 166/19, o modelo foi alterado para um sistema de adesão automática, no qual o consumidor passa a integrar o cadastro independentemente de autorização prévia, preservando-se o direito de solicitar sua exclusão a qualquer momento. Esse modelo aproxima o sistema brasileiro de práticas adotadas em diversos países, nos quais o compartilhamento de informações de crédito é considerado elemento essencial para o funcionamento eficiente do mercado financeiro.
Ao analisar o caso concreto, o STJ reconheceu que o compartilhamento de dados pessoais não sensíveis no âmbito do cadastro positivo pode ocorrer mesmo sem consentimento expresso do titular, desde que exista previsão legal específica que autorize o tratamento dessas informações. A Corte destacou que o consentimento, embora seja uma das bases legais previstas pela LGPD, não constitui requisito absoluto para todo e qualquer tratamento de dados.
A LGPD estabelece diferentes fundamentos jurídicos que podem legitimar o tratamento de dados pessoais. Entre eles estão o cumprimento de obrigação legal ou regulatória, o exercício regular de direitos, a proteção do crédito e o interesse legítimo do controlador. No caso do cadastro positivo, a própria legislação setorial autoriza o compartilhamento de determinadas informações para fins de análise de risco e concessão de crédito, configurando base legal suficiente para o tratamento desses dados.
Outro ponto relevante abordado no julgamento diz respeito à distinção entre dados pessoais sensíveis e dados pessoais comuns. A Corte ressaltou que as informações utilizadas no cadastro positivo referem-se, em regra, a dados relacionados ao comportamento financeiro do consumidor, como histórico de pagamentos e adimplência contratual. Esses dados não se enquadram na categoria de dados sensíveis definida pela LGPD, que abrange informações relacionadas à origem racial ou étnica, convicções religiosas, dados de saúde, dados biométricos, entre outros elementos de maior potencial discriminatório.
Essa diferenciação possui impacto direto na análise da responsabilidade civil. Ao examinar o pedido de indenização por danos morais, o tribunal afastou a tese de que a simples inclusão do consumidor no cadastro positivo seja suficiente para gerar reparação automática. Segundo o entendimento firmado, é necessário demonstrar a ocorrência de tratamento irregular ou ilícito dos dados, bem como a existência de prejuízo efetivo à esfera moral do titular.
Assim, a mera alegação de violação à privacidade não é suficiente para caracterizar dano moral indenizável. É indispensável a comprovação de que houve abuso no tratamento das informações, desvio de finalidade, falha na segurança dos dados ou divulgação indevida além dos limites autorizados pela legislação.
O julgamento também reforça a importância dos princípios estruturantes da LGPD, como finalidade, necessidade, transparência e segurança. Mesmo quando o tratamento de dados ocorre com fundamento em base legal diversa do consentimento, as empresas responsáveis pela gestão das informações devem observar esses princípios e adotar medidas técnicas e administrativas capazes de proteger os dados contra acessos não autorizados, vazamentos ou usos indevidos.
Outro aspecto relevante é a garantia dos direitos dos titulares de dados, que permanecem plenamente aplicáveis no contexto do cadastro positivo. Entre esses direitos estão o acesso às informações registradas, a correção de dados incompletos ou desatualizados e a possibilidade de solicitar a exclusão do cadastro. Esses mecanismos funcionam como instrumentos de equilíbrio entre a circulação de informações no mercado de crédito e a proteção da privacidade dos consumidores.
Do ponto de vista econômico, o entendimento adotado pelo STJ também busca preservar a funcionalidade do sistema de crédito. O compartilhamento de informações confiáveis sobre histórico de pagamentos permite reduzir assimetrias informacionais entre consumidores e instituições financeiras, favorecendo a concessão de crédito com menor risco e potencialmente com condições mais favoráveis.
Por outro lado, o precedente reafirma que eventuais abusos no tratamento de dados continuam sujeitos à responsabilização civil. Caso seja demonstrado que houve utilização indevida das informações, divulgação para finalidades não autorizadas ou falhas na proteção dos dados, o dever de indenizar permanece plenamente aplicável.
Dessa forma, a decisão contribui para delinear parâmetros interpretativos relevantes na aplicação conjunta da LGPD e da legislação específica sobre cadastro positivo. Mais do que resolver um conflito individual, o precedente evidencia o esforço do Judiciário em construir uma interpretação equilibrada entre a proteção de dados pessoais e as necessidades do funcionamento da economia baseada em informações.
Em um cenário no qual dados se tornaram ativos estratégicos para empresas e instituições financeiras, decisões como essa reforçam a necessidade de estruturas sólidas de governança de dados. A conformidade com a legislação de proteção de dados deixa de ser apenas uma exigência regulatória e passa a integrar a própria lógica de funcionamento do mercado digital e do sistema financeiro contemporâneo.