STJ afeta Tema 1404: consentimento e dano moral em dados cadastrais

A 2ª Seção do Superior Tribunal de Justiça afetou o Tema 1404 sob o rito dos recursos repetitivos para definir a licitude da disponibilização ou comercialização de dados pessoais não sensíveis por gestor de banco de dados de entidades de proteção ao crédito sem comunicação prévia ou consentimento do cadastrado, bem como a eventual caracterização de dano moral presumido (in re ipsa) em caso de ilicitude da conduta.

Contexto

A controvérsia envolve a tensão entre dois marcos regulatórios: a Lei do Cadastro Positivo (Lei 12.414/2011), que disciplina a formação e consulta a bancos de dados de adimplemento para construção do histórico de crédito, e a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), norma mais recente e abrangente sobre tratamento de dados pessoais.

Julgados anteriores consolidaram posição pela ilicitude da disponibilização de dados pessoais não sensíveis a terceiros sem consentimento específico do cadastrado. Essa linha jurisprudencial interpreta o artigo 4º da Lei 12.414/2011 como rol exaustivo das hipóteses legítimas de compartilhamento — autorizado apenas entre bancos de dados ou para consulentes mediante prévia autorização específica do titular. O silêncio normativo quanto ao repasse direto a terceiros consulentes seria interpretado como proibição implícita, consolidando o consentimento como única via de legitimação.

A questão reveste-se de alta relevância econômica e sistêmica. Bureaux de crédito desempenham função estrutural no sistema financeiro, mitigando assimetria informacional entre credores e tomadores. O Código de Defesa do Consumidor (Lei 8.078/1990), em seu artigo 43, § 4º, qualifica essas entidades como de caráter público, refletindo a compreensão legislativa de que o fluxo de informações de crédito transcende interesses das partes diretas e otimiza o funcionamento do mercado.

O que foi decidido

A Seção afetou o tema sob repetitivos, indicando que o julgamento final deve estabelecer tese vinculante. O acórdão de afetação reconheceu a colisão normativa e a necessidade de definição clara sobre: (i) a licitude do compartilhamento de dados não sensíveis sem consentimento; (ii) a presunção de dano moral decorrente dessa eventual ilicitude.

A afetação sugere que o tribunal reconhece inadequação da resposta anterior como definitiva, sinalizando abertura para revisão ou modulação da jurisprudência consolidada à luz da LGPD e da natureza funcional das atividades de bureaux de crédito.

Base normativa e precedentes

• Art. 4º, Lei 12.414/2011 — Autoriza gestor de banco de dados a compartilhar informações cadastrais e de adimplemento com outros bancos de dados e disponibilizar consulentes a nota de crédito, histórico e pontuação, mediante autorização específica prévia do cadastrado.

• Art. 43, § 4º, CDC (Lei 8.078/1990) — Qualifica bancos de dados e serviços de proteção ao crédito como entidades de caráter público, evidenciando função estrutural na mitigação de assimetria informacional.

• Art. 6º, LGPD (Lei 13.709/2018) — Institui princípios de finalidade, adequação e necessidade como critérios gerais de licitude do tratamento de dados pessoais, independentemente de consentimento expresso.

• Art. 7º, LGPD — Estabelece múltiplas bases legais autônomas para tratamento lícito de dados pessoais, posicionando consentimento como apenas uma dentre várias hipóteses.

• Jurisprudência anterior do STJ — Linha de julgados consolidada pela ilicitude da transferência de dados cadastrais sem consentimento, com base em interpretação restritiva do art. 4º da Lei 12.414/2011.

Impacto prático

Para advogados e bureaux de crédito, a resolução do tema determinará a viabilidade de modelos operacionais vigentes. Caso confirmada a exigência de consentimento, empresas precisarão: (i) revisar processos de coleta e consentimento; (ii) reclassificar dados em tratamento; (iii) provisionar risco de ações coletivas.

Para credores e instituições financeiras, a decisão afeta acesso e qualidade de informações sobre perfil de tomadores. Estudos do Banco Mundial evidenciam que sistemas de compartilhamento de crédito reduzem taxas de juros em cinco pontos percentuais e aumentam em sete pontos a probabilidade de empresas acessarem crédito. Restrições severas ao fluxo oneram com maior intensidade micro e pequenas empresas e tomadores vulneráveis.

Para consumidores, a decisão impactará inclusão financeira. Estudo do FMI aponta que crédito oferecido sem triagem adequada duplica a probabilidade de crises financeiras, com inadimplência saltando 40 pontos percentuais. No contexto brasileiro atual — de bancarização acelerada via fintechs e crédito digital — a disponibilidade confiável de informações é essencial para expansão responsável e sustentável do acesso.

Para litigantes em curso, a decisão potencialmente recomporá centenas de demandas, particularmente ações coletivas de consumidores que arguem dano moral presumido por exposição de dados.

O que observar

Pontos abertos criticamente:

A LGPD, marco normativo posterior à Lei 12.414/2011, regulamenta tratamento de dados como fenômeno multidimensional, em que coleta, armazenamento, organização e disponibilização são etapas distintas com tratamento normativo próprio. Os princípios de finalidade, adequação e necessidade (art. 6º) funcionam como critérios de aferição de licitude independentes de consentimento expresso. A redação do art. 7º posiciona consentimento como apenas uma base legal autônoma dentre variadas hipóteses.

A questão metodológica central será: a LGPD afasta a exigência de consentimento para tratamento de dados não sensíveis quando a finalidade é legítima, adequada e necessária? Se afirmativo, incidiria tal regra sobre dados armazenados sob a Lei 12.414/2011, anterior à LGPD?

Riscos para profissionais:

• Modulação temporal da tese pode gerar litigiosidade sobre aplicação retroativa a dados coletados em vigência da Lei 12.414/2011.
• Presunção de dano moral in re ipsa, se mantida, criará pressão por reparação coletiva com potencial impacto econômico significativo.
• Profissionais que assessorem bureaux devem preparar cenários: (i) confirmação da exigência de consentimento; (ii) modulação prospectiva da tese.

Próximas etapas:

O julgamento de mérito do repetitivo é etapa subsequente. Expectativa é decisão até 2025. Eventual tese afirmativa sobre licitude sem consentimento pode implicar regulamentação infraconstitucional via Agência Nacional de Proteção de Dados, criando framework operacional mais detalhado.