Contexto do caso
Os gestores de bancos de dados de proteção ao crédito deixaram há muito de ser meros repositórios de inadimplência. Serasa, Boa Vista e congêneres monetizam o acervo cadastral acumulado ao longo de décadas: produtos como o Acerta Essencial, o Acerta Completo e o Dataplus, examinados em precedentes da Terceira Turma, oferecem a terceiros consulentes pacotes de informações pessoais (nome, CPF, endereço, telefone, dados de adimplemento) para finalidades que vão da análise de crédito à prospecção comercial. Essa engenharia gerou litigância de massa em torno da cessação do tratamento e da indenização por dano moral pela venda de dados sem comunicação ou consentimento.
O pano de fundo normativo é um mosaico de três diplomas sem hierarquia clara: o art. 43 do CDC; a Lei do Cadastro Positivo (Lei n. 12.414/2011), que após a Lei Complementar n. 166/2019 autorizou a abertura do cadastro independentemente de consentimento, exigindo apenas comunicação; e a LGPD (Lei n. 13.709/2018), com suas bases legais de tratamento (art. 7º, I, IX e X). A questão é saber qual dessas camadas governa a disponibilização onerosa a terceiros, que nenhuma delas disciplina de modo expresso.
As turmas de direito privado convergiram quanto à ilicitude da conduta, mas racharam quanto à consequência indenizatória: a Terceira Turma reconhece dano moral presumido desde o REsp 1.758.799/MG (2019), enquanto a Quarta Turma, no REsp 2.221.650/SP (j. 4/11/2025), exigiu prova de abalo concreto. Foi esse dissenso frontal, somado à multiplicidade de recursos, que levou o Ministro Raul Araújo a propor a afetação.
O que o tribunal decidiu
A Segunda Seção, por unanimidade, acolheu a proposta de afetação dos REsp 2.226.946/SP e 2.226.097/SP ao rito dos arts. 1.036 e seguintes do CPC, em sessão eletrônica encerrada em 16/12/2025, cadastrando-se o Tema 1.404 (Controvérsia n. 757), com a seguinte delimitação:
“Definir se: (i) é lícita a disponibilização ou comercialização a terceiros de dados pessoais não sensíveis, por gestor de banco de dados de entidades de proteção ao crédito, sem prévia comunicação ou consentimento do cadastrado; (ii) há configuração de dano moral in re ipsa na hipótese de ilicitude da conduta.”
Determinou-se a suspensão dos processos sobre a mesma matéria em segunda instância e no próprio STJ (art. 1.037, II, do CPC). A afetação não antecipa mérito: fixa a moldura da controvérsia e congela o contencioso repetitivo até a formação da tese vinculante.
O Tema 1.404 tem dupla camada: uma questão de licitude (o regime da comercialização de dados não sensíveis por bureaus de crédito) e uma de responsabilidade (o padrão probatório do dano moral), na qual reside o maior potencial econômico do julgamento.
Fundamentos
O acórdão de afetação apoia-se em dois pilares: a multiplicidade de ações idênticas contra gestores de bancos de dados, com decisões conflitantes inclusive dentro do STJ, o que atrai a função nomofilática dos arts. 927 e 1.036 do CPC; e a necessidade de distinguir a controvérsia da jurisprudência consolidada sobre credit scoring, para evitar a aplicação automática de precedentes construídos para outro instituto.
“A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo.”
A distinção é decisiva: o Tema 710 e a Súmula 550 legitimaram o credit scoring justamente porque ele não constitui banco de dados, mas metodologia estatística de avaliação de risco autorizada pelos arts. 5º, IV, e 7º, I, da Lei n. 12.414/2011. Já a comercialização de dados cadastrais a terceiros consulentes é operação de natureza diversa: o gestor não avalia risco, entrega a matéria-prima informacional em si. A Terceira Turma sustenta que essa entrega, sem comunicação prévia, viola o dever de informação do art. 43, § 2º, do CDC, o art. 5º da Lei n. 12.414/2011 e os princípios da finalidade, adequação e transparência da LGPD (art. 6º), gerando responsabilidade objetiva e dano presumido pela perda de controle sobre os próprios dados. A Quarta Turma, em contraponto, entende que, tratando-se de dados não sensíveis, frequentemente acessíveis por outras fontes, a ilicitude não dispensa a demonstração de dano efetivo, sob pena de transformar a indenização em pena civil automática.
Análise crítica
O Tema 1.404 é, na prática, o primeiro grande teste de estresse da LGPD no rito dos repetitivos, e o seu núcleo não é tecnológico, é dogmático: qual é o bem jurídico protegido pelo regime de dados pessoais? Se for a autodeterminação informativa, elevada a direito fundamental autônomo pelo art. 5º, LXXIX, da Constituição (EC 115/2022), a violação do dever de comunicação já consuma a lesão, pois o dano consiste na própria perda de controle sobre a identidade informacional, e a presunção defendida pela Terceira Turma é a consequência coerente. Se for a tutela da personalidade em sua dimensão clássica (honra, imagem, sigilo), a mera circulação de dados banais não fere ninguém sem repercussão concreta, e a posição da Quarta Turma se sustenta.
Há bons argumentos de política judiciária dos dois lados. A presunção do dano cria um enforcement privado poderoso num país em que a fiscalização da ANPD é incipiente, mas fabrica um passivo potencialmente bilionário e alimenta a litigância predatória que o próprio STJ combate em outros repetitivos. A exigência de prova de abalo concreto evita a tarifação judicial, mas na prática esvazia a responsabilidade civil na matéria, porque o titular quase nunca demonstra nexo entre a venda do seu telefone a um consulente e um prejuízo individualizável. Em perspectiva comparada, o Tribunal de Justiça da União Europeia, no caso Österreichische Post (C-300/21, 2023), adotou posição intermediária ao interpretar o RGPD: a mera infração não gera indenização automática, mas tampouco se exige gravidade mínima do dano. É um meio-termo que a Segunda Seção faria bem em considerar, eventualmente com modulação por finalidade: presunção quando a comercialização visa finalidade mercadológica estranha à proteção do crédito, prova concreta quando o compartilhamento ocorre dentro do ecossistema creditício autorizado pela Lei n. 12.414/2011.
Um risco real do julgamento é a resposta binária. A questão da licitude não comporta um sim ou não secos: a Lei do Cadastro Positivo autoriza o compartilhamento entre bancos de dados para proteção ao crédito, e a LGPD admite tratamento sem consentimento com base no legítimo interesse. O que a Terceira Turma censurou não foi o tratamento em si, mas o desvio de finalidade e a opacidade: vender pacotes de dados para prospecção comercial sem que o titular saiba. Se a tese vinculante não incorporar o critério da finalidade, corre-se o risco de legalizar em bloco a monetização de dados ou de inviabilizar em bloco o sistema de informações creditícias. A qualidade da tese dependerá da capacidade de o STJ operar com as categorias da LGPD (base legal, finalidade, necessidade) em vez de decidir apenas com as ferramentas tradicionais do CDC.
Mais do que definir se há dano presumido, o Tema 1.404 definirá o preço da ilicitude no mercado brasileiro de dados: se a violação da LGPD custa indenização automática, compliance vira centro de custo essencial; se depende de prova de abalo, o descumprimento pode se tornar risco calculado.
Impacto prático
A afetação produz efeitos imediatos sobre o contencioso em curso.
- Processos suspensos: ações sobre disponibilização ou comercialização de dados não sensíveis por bureaus de crédito ficam sobrestadas em segunda instância e no STJ; cabe requerer a suspensão ou impugnar sobrestamentos indevidos por distinguishing (art. 1.037, § 9º, do CPC).
- Distinguishing relevante: o Tema 1.404 alcança gestores de bancos de dados de proteção ao crédito; vazamento de dados, dados sensíveis e tratamento por outros agentes (bancos, varejistas, provedores) não estão automaticamente abrangidos.
- Para autores: enquanto pende o repetitivo, é prudente instruir as ações com prova concreta (comprovante de consulta ou venda dos dados, ligações de telemarketing, tentativa de fraude), blindando o pedido contra eventual tese que exija dano demonstrado.
- Para gestores e consulentes: revisar contratos de fornecimento de dados, bases legais invocadas e mecanismos de comunicação ao titular; a tese pode impor comunicação prévia como condição de licitude, com efeitos sobre produtos comerciais inteiros.
- A afetação não impede o ajuizamento de novas ações, que ficarão suspensas na fase recursal; o ajuizamento interrompe a prescrição.
- Para concursos: dominar a distinção entre credit scoring (Tema 710 e Súmula 550: lícito, não é banco de dados, dispensa consentimento) e comercialização de dados cadastrais (Tema 1.404, pendente), além da divergência Terceira Turma (in re ipsa) versus Quarta Turma (dano provado) e das Súmulas 359 e 404.
Conexões jurisprudenciais
A linha do tempo da controvérsia ajuda a antecipar o julgamento. No polo da presunção do dano: REsp 1.758.799/MG (Terceira Turma, Rel. Min. Nancy Andrighi, j. 12/11/2019, Informativo 660), que reconheceu dano moral in re ipsa na comercialização de dados sem comunicação ao titular ainda sob o CDC; REsp 2.115.461/SP e REsp 2.133.261/SP (Terceira Turma, Rel. Min. Nancy Andrighi, j. 8/10/2024, Informativo 833), que vedaram ao gestor do cadastro positivo disponibilizar dados a terceiros fora das hipóteses legais; e REsp 2.118.911/SP (Terceira Turma, Rel. Min. Humberto Martins, j. 13/10/2025), sobre divulgação de número de telefone. No polo oposto: REsp 2.221.650/SP (Quarta Turma, Rel. Min. Maria Isabel Gallotti, j. 4/11/2025, Informativo 871), exigindo comprovação de abalo significativo aos direitos de personalidade.
Compõem ainda o quadro: o Tema 710/STJ (REsp 1.419.697/RS, Segunda Seção, 2014) e a Súmula 550, sobre a licitude do credit scoring; as Súmulas 359 e 404, que consolidaram o dever de informação como eixo do sistema de bancos de dados; e o art. 5º, LXXIX, da Constituição. O desfecho do Tema 1.404 dirá se essa arquitetura protetiva, construída ao longo de três décadas sobre o dever de comunicar, ganhará na era da LGPD uma sanção civil automática ou permanecerá condicionada à prova do prejuízo.