JurisprudênciaIA

DIREITO DO CONSUMIDOR

Venda de dados pelos bureaus de crédito vai a repetitivo: STJ decidirá se a monetização sem consentimento é lícita e se o dano moral se presume

Segunda Seção afeta os REsp 2.226.946/SP e 2.226.097/SP (Tema 1.404) para arbitrar a divergência entre Terceira e Quarta Turmas sobre a comercialização de dados pessoais não sensíveis por gestores de bancos de dados de proteção ao crédito.

Processo
ProAfR nos REsp 2.226.946-SP e REsp 2.226.097-SP
Relator(a)
Ministro Raul Araújo
Órgão julgador
Segunda Seção
Julgamento
16 de dezembro de 2025

O que ficou decidido

Questão afetada ao rito dos recursos repetitivos: definir se: (i) é lícita a disponibilização ou comercialização a terceiros de dados pessoais não sensíveis, por gestor de banco de dados de entidades de proteção ao crédito, sem prévia comunicação ou consentimento do cadastrado; (ii) há configuração de dano moral in re ipsa na hipótese de ilicitude da conduta.

Contexto do caso

Os gestores de bancos de dados de proteção ao crédito deixaram há muito de ser meros repositórios de inadimplência. Serasa, Boa Vista e congêneres monetizam o acervo cadastral acumulado ao longo de décadas: produtos como o Acerta Essencial, o Acerta Completo e o Dataplus, examinados em precedentes da Terceira Turma, oferecem a terceiros consulentes pacotes de informações pessoais (nome, CPF, endereço, telefone, dados de adimplemento) para finalidades que vão da análise de crédito à prospecção comercial. Essa engenharia gerou litigância de massa em torno da cessação do tratamento e da indenização por dano moral pela venda de dados sem comunicação ou consentimento.

O pano de fundo normativo é um mosaico de três diplomas sem hierarquia clara: o art. 43 do CDC; a Lei do Cadastro Positivo (Lei n. 12.414/2011), que após a Lei Complementar n. 166/2019 autorizou a abertura do cadastro independentemente de consentimento, exigindo apenas comunicação; e a LGPD (Lei n. 13.709/2018), com suas bases legais de tratamento (art. 7º, I, IX e X). A questão é saber qual dessas camadas governa a disponibilização onerosa a terceiros, que nenhuma delas disciplina de modo expresso.

As turmas de direito privado convergiram quanto à ilicitude da conduta, mas racharam quanto à consequência indenizatória: a Terceira Turma reconhece dano moral presumido desde o REsp 1.758.799/MG (2019), enquanto a Quarta Turma, no REsp 2.221.650/SP (j. 4/11/2025), exigiu prova de abalo concreto. Foi esse dissenso frontal, somado à multiplicidade de recursos, que levou o Ministro Raul Araújo a propor a afetação.

O que o tribunal decidiu

A Segunda Seção, por unanimidade, acolheu a proposta de afetação dos REsp 2.226.946/SP e 2.226.097/SP ao rito dos arts. 1.036 e seguintes do CPC, em sessão eletrônica encerrada em 16/12/2025, cadastrando-se o Tema 1.404 (Controvérsia n. 757), com a seguinte delimitação:

Definir se: (i) é lícita a disponibilização ou comercialização a terceiros de dados pessoais não sensíveis, por gestor de banco de dados de entidades de proteção ao crédito, sem prévia comunicação ou consentimento do cadastrado; (ii) há configuração de dano moral in re ipsa na hipótese de ilicitude da conduta.

ProAfR nos REsp 2.226.946-SP e 2.226.097-SP, Rel. Min. Raul Araújo, Segunda Seção (Tema 1.404), Informativo STJ 875

Determinou-se a suspensão dos processos sobre a mesma matéria em segunda instância e no próprio STJ (art. 1.037, II, do CPC). A afetação não antecipa mérito: fixa a moldura da controvérsia e congela o contencioso repetitivo até a formação da tese vinculante.

O Tema 1.404 tem dupla camada: uma questão de licitude (o regime da comercialização de dados não sensíveis por bureaus de crédito) e uma de responsabilidade (o padrão probatório do dano moral), na qual reside o maior potencial econômico do julgamento.

Fundamentos

O acórdão de afetação apoia-se em dois pilares: a multiplicidade de ações idênticas contra gestores de bancos de dados, com decisões conflitantes inclusive dentro do STJ, o que atrai a função nomofilática dos arts. 927 e 1.036 do CPC; e a necessidade de distinguir a controvérsia da jurisprudência consolidada sobre credit scoring, para evitar a aplicação automática de precedentes construídos para outro instituto.

A utilização de escore de crédito, método estatístico de avaliação de risco que não constitui banco de dados, dispensa o consentimento do consumidor, que terá o direito de solicitar esclarecimentos sobre as informações pessoais valoradas e as fontes dos dados considerados no respectivo cálculo.

Súmula 550 do STJ, Segunda Seção, j. 14/10/2015, DJe 19/10/2015

A distinção é decisiva: o Tema 710 e a Súmula 550 legitimaram o credit scoring justamente porque ele não constitui banco de dados, mas metodologia estatística de avaliação de risco autorizada pelos arts. 5º, IV, e 7º, I, da Lei n. 12.414/2011. Já a comercialização de dados cadastrais a terceiros consulentes é operação de natureza diversa: o gestor não avalia risco, entrega a matéria-prima informacional em si. A Terceira Turma sustenta que essa entrega, sem comunicação prévia, viola o dever de informação do art. 43, § 2º, do CDC, o art. 5º da Lei n. 12.414/2011 e os princípios da finalidade, adequação e transparência da LGPD (art. 6º), gerando responsabilidade objetiva e dano presumido pela perda de controle sobre os próprios dados. A Quarta Turma, em contraponto, entende que, tratando-se de dados não sensíveis, frequentemente acessíveis por outras fontes, a ilicitude não dispensa a demonstração de dano efetivo, sob pena de transformar a indenização em pena civil automática.

Análise crítica

O Tema 1.404 é, na prática, o primeiro grande teste de estresse da LGPD no rito dos repetitivos, e o seu núcleo não é tecnológico, é dogmático: qual é o bem jurídico protegido pelo regime de dados pessoais? Se for a autodeterminação informativa, elevada a direito fundamental autônomo pelo art. 5º, LXXIX, da Constituição (EC 115/2022), a violação do dever de comunicação já consuma a lesão, pois o dano consiste na própria perda de controle sobre a identidade informacional, e a presunção defendida pela Terceira Turma é a consequência coerente. Se for a tutela da personalidade em sua dimensão clássica (honra, imagem, sigilo), a mera circulação de dados banais não fere ninguém sem repercussão concreta, e a posição da Quarta Turma se sustenta.

Há bons argumentos de política judiciária dos dois lados. A presunção do dano cria um enforcement privado poderoso num país em que a fiscalização da ANPD é incipiente, mas fabrica um passivo potencialmente bilionário e alimenta a litigância predatória que o próprio STJ combate em outros repetitivos. A exigência de prova de abalo concreto evita a tarifação judicial, mas na prática esvazia a responsabilidade civil na matéria, porque o titular quase nunca demonstra nexo entre a venda do seu telefone a um consulente e um prejuízo individualizável. Em perspectiva comparada, o Tribunal de Justiça da União Europeia, no caso Österreichische Post (C-300/21, 2023), adotou posição intermediária ao interpretar o RGPD: a mera infração não gera indenização automática, mas tampouco se exige gravidade mínima do dano. É um meio-termo que a Segunda Seção faria bem em considerar, eventualmente com modulação por finalidade: presunção quando a comercialização visa finalidade mercadológica estranha à proteção do crédito, prova concreta quando o compartilhamento ocorre dentro do ecossistema creditício autorizado pela Lei n. 12.414/2011.

Um risco real do julgamento é a resposta binária. A questão da licitude não comporta um sim ou não secos: a Lei do Cadastro Positivo autoriza o compartilhamento entre bancos de dados para proteção ao crédito, e a LGPD admite tratamento sem consentimento com base no legítimo interesse. O que a Terceira Turma censurou não foi o tratamento em si, mas o desvio de finalidade e a opacidade: vender pacotes de dados para prospecção comercial sem que o titular saiba. Se a tese vinculante não incorporar o critério da finalidade, corre-se o risco de legalizar em bloco a monetização de dados ou de inviabilizar em bloco o sistema de informações creditícias. A qualidade da tese dependerá da capacidade de o STJ operar com as categorias da LGPD (base legal, finalidade, necessidade) em vez de decidir apenas com as ferramentas tradicionais do CDC.

Mais do que definir se há dano presumido, o Tema 1.404 definirá o preço da ilicitude no mercado brasileiro de dados: se a violação da LGPD custa indenização automática, compliance vira centro de custo essencial; se depende de prova de abalo, o descumprimento pode se tornar risco calculado.

Impacto prático

A afetação produz efeitos imediatos sobre o contencioso em curso.

  • Processos suspensos: ações sobre disponibilização ou comercialização de dados não sensíveis por bureaus de crédito ficam sobrestadas em segunda instância e no STJ; cabe requerer a suspensão ou impugnar sobrestamentos indevidos por distinguishing (art. 1.037, § 9º, do CPC).
  • Distinguishing relevante: o Tema 1.404 alcança gestores de bancos de dados de proteção ao crédito; vazamento de dados, dados sensíveis e tratamento por outros agentes (bancos, varejistas, provedores) não estão automaticamente abrangidos.
  • Para autores: enquanto pende o repetitivo, é prudente instruir as ações com prova concreta (comprovante de consulta ou venda dos dados, ligações de telemarketing, tentativa de fraude), blindando o pedido contra eventual tese que exija dano demonstrado.
  • Para gestores e consulentes: revisar contratos de fornecimento de dados, bases legais invocadas e mecanismos de comunicação ao titular; a tese pode impor comunicação prévia como condição de licitude, com efeitos sobre produtos comerciais inteiros.
  • A afetação não impede o ajuizamento de novas ações, que ficarão suspensas na fase recursal; o ajuizamento interrompe a prescrição.
  • Para concursos: dominar a distinção entre credit scoring (Tema 710 e Súmula 550: lícito, não é banco de dados, dispensa consentimento) e comercialização de dados cadastrais (Tema 1.404, pendente), além da divergência Terceira Turma (in re ipsa) versus Quarta Turma (dano provado) e das Súmulas 359 e 404.

Conexões jurisprudenciais

A linha do tempo da controvérsia ajuda a antecipar o julgamento. No polo da presunção do dano: REsp 1.758.799/MG (Terceira Turma, Rel. Min. Nancy Andrighi, j. 12/11/2019, Informativo 660), que reconheceu dano moral in re ipsa na comercialização de dados sem comunicação ao titular ainda sob o CDC; REsp 2.115.461/SP e REsp 2.133.261/SP (Terceira Turma, Rel. Min. Nancy Andrighi, j. 8/10/2024, Informativo 833), que vedaram ao gestor do cadastro positivo disponibilizar dados a terceiros fora das hipóteses legais; e REsp 2.118.911/SP (Terceira Turma, Rel. Min. Humberto Martins, j. 13/10/2025), sobre divulgação de número de telefone. No polo oposto: REsp 2.221.650/SP (Quarta Turma, Rel. Min. Maria Isabel Gallotti, j. 4/11/2025, Informativo 871), exigindo comprovação de abalo significativo aos direitos de personalidade.

Compõem ainda o quadro: o Tema 710/STJ (REsp 1.419.697/RS, Segunda Seção, 2014) e a Súmula 550, sobre a licitude do credit scoring; as Súmulas 359 e 404, que consolidaram o dever de informação como eixo do sistema de bancos de dados; e o art. 5º, LXXIX, da Constituição. O desfecho do Tema 1.404 dirá se essa arquitetura protetiva, construída ao longo de três décadas sobre o dever de comunicar, ganhará na era da LGPD uma sanção civil automática ou permanecerá condicionada à prova do prejuízo.

Referências

Pesquise precedentes sobre este tema

Busque decisões do STF, do STJ, do TST e de dezenas de outros tribunais sobre proteção de dados pessoais em bancos de dados de proteção ao crédito. comercialização de dados não sensíveis sem consentimento. dano moral in re ipsa. afetação ao rito dos recursos repetitivos (tema 1.404). na JurisprudênciaIA.

Buscar jurisprudência →

Outras análises desta edição

Análise editorial da JurisprudênciaIA sobre julgado noticiado no Informativo STJ 875, atualizada em 7 de jul. de 2026. Este conteúdo tem caráter informativo e não constitui aconselhamento jurídico; confira sempre o inteiro teor oficial.