Acordo de não persecução tributária: fundamentos para sua aplicação no âmbito do IBS e da CBS
3 de setembro de 2025Clausula pétrea, federalismo financeiro e federalismo fiscal
9 de setembro de 2025A 3ª Turma do Superior Tribunal de Justiça recentemente decidiu que gestores de bancos de dados precisam pagar indenização por danos morais — sem necessidade de comprovação do dano — caso compartilhem informações pessoais com terceiros sem consentimento dos titulares. Embora o precedente seja voltado a birôs de crédito, a lógica se aplica a outros tipos de empresa: quem compartilha dados sem permissão tem o dever de indenizar.
Para especialistas, o posicionamento do STJ é um refinamento jurisprudencial e mostra que a corte terá mais rigor com o compartilhamento ou a venda de dados sensíveis sem a anuência dos titulares.
As empresas gestoras de bancos de dados seguem a Lei do Cadastro Positivo, que lhes permite, por exemplo, compartilhar o score de crédito sem consentimento do titular, mas não outras informações. Já empresas de outros ramos, que não têm regulamentação específica, estão submetidas, em geral, à Lei Geral de Proteção de Dados Pessoais (LGPD).
Em suma, o compartilhamento, sem autorização do titular, de dados bancários, informações sensíveis, comportamentos de consumo (como em farmácias), histórico de buscas e situações semelhantes gera dever de indenizar. A diferença é que, nos casos em que há violação da LGPD, o dano moral não é presumido, conforme a atual jurisprudência.
A LGPD estabelece dez bases legais para o tratamento de dados. O consentimento do titular é apenas uma delas, ao lado de execução de contrato, proteção da vida, cumprimento de obrigação legal, entre outras.
“Sempre que houver compartilhamento de dados fora dessas hipóteses legais, configura-se ato ilícito, gerando o dever de indenizar, desde que comprovado o dano”, explica Felipe Carteiro, sócio de Direito Digital do escritório Rayes e Fagundes.
Ou seja, “o simples fato de não haver consentimento não significa, por si, violação da lei”, como aponta André Catta Preta Federighi, advogado que atua com Proteção de Dados no escritório Tortoro, Madureira & Ragazzi Advogados. Se houver outro fundamento legal adequado, é possível tratar e até compartilhar dados.
O problema é quando nenhuma das dez hipóteses pode ser verificada. Nesses casos, o tratamento de dados é considerado indevido e a empresa responde de forma objetiva — ou seja, independentemente de culpa — pelos danos causados. Para isso, basta a comprovação da ação, do dano e da relação entre as duas coisas (nexo causal).
Assim, a lógica do julgamento recente do STJ se aplica a quaisquer empresas que não seguem os limites legais. “Sempre que uma empresa compartilhar dados de alguém sem o consentimento e sem outra base legal válida, estará cometendo um ilícito passível de reparação civil”, diz Federighi.
A advogada Gisele Truzzi, especialista em Direito Digital e fundadora do escritório Gisele Truzzi Tech Legal Advisory, ressalta que o compartilhamento é ainda mais restrito quando os dados são considerados sensíveis, ou seja, quando podem levar a alguma espécie de discriminação ou tratamento diferenciado.
Ela cita alguns exemplos. Um escritório de advocacia não precisa do consentimento específico de seus clientes para que dados cadastrais — como nome, e-mail, telefone, endereço e documento de identificação — armazenados na sua rede sejam tratados por uma empresa de tecnologia da informação (TI) contratada pela banca, pois não são dados sensíveis.
Mesmo assim, um sócio desse escritório não pode compartilhar essas mesmas informações com colegas de outras bancas, pois isso não faz parte da relação contratada pelo cliente. Isto é, para esse uso, não há mais a base legal, que era a execução de contrato.
Já uma farmácia não pode compartilhar com terceiros o histórico de compras ou um receituário médico de um cliente. Isso porque tais informações são dados sensíveis e definem o perfil da pessoa. Com isso, podem ser usadas, por exemplo, por operadoras de planos de saúde para aumentar valores.
Nesses casos, o compartilhamento exige o consentimento prévio e expresso do titular para uma finalidade específica — a relação com determinadas empresas parceiras terceirizadas, por exemplo.
Isso vale não só para informações de saúde, mas também para outros tipos de dados sensíveis, como biometria, orientação sexual, religião, posicionamento político, filiação a determinadas entidades etc.
Dessa forma, as violações ocorrem quando o titular dos dados, além de não ter permitido o compartilhamento, não sabe o destino das informações e o objetivo dessa prática. Nesses casos, há “desvio de finalidade” da empresa, indica Truzzi.
De acordo com Carteiro, o novo precedente do STJ “não altera substancialmente o panorama normativo”, pois a corte já vinha reconhecendo que o compartilhamento de dados pessoais sem base legal “constitui ato ilícito indenizável”.
A novidade é que, no caso dos gestores de bancos de dados, regulamentados também pela Lei do Cadastro Positivo, o dano moral é, na visão dos ministros, presumido — ou seja, não há necessidade de comprovação. Já nos casos referentes apenas à LGPD, “o entendimento de que o dano deve ser comprovado, ao que tudo indica, permanece vigente”.
Federighi lembra que, nas situações de vazamentos acidentais de dados comuns, o STJ tem exigido prova do dano para estabelecer indenização por danos morais. Já nos casos de “compartilhamento doloso ou negligente de dados sem respaldo legal” ou de vazamentos de dados altamente sensíveis, “ganha força a tese do dano moral presumido”.
A análise da corte “vem sendo casuística, levando em conta a natureza dos dados, o contexto do evento e a conduta do agente”, diz o advogado.
Assim, a decisão mais recente não muda tudo, mas “refina o entendimento jurisprudencial, deixando claro que a violação deliberada das normas de proteção de dados será vista com maior rigor e tende a gerar, ela mesma, o dever de indenizar, ainda que o prejuízo seja de ordem eminentemente subjetiva (como o abalo psicológico, a perda da confiança, o temor de usos indevidos futuros etc.)”.
Ainda segundo Federighi, embora o julgamento tenha reforçado especificamente que os gestores de bancos de dados devem seguir a Lei do Cadastro Positivo e a LGPD, a lógica ali aplicada “pode irradiar efeitos para outros setores, servindo de parâmetro para julgamentos futuros: empresas que lucrem com o compartilhamento indevido de informações pessoais, ou que falhem grosseiramente na guarda dos dados de seus clientes, poderão se deparar com a responsabilização civil objetiva e sem a benevolência de exigir do consumidor lesado a prova de um dano material ou concreto”.
Na mesma linha, Daniella Caverni, sócia do Efcan Advogados, acredita que, embora a decisão seja específica para birôs de crédito, “o raciocínio adotado pelo STJ, que reconhece o dano moral presumido em razão da violação da privacidade e do direito à autodeterminação informativa, traz a real possibilidade de as empresas serem responsabilizadas por danos morais presumidos caso tratem dados e os compartilhem sem a devida base legal válida e sem um robusto procedimento de governança”.
Fonte: Conjur
