O recente julgamento do Recurso Especial nº 2.201.694/SP, pela Terceira Turma do Superior Tribunal de Justiça, merece atenção especial das empresas que lidam com dados de consumidores. Sob relatoria da ministra Nancy Andrighi, o STJ consolidou entendimento de que a divulgação de informações pessoais sem o devido consentimento gera, por si só, dano moral presumido, dispensando a prova de efetivo prejuízo.
Esse raciocínio parte de uma distinção relevante: a Lei do Cadastro Positivo autoriza que os gestores de bancos de dados compartilhem, sem autorização expressa, apenas o score de crédito. Qualquer outro dado, seja histórico de crédito, endereço ou telefone, só pode ser disponibilizado mediante consentimento formal e inequívoco do titular. Quando isso não ocorre, não se trata apenas de uma falha administrativa: estamos diante de uma violação a direitos da personalidade, reconhecida pelo STJ como ensejadora de reparação automática.
Do ponto de vista prático, esse precedente amplia o passivo potencial das empresas que trabalham com dados. Afinal, se antes a discussão judicial dependia de comprovar constrangimento ou exposição indevida, agora basta a demonstração do ato ilícito para que a indenização seja devida. Isso abre espaço não só para ações individuais, mas também para demandas coletivas propostas por órgãos de defesa do consumidor ou pelo Ministério Público, com impacto financeiro expressivo.
É aqui que entra a convergência com a Lei Geral de Proteção de Dados (LGPD). Embora o julgamento tenha como fundamento a Lei do Cadastro Positivo, a linha argumentativa do STJ é compatível com os princípios da LGPD: minimização do uso de dados, transparência e necessidade de consentimento válido. As empresas que ainda tratam informações sem respaldo documental correm sério risco de se verem envolvidas em litígios que poderiam ser evitados com medidas simples de compliance.
O recado é claro: práticas rotineiras de compartilhamento, antes tidas como inofensivas, passam a ser consideradas ilícitas se não houver base legal sólida. Não basta contar com políticas internas; é necessário comprovar a existência de consentimento válido, revisar contratos com parceiros e estabelecer rastreabilidade de todas as operações envolvendo dados pessoais.
Assim, a decisão do STJ serve de alerta. Empresas que negligenciam a proteção de dados pessoais não apenas se expõem a condenações judiciais, mas também fragilizam sua reputação em um mercado cada vez mais sensível à privacidade. O custo do descuido tende a ser muito maior do que o investimento em prevenção.
Em suma, o julgamento do REsp 2.201.694/SP reforça a centralidade do consentimento e da boa governança de dados. Para as empresas, trata-se de um divisor de águas: ou se adaptam imediatamente a um modelo de atuação pautado pela conformidade legal, ou estarão sujeitas a um cenário de responsabilidade quase automática diante de qualquer vazamento ou compartilhamento indevido.
Por: Ronald Feitosa, Sócio-Diretor.
Sócio-Diretor
Há 11 anos, componho no IGSA a minha história profissional, buscando aprimorar a prestação de serviços na área Cível. Com o tempo, passei a trabalhar com o consultivo e contencioso cível estratégico, apresentando soluções eficazes para os clientes, sempre com empatia e comprometimento.
O dia a dia profissional foi acentuando meu caráter resiliente pela busca incessante de soluções jurídicas que atendam às particularidades dos nossos clientes para atendê-los conforme suas necessidades.
Sou criterioso em aplicar liderança com empatia, pois acredito que o advogado é um agente de transformação da sociedade, devendo buscar não só o resultado, mas também atingir os critérios do que é justo. Nos últimos anos, tenho me dedicado ao estudo da área do Direito Digital e Proteção de Dados Pessoais, atendendo clientes de diversos setores e portes na área de privacidade, além de acompanhar o desenvolvimento do escritório IGSA na cidade de São Paulo/SP.
©2025 – Imaculada Gordiano Sociedade de Advogados – Todos os direitos reservados. Política de privacidade.
