A Segunda Seção do Superior Tribunal de Justiça decidiu afetar o REsp 2.226.946-SP e o REsp 2.226.097-SP, ao rito dos recursos repetitivos, para decidir se o compartilhamento de dados pessoais não sensíveis, em bancos de dados de entidades de proteção de crédito, sem o consentimento ou a prévia comunicação ao titular, é ilícito e se tal prática enseja a configuração de dano moral presumido (in re ipsa).

A afetação determina, ainda, a suspensão dos processos que versem sobre a mesma questão, até o julgamento definitivo da tese pelo Tribunal Superior.

Nos recursos analisados, discutem-se ações em que consumidores alegam que empresas gestoras de bancos de dados de crédito teriam disponibilizado ou comercializado seus dados pessoais sem consentimento prévio ou comunicação, pleiteando, em razão disso, indenização por danos morais.

Os tribunais de origem, por sua vez, entenderam não haver ilicitude na conduta, sob o fundamento de que se trataria de dados pessoais não sensíveis utilizados para avaliação de risco de crédito, prática que, em determinadas circunstâncias, é admitida pela legislação.

Do ponto de vista do direito digital, importante pontuar que a LGPD admite o tratamento de dados para fins de proteção ao crédito (art. 7º, X), o que pode, de fato, legitimar o compartilhamento de dados pessoais não sensíveis por birôs de crédito com empresas que atuam no mesmo ecossistema, como instituições financeiras e agentes de análise de risco, por exemplo.

Ainda assim, o princípio da transparência deve sempre ser observado, de modo que o titular seja adequadamente informado sobre o tratamento e o eventual compartilhamento de seus dados.

Por outro lado, quando esses dados passam a ser comercializados ou disponibilizados a empresas fora do ecossistema de proteção ao crédito, para finalidades distintas, como por exemplo marketing ou prospecção comercial, pode haver caracterizada a alteração da finalidade do tratamento dos dados inicialmente coletados.

Neste cenário, quando o tratamento de dados pessoais extrapola as finalidades diretamente relacionadas à atividade de avaliação e gestão de risco de crédito, a base legal de proteção ao crédito deixa de ser aplicável.

Deste modo, em observância aos princípios da finalidade, adequação e transparência previstos na LGPD, o consentimento prévio do titular pode se tornar necessário para legitimar o tratamento e ampará-lo em nova base legal, especialmente quando a utilização dos dados extrapola o escopo originalmente vinculado à proteção ao crédito, ainda que se trate de dados pessoais não sensíveis.

Diante desse cenário, o STJ identificou a existência de controvérsia repetitiva, de caráter multitudinário e de interpretações divergentes sobre o tema, reconhecendo a necessidade de uniformização da jurisprudência.

A afetação possui especial relevância para o direito civil e do consumidor, sobretudo porque permitirá a uniformização da jurisprudência, bem como da interpretação da LGPD e do Código de Defesa do Consumidor acerca da configuração — ou não — do dano moral in re ipsa, em casos semelhantes.

No que se refere ao ponto de vista cível, uma das discussões centrais a ser definido pelo Tribunal Superior diz respeito à necessidade de comprovação ou não do dano moral, questão que impacta diretamente a distribuição do ônus probatório nas demandas, o potencial volume de condenações indenizatórias e até mesmo maior interesse em judicialização do tema.

Nossos times cível e digital seguem acompanhando a evolução jurisprudencial sobre o tema e permanecem à disposição para esclarecer eventuais dúvidas.