O gestor do banco de dados usados para formação do histórico de crédito não pode disponibilizar dados pessoais cadastrais a terceiros consulentes sem que tenha prévia autorização dos cadastrados.
Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça condenou a Serasa a pagar indenização por danos morais a uma mulher que teve dados pessoais compartilhados com terceiros.
A Serasa recolheu esses dados para formação de histórico de crédito, mas os ofereceu a terceiros que fizeram consulta por meio dos serviços “Info Busca”, “Lista Online” e “Prospecção de Clientes”.
Eles tiveram acesso a renda mensal, endereço e telefones pessoais da mulher. A ação foi ajuizada para proibir a plataforma de oferecer essas informações, mas acabou julgada improcedente pelas instâncias ordinárias.
O Tribunal de Justiça de São Paulo entendeu que seria desnecessário o consentimento do consumidor para a divulgação de dados que não são sensíveis ou sigilosos. E que houve a comunicação dela quanto à abertura do cadastro em banco de dados.
Só o score
Relatora do recurso, a ministra Nancy Andrighi observou que a utilização de escore de crédito não constitui banco de dados, conforme a Súmula 550 do STJ.
Assim, o gestor de banco de dados com a finalidade de proteção do crédito pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas.
Ainda assim, ele só pode disponibilizar a terceiros consulentes o score de crédito (sem necessidade de consentimento prévio) e histórico de crédito (mediante autorização prévia), conforme prevê o artigo 4º, inciso IV, da Lei 12.414/2011.
O inciso II da mesma norma acrescenta que as informações cadastrais e de adimplemento armazenadas nesse banco de dados só podem ser compartilhadas com outros bancos de dados, desde que geridos por instituições autorizadas pelo Banco Central.
“Se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular”, disse a ministra Nancy Andrighi.
Em resumo, a única informação que pode ser disponibilizada aos consulentes, além do score de crédito, é o “histórico de crédito”, desde que com prévia autorização específica do cadastrado.
O histórico de crédito é definido pela Lei 12.414/2011 como o “conjunto de dados financeiros e de pagamentos, relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento e não abrange informações cadastrais.
Danos morais
Para condenar a Serasa conforme o pedido da autora da ação, a 3ª Turma considerou a jurisprudência segundo a qual a disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido.
Ela decorre do sentimento de insegurança experimentado porque tem os dados disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas.
No caso concreto, houve ainda a violação dos limites impostos pela lei quanto aos dados que podem ser disponibilizados, o que adiciona gravidade, na opinião da ministra Nancy Andrighi.
“O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados — como as informações cadastrais — deve responder pelos danos morais causados ao cadastrado, que decorrem, sobretudo, da sensação de insegurança gerada pela disponibilização indevida dos seus dados”, disse.