STJ Afeta Tema Repetitivo sobre Comercialização de Dados Pessoais por Bureaus de Crédito: O Que Muda para o Mercado e para os Consumidores

SUMMARY: STJ definiu tese sobre compartilhamento de dados pessoais por bureaus. Divergência entre 3ª e 4ª Turma sobre dano moral presumido afeta milhões de processos.

IMAGE_URL: https://images.unsplash.com/photo-1563013544-824ae1b704d3?w=1200

IMAGE_SOURCE: Foto de Aditya Joshi no Unsplash

CATEGORY_ID: 70

A Afetação e seu Significado Processual

Em sessão realizada em 30 de janeiro de 2026, a Segunda Seção do Superior Tribunal de Justiça afetou dois recursos especiais — REsp 2.226.946/SP e REsp 2.226.097/SP — como tema repetitivo, determinando a suspensão de todos os processos similares em trámite no território nacional até o julgamento definitivo da tese. O relator, ministro Raul Araújo, estabeleceu duas questões delimitadoras: a licitude da disponibilização ou comercialização a terceiros de dados pessoais não sensíveis por gestores de bancos de dados de entidades de proteção ao crédito, sem comunicação prévia ou consentimento do titular; e a configuração de dano moral in re ipsa na hipótese de ilicitude dessa conduta.

A afectar processual obriga os tribunais de segunda instância a submeterem suas decisões ao padrão que será fixado pela corte superior, evitando a multiplicação de julgados conflitantes sobre a mesma controvérsia. Trata-se de instrumento de uniformização da jurisprudência previsto nos artigos 927 e 1.036 do Código de Processo Civil.

O Conflito Normativo de Três Leis

A discussão judicial decorre da tensão entre três ordenamentos legais que regulam a matéria sob perspectivas distintas e parcialmente sobrepostas.

A Lei do Cadastro Positivo, instituída pela Lei 12.414/2011, autoriza a criação de bureaus de crédito mediante adesão automática do consumidor, sendo vedada a divulgação de histórico de crédito sem autorização específica do titular. Essa norma permite que o cadastro seja constituído independentemente de consentimento expresso, mas impõe limites ao compartilhamento das informações armazenadas.

A Lei Geral de Proteção de Dados Pessoais, Lei 13.709/2018, estabelece em seu artigo 7º, inciso X, como base legal para tratamento de dados pessoais a finalidade de proteção ao crédito, o que justifica o funcionamento do mercado de bureaus sem necessidade de consentimento específico para operações de consulta ao histórico. Contudo, essa mesma lei exige transparência, segurança da informação e permite a responsabilização civil por tratamentos realizados em desconformidade com suas disposições.

O Código de Defesa do Consumidor, Lei 8.078/1990, fornece o regime de responsabilidade civil aplicável aos casos de tratamento irregular de dados pessoais de consumidores, incluindo a obrigação de reparar danos materiais e morais decorrentes de práticas abusivas ou enganosas.

A Divergência entre Turmas do STJ

O impasse que justificou a afetação origem de divergência interpretativa entre a Terceira e a Quarta Turma do tribunal.

A Terceira Turma entende que a comercialização indevida de dados pessoais configura dano moral presumido, independendo de comprovação de prejuízo concreto pelo titular. Nessa perspectiva, o fato da disponibilização não autorizada já constitui, por si só, violação aos direitos de personalidade do consumidor, gerando direito a indenização.

A Quarta Turma, em julgamento realizado em 12 de fevereiro de 2026 no REsp 2.221.650, sob relatoria da ministra Isabel Gallotti, firmou entendimento distinto. A Turma concluiu que a simples disponibilização de dados pessoais não sensíveis no cadastro positivo não gera, por si só, direito a indenização por dano moral presumido. Exige-se a comprovação de abalo significativo aos direitos de personalidade do titular.

Essa distinção entre dados pessoais comuns e dados sensíveis revela-se tecnicamente relevante, considerando que dados sensíveis — aqueles com potencial discriminatório, abrangendo origem racial, étnica, convicção religiosa, opinião política, entre outros — recebem proteção reforçada pela LGPD e pelo ordenamento constitucional.

Critérios Fixados para o Mercado de Crédito

Até o julgamento definitivo da tese pela Segunda Seção, algumas balizas interpretativas já podem ser identificadas a partir dos precedentes existentes.

O score ou pontuação de crédito pode ser compartilhado livremente entre participantes do ecossistema de proteção ao crédito, sem que isso configure irregularidade. O histórico de crédito, contudo, exige autorização específica do titular para compartilhamento, sendo vedada sua divulgação sem permissão expressa.

Dados cadastrais comuns, como endereço e número de telefone, podem ser compartilhados exclusivamente entre bancos de dados que integrem o ecossistema de proteção ao crédito. Sua comercialização para terceiros que operem fora desse ecossistema — por exemplo, empresas de marketing ou prospecção comercial — configura conduta potencialmente illicitica.

A comercialização de dados para finalidades diversas da proteção ao crédito, como marketing direcionado ou prospecção de clientes, afasta a aplicabilidade da base legal do artigo 7º, inciso X, da LGPD, exigindo consentimento específico do titular.

O Papel da ANPD no Cenário Regulatório

A Autoridade Nacional de Proteção de Dados, criada pela LGPD e estruturada como órgão regulador federal, atua na fiscalização e orientação dos agentes de tratamento de dados pessoais. A reestruturação promovida pelo Decreto 12.881/2026 e pela Resolução CD/ANPD 33/2026 conferiu à autoridade maior autonomia institucional e recursos para fiscalização.

No ecossistema de crédito, a ANPD publica guias e resoluções que estabelecem padrões de conformidade exigidos das empresas que tratam dados pessoais. Suas orientações definem o standard de conformidade que os tribunais frequentemente adotam como parâmetro interpretativo ao analisar casos concretos.

A Resolução CD/ANPD 32/2026, publicada em janeiro de 2026, reconheceu a União Europeia como país com grau adequado de proteção de dados, facilitando transferências internacionais de dados entre o Brasil e o bloco europeu no ámbito regulatório criado pela LGPD.

Todavia, a ANPD não participa diretamente de processos judiciais, não possui competência para anular cláusulas contratuais ou para determinar diretamente a prática ou cessação de condutas por agentes privados. Seus instrumentos de atuação são a fiscalização, a aplicação de sanções administrativas e a emissão de orientações técnicas.

Impactos Práticos para o Mercado e para os Consumidores

A tese que será fixada pelo STJ afetará diretamente milhares de ações judiciais em trâmite no país. Para os bureaus e gestores de banco de dados, a definição jurisprudencial imporá revisão de práticas operacionais relacionadas ao compartilhamento de informações com terceiros.

Para os consumidores, a questão define o nível de proteção disponível em caso de uso não autorizado de seus dados pessoais. A fixação de dano moral presumido amplia o acesso à reparação, ao exigir apenas a demonstração da conduta irregular; já a exigência de comprovação de abalo concreto restringe as hipóteses de indenização, exigindo prova do dano.

A definição também afetará o ônus da prova nos processos judiciais. Se a Segunda Seção adotar a tese da 4ª Turma, caberá ao consumidor demonstrar o impacto significativo em sua vida pessoal ou profissional; se acolher a tese da 3ª Turma, a reparación será devida automaticamente mediante a constatação da prática comercializatória indevida.

Fontes consultadas: STJ, afetação REsp 2.226.946 e REsp 2.226.097, 30/01/2026; Machado Meyer, 30/01/2026; Migalhas, 20/02/2026; Machado Nunes.