Lei Geral de Proteção de Dados Pessoais (LGPD)
A Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018, é a norma que estabelece regras sobre o tratamento de dados pessoais por pessoas físicas e jurídicas, tanto no setor público quanto no privado.
O principal objetivo da LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para isso, a lei cria um cenário de segurança jurídica, com a padronização de regulamentos e práticas para proteger os dados pessoais de todo cidadão que esteja no Brasil.
Principais Conceitos da LGPD
Para compreender a lei, é fundamental conhecer algumas de suas definições essenciais, presentes no artigo 5º :
- Dado Pessoal: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Exemplos incluem nome, RG, CPF, e-mail, endereço, etc.
- Tratamento de Dados: Toda e qualquer operação realizada com dados pessoais. Isso inclui atividades como coleta, armazenamento, uso, compartilhamento e eliminação de dados.
- Titular: A pessoa natural a quem os dados pessoais se referem.
- Agentes de Tratamento: O controlador (quem toma as decisões sobre o tratamento) e o operador (quem realiza o tratamento em nome do controlador).
A quem a LGPD se aplica?
A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil, independentemente do meio (físico ou digital), do país-sede da organização ou do país onde os dados estão localizados, desde que:
- A operação seja realizada em território nacional;
- A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil;
- Os dados pessoais objeto do tratamento tenham sido coletados no Brasil.
Hipóteses para o Tratamento de Dados
O tratamento de dados pessoais só pode ser realizado em hipóteses específicas, previstas no artigo 7º da lei As mais comuns são:
- Mediante o consentimento do titular;
- Para o cumprimento de obrigação legal ou regulatória;
- Para a execução de contratos;
- Para o exercício regular de direitos em processos;
- Quando houver legítimo interesse do controlador.
A violação das regras de proteção de dados pode acarretar a responsabilização dos agentes de tratamento, que são obrigados a reparar eventuais danos patrimoniais ou morais, individuais ou coletivos.
Como se verifica do caso em que a consumidora processou empresa de crédito por disponibilizar e comercializar seus dados cadastrais para terceiros (empresas consulentes), sem que ela tivesse dado consentimento ou sido previamente comunicada.
O STJ considerou a prática ilegal e decidiu que a disponibilização de dados cadastrais a empresas consulentes, sem autorização específica do consumidor, configura dano moral presumido (in re ipsa). A responsabilidade da empresa gestora do banco de dados é objetiva.
PROCESSUAL CIVIL, CONSUMIDOR E PROTEÇÃO DE DADOS. RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. BANCO DE DADOS DE CRÉDITO. DISPONIBILIZAÇÃO/COMERCIALIZAÇÃO DE DADOS CADASTRAIS A TERCEIROS CONSULENTES. LEI 12.414/2011 . LGPD. TEMA 710/STJ E SÚMULA 550/STJ. DISTINÇÃO. DANO MORAL IN RE IPSA. RESPONSABILIDADE OBJETIVA. RECURSO CONHECIDO E PROVIDO. 1. Recurso especial contra acórdão estadual que manteve a improcedência de ação de obrigação de fazer cumulada com indenização, ajuizada em face de BOA VISTA SERVIÇOS S/A, por disponibilização/compartilhamento/comercialização de dados pessoais em plataformas da gestora, sem consentimento e sem comunicação prévia. 2. O objetivo recursal é decidir se (i) é lícita a abertura/manutenção/divulgação/comercialização de dados pessoais em banco de dados de proteção ao crédito sem comunicação prévia ou consentimento; (ii) o gestor pode disponibilizar a terceiros consulentes dados cadastrais e de adimplemento; (iii) há distinção em relação ao Tema 710/STJ (credit scoring) e (iv) se a prática configura dano moral presumido. 3. A abertura do cadastro para proteção do crédito dispensa consentimento, mas exige comunicação prévia ao cadastrado, inclusive quanto aos agentes de tratamento, assegurada a exclusão a qualquer tempo (Lei 12.414/2011, art. 4º, I e § 4º; LGPD, art. 7º, X). O gestor somente pode disponibilizar a consulentes o score de crédito, sem consentimento, e o histórico de crédito, com autorização específica; informações cadastrais e de adimplemento são compartilháveis apenas com outros bancos de dados (Lei 12.414/2011, art. 4º, III e IV). 4. A disponibilização/comercialização de dados cadastrais a terceiros consulentes, sem autorização específica, viola o microssistema de proteção ao crédito e a autodeterminação informativa, configurando ato ilícito e dano moral in re ipsa, com responsabilidade objetiva do gestor (Lei 12.414/2011, art. 16; LGPD, arts. 42 e 43, II; CDC, art. 43, §§ 1º e 2º). O Tema 710/STJ e a Súmula 550/STJ, restritos ao credit scoring, não se aplicam ao fornecimento de dados cadastrais por banco de dados. 5. Recurso especial conhecido e provido.
(STJ – REsp: 00000000000002236767 SP 2025/0376346-0, Relator: Ministro MOURA RIBEIRO, Data de Julgamento: 15/12/2025, T3 – TERCEIRA TURMA, Data de Publicação: DJEN 23/12/2025)