Em agosto, o Superior Tribunal de Justiça (STJ) julgou o Recurso Especial nº 2.201.694/SP, que discutia a legitimidade do compartilhamento de dados cadastrais por uma empresa de banco de dados de proteção ao crédito.

O julgamento representava uma excelente oportunidade para o Tribunal consolidar entendimentos sobre a aplicação da Lei Geral de Proteção de Dados (LGPD) em conjunto com a Lei do Cadastro Positivo, especialmente em relação aos princípios da necessidade e da adequação.

No entanto, o STJ optou por centrar sua análise quase exclusivamente nas disposições da Lei nº 12.414/2011, deixando de enfrentar a LGPD.

O Caso Concreto: Compartilhamento de Dados Cadastrais

A empresa ré oferecia aos seus clientes um serviço de consulta a dados cadastrais de pessoas físicas. Apenas empresas com contrato vigente poderiam realizar essas consultas. Um titular de dados pessoais, ao descobrir que suas informações estavam sendo compartilhadas, ajuizou ação alegando violação à Lei do Cadastro Positivo, ao Código de Defesa do Consumidor e à LGPD.

As instâncias ordinárias rejeitaram a tese do titular, mas o STJ reformou a decisão e condenou a empresa ao pagamento de indenização, fundamentando que:

• Os dados cadastrais e de adimplemento só poderiam ser compartilhados entre bancos de dados;
• Não haveria autorização legal para disponibilizar os dados a terceiros para fins de consulta;
• A inobservância dos deveres associados ao tratamento de dados gera o dever de indenizar;
• A disponibilização indevida de dados pessoais acarreta dano moral presumido.

A decisão foi dividida, com votos divergentes dos Ministros Humberto Martins e Ricardo Villas Bôas Cueva.

Ausência de Enfrentamento da LGPD

A decisão proferida pelo STJ deixou de lado uma análise consistente dos dispositivos da LGPD, limitando-se à Lei do Cadastro Positivo. Essa postura é problemática porque o regime jurídico da proteção de dados pessoais é interdisciplinar: a LGPD deve dialogar com as outras normas.

O ponto central que ficou de fora do debate foi a finalidade do compartilhamento e a base legal utilizada para legitimar o tratamento. A decisão parte da premissa de que o consentimento seria a única hipótese legal para autorizar o compartilhamento, o que é um equívoco. A LGPD prevê 10 bases legais distintas, todas com o mesmo grau de validade, sem hierarquia entre si.

Além disso, a Lei do Cadastro Positivo autoriza expressamente o compartilhamento entre bancos de dados, mas não proíbe outras formas de compartilhamento. Há uma clara lacuna que deveria ser preenchida pela interpretação conjunta das duas normas.

Os Princípios da Necessidade e da Adequação: O Coração da Discussão

O grande ponto que poderia ter sido enfrentado no acórdão era sobre os princípios da necessidade e da adequação, que são pilares da LGPD e fundamentais para qualquer análise de licitude no tratamento de dados.

• Princípio da necessidade: exige que o tratamento seja limitado ao mínimo necessário para a realização de suas finalidades. No caso, o Tribunal deveria ter questionado se a disponibilização ampla de dados cadastrais para terceiros contratantes da empresa era realmente indispensável para os fins declarados.
• Princípio da adequação: impõe que o tratamento seja compatível com as finalidades informadas ao titular e com o contexto do tratamento. Caberia avaliar se o compartilhamento dos dados cadastrais se enquadrava de forma adequada à finalidade.

Ao ignorar esses princípios, o STJ deixou passar oportunidade de exarar entendimento sobre esse tema.

Dano Presumido e os Limites da Tese Adotada

Outro ponto relevante é que a tese de dano moral presumido parece restrita aos bancos de dados criados sob a égide da Lei do Cadastro Positivo. O acórdão afirma:

“O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes.”

O julgamento do STJ representava uma oportunidade valiosa de avançar na interpretação integrada entre a LGPD e a Lei do Cadastro Positivo. Ao concentrar sua análise apenas nesta última, o Tribunal deixou de enfrentar questões fundamentais, especialmente sobre finalidade, base legal e os princípios da necessidade e adequação, que são essenciais para avaliar a licitude do tratamento de dados pessoais