A Terceira Turma do STJ, no REsp 2.201.694/SP (rel. p/ acórdão Min. Nancy Andrighi, j. 05/08/2025), reconheceu a ilicitude da disponibilização, por gestor de banco de dados, de dados cadastrais e de adimplemento a terceiros consulentes. Houve condenação por dano moral e ordem de abstenção. Entenda o que ainda pode (score e histórico com autorização) e o que muda para birôs, bancos, varejo, fintechs e times de antifraude.
O que foi decidido
O STJ distinguiu banco de dados do Cadastro Positivo (Lei 12.414/2011) de credit scoring (Tema 710/Súmula 550), concluindo que as teses de score não se aplicam automaticamente a bancos de dados.
Pode:
– disponibilizar score a consulentes sem consentimento do titular;
– disponibilizar histórico de crédito com autorização específica do titular.
Não pode:
– Entregar a terceiros consulentes dados cadastrais (ex.: nome, endereço, telefone) e informações de adimplemento; essas só podem circular entre bancos de dados, nos termos da Lei 12.414.
– A disponibilização indevida gera dano moral presumido (in re ipsa) e responsabilidade objetiva do gestor.
– No caso concreto, houve condenação em R$ 11 mil e ordem de abstenção de novas disponibilizações ilícitas.
Por que isso importa (três leituras práticas)
– Birôs de crédito e dados
– Revisar APIs/rotas e perfis de resposta para não expor campos cadastrais/adimplemento a consulentes.
– Ajustar contratos, anexos técnicos e DPAs: delimitar objeto, finalidade, base legal e segregação de dados.
– Implementar logs e trilhas de auditoria por campo/endpoint para prova de conformidade.
Consulentes (bancos, fintechs, varejo, BNPL, antifraude, cobrança)
– Mapear fontes: de onde vêm dados cadastrais/adimplemento hoje? Há base legal adequada?
– Exigir comprovação de consentimento quando se tratar de histórico, e evitar contratar pacotes que incluam dados cadastrais/adimplemento provenientes de bancos de dados do Cadastro Positivo.
– Restringir perfis de uso (onboarding, prevenção a fraudes, cobrança) ao que a lei permite e ao que o contrato descreve.
Marketing, enriquecimento e “colagem de bases”
– Risco alto para enriquecimento de perfis com dados cadastrais/adimplemento oriundos de banco de dados.
– Reavaliar workflows de prospecção e recuperação de crédito que se apoiem em informações que agora ficam vedadas a consulentes.
LGPD x Lei 12.414/2011: a convivência
A LGPD continua sendo o marco transversal (princípios, direitos, bases legais, segurança, accountability). A Lei 12.414/2011 é especial para o Cadastro Positivo e fixa limites de circulação distintos: score (sem consentimento) e histórico (com autorização), vedando a entrega de cadastrais/adimplemento a consulentes. O recado é de finalidade e minimização: não é porque a tecnologia permite que a lei autoriza.
