El Superior Tribunal de Justicia (STJ) de Brasil decidió por mayoría que las empresas gestoras de bases de datos de protección al crédito no pueden poner a disposición de terceros consultantes las informaciones registrales y de cumplimiento de los consumidores sin la autorización previa del titular de los datos. La decisión fue proferida por la Tercera Sala en el juzgamiento del Recurso Especial n.° 2.201.694/SP, con relatoría para el acuerdo de la Ministra Nancy Andrighi.

El caso involucró a un consumidor que cuestionó la práctica de Boa Vista Serviços S.A., gestora del SCPC, de poner a disposición sus datos personales (como renta estimada, dirección y teléfono) a través de los servicios "ACERTA Cadastral", "ACERTA Básico", "ACERTA Intermediário" y "ACERTA Completo" sin su autorización expresa. Las instancias inferiores habían juzgado improcedente el pedido, entendiendo que no se trataba de datos sensibles y que el consentimiento sería dispensable para fines de protección al crédito.

La Ministra Nancy Andrighi aclaró que, conforme la Ley n.° 12.414/2011 (Ley del Registro Positivo), los gestores de bases de datos pueden poner a disposición de terceros consultantes únicamente el score de crédito (sin necesidad de consentimiento) y el historial crediticio (mediante autorización específica del registrado). Las informaciones registrales y de cumplimiento, en cambio, solo pueden ser compartidas entre bases de datos debidamente autorizadas, no con terceros consultantes en general.

El tribunal condenó a Boa Vista a pagar una indemnización de R$ 11.000,00 por daños morales, considerados presuntos (in re ipsa) por la puesta a disposición indebida de datos personales, que genera una fuerte sensación de inseguridad en el consumidor. La empresa también fue obligada a abstenerse de poner a disposición datos registrales y de cumplimiento sin la autorización previa del titular, excepto para otras bases de datos. La decisión refuerza que la responsabilidad del gestor de bases de datos es objetiva cuando existe violación a las reglas de protección de datos.

Este artículo fue resumido a partir de la decisión judicial original con el uso de IA, con revisión humana.

REsp n.° 2.201.694/SP