Dados pessoais como moeda: CDC e noções de LGPD (consentimento, finalidade e transparência) A economia dos dados e o consumo No ambiente digital, muitos serviços são oferecidos como “gratuitos” em troca do acesso a dados pessoais do consumidor. Essa aparente gratuidade esconde uma relação de consumo em que os dados se tornam a contraprestação econômica. O Código de Defesa do Consumidor (CDC) incide integralmente sobre essa relação, impondo deveres de transparência, boa‑fé e informação adequada. A Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) veio complementar o sistema, estabelecendo regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais, sempre em diálogo com o CDC. O consumidor, titular dos dados, tem direitos tanto no CDC (informação, segurança, reparação) quanto na LGPD (acesso, correção, eliminação). Dados como contrapartida econômica 2.1. A “gratuidade” aparente Muitos serviços digitais (redes sociais, buscadores, e‑mails gratuitos, aplicativos) não exigem pagamento em dinheiro, mas monetizam os dados pessoais dos usuários por meio de publicidade comportamental, venda de perfis e segmentação de anúncios. O STJ já reconheceu que, nessas hipóteses, há relação de consumo, pois o usuário é consumidor e o fornecedor obtém vantagem econômica indireta (REsp 1.886.451/SP). 2.2. Transparência sobre o uso de dados O CDC, por meio do art. 6º, III, exige informação adequada sobre as características do serviço. Quando o serviço é financiado por dados, o consumidor deve ser informado de forma clara e prévia sobre: Quais dados são coletados. Para quais finalidades. Com quem são compartilhados. Por quanto tempo são armazenados. A omissão dessas informações pode configurar publicidade enganosa (art. 37) e prática abusiva (art. 39). Princípios da LGPD aplicáveis ao consumo A LGPD estabelece princípios que se harmonizam com o CDC: Finalidade: o tratamento de dados deve ter propósito legítimo, específico e informado ao titular. Necessidade: só podem ser tratados os dados estritamente necessários para a finalidade declarada. Transparência: o titular deve ter acesso claro e acessível às informações sobre o tratamento. Consentimento: quando exigido, deve ser livre, informado e inequívoco. O consentimento não pode ser obtido por meio de cláusulas ambíguas ou aceite automático sem destaque. 3.1. Consentimento e aceite no ambiente digital O art. 8º da LGPD exige que o consentimento seja fornecido de forma destacada e separado de outras cláusulas contratuais. Não é válido o consentimento obtido por meio de termos longos, ilegíveis ou “escondidos”. O art. 46 do CDC (conhecimento prévio) também se aplica: o consumidor deve ter oportunidade real de conhecer as condições de tratamento de dados antes de aceitar. Tratamento de dados pessoais como serviço O tratamento de dados pessoais pode ser considerado um serviço na acepção do art. 3º, §2º, do CDC, pois há atividade econômica, ainda que a remuneração seja indireta. Assim, aplicam‑se: Responsabilidade objetiva por falhas de segurança (art. 14). O vazamento de dados, por exemplo, configura defeito no serviço, gerando indenização por danos materiais e morais. Inversão do ônus da prova (art. 6º, VIII) em favor do consumidor, que não tem acesso aos logs e sistemas do fornecedor. Vazamento de dados e responsabilidade civil O vazamento de dados pessoais – seja por ataque hacker, falha interna ou compartilhamento indevido – constitui defeito no serviço (art. 14). O fornecedor responde objetivamente, independentemente de culpa, pelos danos causados ao consumidor. O STJ já consolidou esse entendimento em julgados como o REsp 1.858.524/SP, que reconheceu a responsabilidade objetiva do fornecedor por vazamento de dados que resultou em fraudes bancárias. Direitos dos titulares (LGPD e CDC) O consumidor tem um conjunto de direitos, previstos tanto no CDC quanto na LGPD: | Direito | CDC | LGPD | |-------------|---------|----------| | Acesso às informações | Art. 6º, III; art. 43 | Art. 18, I e II | | Correção de dados | Art. 43, §3º | Art. 18, III | | Eliminação de dados | Art. 43, §1º (após 5 anos) | Art. 18, IV | | Revogação do consentimento | Art. 49 (arrependimento, em parte) | Art. 8º, §5º | | Indenização por danos | Arts. 12‑14 | Art. 42 (LGPD) | Jurisprudência relevante 7.1. STJ – Dever de informar compartilhamento de dados pessoais A gestão do banco de dados impõe a estrita observância das exigências contidas nas respectivas normas de regência - CDC e Lei 12.414/2011 - dentre as quais se destaca o dever de informação, que tem como uma de suas vertentes o dever de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art. 5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais 9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais. 10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos. Hipótese em que se configura o dano moral in re ipsa." (STJ - REsp n. 1.758.799/MG, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/11/2019, DJe de 19/11/2019.) 7.2. STJ – Dano moral por vazamento de dados "3. O gestor de banco de dados regido pela Lei nº 12.414/2011 somente pode disponibilizar a terceiros consulentes o score de crédito, desnecessário o consentimento prévio; e o histórico de crédito, mediante prévia autorização específica do cadastrado (art. 4º, IV). Por outro lado, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados (art. 4º, III). Precedentes. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados (como as informações cadastrais e de adimplemento) deve responder objetivamente pelos danos morais causados ao cadastrado, que são presumidos, diante da forte sensação de insegurança por ele experimentada. Precedentes. Recurso especial conhecido e provido." (STJ - REsp n. 2.201.694/SP, relator Ministro Ricardo Villas Bôas Cueva, relatora para acórdão Ministra Nancy Andrighi, Terceira Turma, julgado em 5/8/2025, DJEN de 15/8/2025.) Exercícios: Aplicativo se anuncia como “100% gratuito”, mas coleta e compartilha dados para publicidade segmentada, sem informar claramente. A leitura mais consistente é: Vazamento de dados por falha de segurança previsível do serviço é melhor enquadrado, no CDC, como: Em questão sobre dados e consumo, a estrutura mais segura é: Coletar dados excessivos sem relação com a função do app é criticável porque afronta, em noções de LGPD, os princípios de: Termo de uso impõe consentimento genérico para “qualquer uso futuro” de dados, sem destaque e sem opção. Em prova, isso tende a ser visto como: O Superior Tribunal de Justiça entende que a oferta de serviços digitais considerados "gratuitos" configura relação de consumo, uma vez que a monetização dos dados pessoais dos usuários atua como remuneração indireta em favor do fornecedor. A vigência da Lei Geral de Proteção de Dados (LGPD) afastou a aplicação do Código de Defesa do Consumidor em casos de vazamento de dados em plataformas de e-commerce, passando a exigir a comprovação de culpa do fornecedor para a reparação civil. A omissão intencional do fornecedor em informar o consumidor previamente sobre a coleta, a finalidade e o compartilhamento de seus dados pessoais em um aplicativo caracteriza publicidade enganosa por omissão. O consentimento do consumidor para o tratamento de dados pessoais em contratos de adesão digitais deve ser fornecido de forma destacada e separada das demais cláusulas, sob pena de nulidade da aceitação. O consentimento outorgado pelo usuário para o tratamento de dados pessoais, por se tratar da contraprestação econômica que viabiliza o acesso a uma rede social, é irrevogável enquanto durar a utilização do serviço. Em ações judiciais que discutem danos por vazamento de dados em plataformas digitais, o juiz pode inverter o ônus da prova em favor do consumidor, atribuindo ao fornecedor o dever de comprovar que adotou as medidas de segurança adequadas. A mera exposição indevida de dados pessoais em virtude de um vazamento sistêmico não gera dano moral presumido, sendo ônus do consumidor comprovar que sofreu fraude financeira posterior para ter direito à indenização. Pelo princípio da necessidade, as plataformas de comércio eletrônico possuem autorização tácita para coletar dados pessoais excedentes dos consumidores, desde que a finalidade exclusiva seja o aprimoramento de seus próprios algoritmos de vendas. O consumidor que encontrar dados incorretos ou desatualizados a seu respeito em um banco de dados possui o direito de exigir a imediata correção, cabendo ao arquivista o prazo máximo de cinco dias úteis para comunicar a alteração aos eventuais destinatários. A responsabilidade civil objetiva de uma instituição financeira por vazamento de dados de correntistas será afastada caso a empresa comprove ter sido vítima de um ataque cibernético (hacker), circunstância que caracteriza força maior e rompe o nexo causal.