Tribunal de Justiça do Distrito Federal e dos Territórios

Lei Geral de Proteção de Dados nas relações de consumo

última modificação: 30/10/2025 15h24

Pesquisa atualizada em 29/5/2025.

Nota explicativa

A Lei Geral de Proteção de Dados - LGPD visa resguardar informações sensíveis de pessoas naturais, aplicando-se a qualquer tratamento de dados realizado no Brasil, especialmente nas relações de consumo. Seu objetivo é assegurar o uso adequado dessas informações, mediante consentimento do titular.

Trecho da ementa

“5. O deslinde da controvérsia deve ser solucionado sob o prisma do sistema jurídico autônomo instituído pelo Código de Defesa do Consumidor, que por sua vez regulamenta o direito fundamental de proteção do consumidor (CF, art. 5º, XXXII) e assentado no enunciado da súmula nº 297 do STJ, in verbis: 'O Código de Defesa do Consumidor é aplicável às instituições financeiras'.

(...)

9. Não bastassem tais ponderações, destaque-se que a Lei Geral de Proteção de Dados nos art. 42 e 43 trata da responsabilidade civil dos agentes de tratamento, impondo-lhes o dever de reparar os danos que causarem, em violação ao dever de segurança relacionado aos dados disponibilizados. Na hipótese, a fraude somente foi concretizada porque os estelionatários dispunham não só dos dados pessoais do recorrente, como também da operação de empréstimo contratada com o Banco do Brasil que seria objeto de renegociação, conferindo verossimilhança ao contato recebido da empresa intermediária. Sobre o assunto, o STJ assim se manifestou: 'Para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento, é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada. (REsp n. 2.077.278/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 3/10/2023, DJe de 9/10/2023.).

10. De se registrar que os dados bancários se revestem de sigilo (Lei Complementar 105/2001), e seu armazenamento é de inteira responsabilidade das instituições. Portanto, se tais dados são armazenados de maneira inadequada, permitindo a apropriação por terceiros, há defeito na prestação do serviço (art. 14 do CDC e art. 44 da LGPD), pelo qual as instituições financeiras devem ser responsabilizadas.

11. Em recente julgamento, a 3a. Turma do STJ entendeu que: 'não há como se afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado "golpe do boleto", uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou e-mail à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor do financiamento). (REsp n. 2.077.278/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 3/10/2023, DJe de 9/10/2023). Nesse quadro, deve a Instituição responder pelos danos causados ao consumidor. Portanto, irrepreensível a sentença recorrida.” 

Acórdão 1994310, 0734207-66.2024.8.07.0003, Relator(a): MARILIA DE AVILA E SILVA SAMPAIO, SEGUNDA TURMA RECURSAL, data de julgamento: 05/05/2025, publicado no DJe: 14/05/2025.  

Representativos

Acórdão 1994363, 0776228-18.2024.8.07.0016, Relator(a): GISELLE ROCHA RAPOSO, SEGUNDA TURMA RECURSAL, data de julgamento: 05/05/2025, publicado no DJe: 15/05/2025;

Acórdão 1993966, 0763082-07.2024.8.07.0016, Relator(a): ANTONIO FERNANDES DA LUZ, PRIMEIRA TURMA RECURSAL, data de julgamento: 02/05/2025, publicado no DJe: 14/05/2025;

Acórdão 1982901, 0708843-71.2024.8.07.0010, Relator(a): MARCO ANTONIO DO AMARAL, TERCEIRA TURMA RECURSAL, data de julgamento: 24/03/2025, publicado no DJe: 04/04/2025;

Acórdão 1981997, 0702408-78.2024.8.07.0011, Relator(a): ROBERTO FREITAS FILHO, 3ª TURMA CÍVEL, data de julgamento: 20/03/2025, publicado no DJe: 02/04/2025;

Acórdão 1971337, 0725300-63.2024.8.07.0016, Relator(a): MARILIA DE AVILA E SILVA SAMPAIO, SEGUNDA TURMA RECURSAL, data de julgamento: 26/02/2025, publicado no DJe: 06/03/2025;

Acórdão 1953802, 0715915-39.2024.8.07.0001, Relator(a): CARLOS PIRES SOARES NETO, 1ª TURMA CÍVEL, data de julgamento: 04/12/2024, publicado no DJe: 19/12/2024;

Acórdão 1955058, 0714850-09.2024.8.07.0001, Relator(a): LEONARDO ROSCOE BESSA, 6ª TURMA CÍVEL, data de julgamento: 04/12/2024, publicado no DJe: 19/12/2024;

Acórdão 1903550, 0729280-97.2023.8.07.0001, Relator(a): ROBSON BARBOSA DE AZEVEDO, 7ª TURMA CÍVEL, data de julgamento: 07/08/2024, publicado no DJe: 20/08/2024. 

Destaques

  • TJDFT

Fraude bancária por terceiro – culpa exclusiva da consumidora – responsabilidade objetiva afastada

“5. A relação entre as partes é regida pelo Código de Defesa do Consumidor, que prevê a responsabilidade objetiva dos fornecedores de serviços por defeitos na prestação de serviços (art. 14).  6. A Súmula 479 do STJ estabelece que instituições financeiras respondem objetivamente por fraudes decorrentes de fortuito interno em operações bancárias. Contudo, não se demonstrou defeito na prestação dos serviços das rés, tampouco fortuito interno, uma vez que as operações foram realizadas pela própria autora, mediante uso de senhas pessoais.  7. A fraude não se configurou na contratação dos empréstimos, mas na transferência de valores para terceiros, caracterizando culpa exclusiva da consumidora, o que afasta a responsabilidade dos fornecedores nos termos do art. 14, § 3º, do CDC.  8. A Lei Distrital n. 6.930/2021, que veda empréstimos por ligação telefônica a idosos, não pode ser invocada para anular contratos firmados por livre manifestação de vontade, em observância aos princípios da boa-fé objetiva.  9. Não houve evidências de tratamento ou armazenamento indevido de dados pessoais pelas instituições financeiras réus, afastando a aplicação do art. 42 da LGPD.  10. A sentença não merece reparos, pois os danos sofridos decorrem exclusivamente da negligência da consumidora em verificar a legitimidade da correspondente bancária.” 

Acórdão 1973583, 0747313-38.2023.8.07.0001, Relator(a): AISTON HENRIQUE DE SOUSA, 4ª TURMA CÍVEL, data de julgamento: 20/02/2025, publicado no DJe: 18/03/2025.

Golpe da falsa central de atendimento - fraude no aplicativo do banco – culpa concorrente  

“4. No caso, verifica-se que o itinerário do fato criminoso passa - impreterivelmente - pela negligência do autor, baixar programa suspeito em seu celular, atitude injustificável, sem a qual a fraude não teria ocorrido, bem como - na sequência - pela falta de segurança no sistema antifraude do banco. 5. Na hipótese, quanto à responsabilidade da instituição financeira, considerando que cabe ao banco zelar pelo sistema antifraude e diante da notória atipicidade das transações efetuadas na conta de titularidade do consumidor, bem como revelado a violação à lei geral de proteção de dados (lgpd) - lei nº 13.709/2018, vazamento de dados pessoas do consumidor, portanto, em um mundo cada dia mais virtual, onde as instituições financeiras transportam/transferem os serviços realizados nas agências para bancos virtuais (aplicativos), sendo esses aplicativos a extensão da própria instituição bancária, não há como afastar parte de sua responsabilidade no fato criminoso. 6. por outro lado, quanto à responsabilidade do autor, ‘a conduta de instalar aplicativo no celular colide com todas as orientações de segurança que são normalmente repassadas ao consumidor, o que permitiria incutir desconfiança no consumidor. Portanto, a imprudência do autor não pode ser ignorada, sob pena de se valer injustamente das proteções consumeristas e imputar ao banco uma responsabilidade maior do que a realmente vislumbrar nos autos’." 

Acórdão 1920642, 0702315-48.2024.8.07.0001, Relator(a): ALFEU MACHADO, 6ª TURMA CÍVEL, data de julgamento: 11/09/2024, publicado no DJe: 20/09/2024.

  • STJ

Consumidor – disponibilização indevida de informações pessoais – responsabilidade objetiva do gestor do banco de dados – dano moral presumido

“9. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Precedente. 10. A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada. 11. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados - como as informações cadastrais - deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos arts. 16 da Lei nº 12.414/2011 e 42 e 43, II, da LGPD. 12. No recurso sob julgamento, foram disponibilizadas indevidamente as informações cadastrais e de adimplemento da recorrente a terceiros consulentes, os quais, contudo, somente poderiam ter acesso ao score de crédito e, mediante prévia autorização, do histórico de crédito. 13. Recurso especial conhecido e parcialmente provido para julgar parcialmente procedentes os pedidos formulados na inicial, a fim de condenar a ré (SERASA S.A) a (I) se abster de disponibilizar, de qualquer forma, os dados da autora (informações cadastrais e de adimplemento), sem a sua prévia autorização, para terceiros consulentes, com exceção de outros bancos de dados; e (II) pagar a autora o valor de R$ 11.000,00, a título de indenização por danos morais.” 

REsp n. 2.115.461/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 8/10/2024, DJe de 14/10/2024. 

Veja também

A publicidade dos atos processuais e o direito à proteção dos dados pessoais

Direitos da personalidade: intimidade, privacidade, honra e imagem

Fraude bancária – responsabilidade objetiva da instituição financeira – fortuito interno

Referências

Arts. 2º 43 a 45 da Lei 13.709/2018 - LGPD;

Arts. 6º e  7º do Código de Defesa do Consumidor;

Lei 12.965/2014 - Marco Civil da Internet.

Link para pesquisa no TJDFT

#JurisprudênciaTJDFT, informação jurídica de qualidade, rápida e acessível.