Blog
Você está aqui: / / / Data brokers: venda ilegal de dados pessoais, Serasa, SPC e o mercado paralelo...

Data brokers: venda ilegal de dados pessoais, Serasa, SPC e o mercado paralelo de informações

TEMA 3 DATA BROKERS: VENDA ILEGAL DE DADOS Serasa, SPC, birôs de crédito e o mercado paralelo de dados pessoais O Problema e Sua Escala no Brasil Data brokers são empresas que coletam, enriquecem e vendem dados pessoais de consumidores — muitas vezes sem qualquer base legal na LGPD. No Brasil, o caso mais emblemático é o Serasa Experian, que através dos produtos "Lista Online" e "Prospecção de Clientes" comercializava dados financeiros detalhados de mais de 150 milhões de brasileiros sem consentimento específico. A decisão do TJDFT suspendeu essa prática. O STJ (set/2025) consolidou que disponibilizar dados a terceiros sem consentimento = dano moral presumido. Isso cria uma tese sólida para ações individuais em todo o Brasil. Prática Violação LGPD Status Jurídico Venda de dados para prospecção comercial Art. 7 — ausência de base legal ILEGAL — TJDFT suspendeu Serasa Envio de SMS/WhatsApp marketing sem consentimento Art. 7, I — sem consentimento válido Ilegal — tribunais condenando Ligações telemarketing com dados comprados de terceiros Arts. 7 e 14 — sem base legal Ilegal — condenações crescentes Enriquecimento de cadastro sem informar o titular Art. 6, VI — princípio da transparência Ilegal Compartilhamento de dados entre empresas do mesmo grupo Art. 11 — dados sensíveis exigem mais Zona cinza — risco alto Precedente fundamental (STJ, 5/set/2025, REsp 2.130.874/SP): "A disponibilização indevida de informações pessoais em banco de dados gera dano moral presumido." Não é preciso provar que o consumidor foi prejudicado — a violação em si já é o dano.

Você já recebeu ligação de uma empresa que nunca contratou? Mensagens de WhatsApp oferecendo crédito, plano de saúde, consórcio, curso, empréstimo ou cobrança? Já percebeu que alguém sabia seu nome completo, CPF, idade, endereço, renda aproximada, score, profissão ou perfil de consumo?

Isso pode estar ligado ao mercado de data brokers, empresas que coletam, organizam, enriquecem, classificam e vendem dados pessoais para finalidades comerciais, financeiras, publicitárias ou de prospecção.

O problema é que, em muitos casos, o titular dos dados não sabe quem coletou suas informações, de onde elas vieram, para quem foram vendidas, com qual base legal foram tratadas e como pedir exclusão ou bloqueio. Quando isso ocorre, pode haver violação à Lei Geral de Proteção de Dados Pessoais — LGPD.

No Brasil, o caso mais conhecido envolveu a Serasa Experian. O Ministério Público do Distrito Federal e Territórios informou que a empresa comercializava dados pessoais de mais de 150 milhões de brasileiros por meio dos produtos “Lista Online” e “Prospecção de Clientes”. A Justiça do Distrito Federal determinou a suspensão da comercialização desses dados, e a 2ª Turma Cível do TJDFT manteve a liminar.

Em 2025, o STJ reforçou a proteção do titular ao decidir que a disponibilização indevida de informações pessoais armazenadas em banco de dados para terceiros, sem comunicação prévia e sem consentimento, pode gerar dano moral presumido. Isso significa que, naquele contexto específico, a vítima não precisaria provar prejuízo moral concreto: a divulgação indevida já caracterizaria violação indenizável.

Neste artigo, você vai entender o que são data brokers, quando a venda de dados é ilegal, como a LGPD protege o consumidor, quais práticas podem gerar indenização e o que fazer se seus dados estão sendo usados por empresas sem autorização.

O que são data brokers?

Data brokers são empresas ou agentes que coletam, compram, organizam, cruzam, enriquecem e comercializam dados pessoais.

Eles podem atuar em diversas áreas:

Área Uso comum dos dados
Crédito Score, risco, inadimplência, perfil financeiro
Marketing Prospecção, anúncios, segmentação
Cobrança Localização de devedores, contatos alternativos
Varejo Perfil de consumo, hábitos de compra
Seguros Perfil de risco, histórico cadastral
Telecomunicações Ofertas, portabilidade, campanhas
Saúde Segmentação de público, quando há dados sensíveis
Imobiliário Renda, endereço, perfil de compra
Bancário Prospecção de crédito, validação cadastral

O problema não é toda atividade de tratamento de dados. A LGPD permite tratamento de dados pessoais quando há base legal válida, finalidade legítima, transparência, segurança e respeito aos direitos do titular.

O problema surge quando os dados são usados como mercadoria, sem informação clara, sem base legal adequada, sem consentimento quando ele é necessário, sem possibilidade real de oposição e sem transparência sobre compartilhamentos.

Data broker é sempre ilegal?

Não.

Nem todo tratamento de dados por birôs de crédito, empresas de análise cadastral ou plataformas de marketing é automaticamente ilegal.

A ilegalidade depende de fatores como:

  • origem dos dados;
  • finalidade do tratamento;
  • base legal usada;
  • transparência com o titular;
  • existência ou não de consentimento válido;
  • possibilidade de oposição;
  • tipo de dado tratado;
  • se há dados sensíveis;
  • se houve compartilhamento com terceiros;
  • se o titular foi informado;
  • se a atividade respeita a LGPD, o CDC e normas setoriais.

Por exemplo, bancos de dados de proteção ao crédito podem tratar determinadas informações para finalidade de análise de crédito, dentro dos limites legais. O problema é usar essa estrutura para prospecção comercial, venda de listas, marketing indiscriminado ou enriquecimento de cadastro sem transparência.

No caso Serasa, o MPDFT afirmou que a empresa tinha respaldo legal para tratamento de dados para fins de proteção do crédito, mas que essa permissão não contemplaria os usos investigados, como a venda de dados por meio dos produtos questionados.

O que aconteceu no caso Serasa?

O caso Serasa se tornou um marco no debate sobre data brokers no Brasil.

Segundo o MPDFT, a Serasa Experian comercializava dados pessoais de milhões de brasileiros por meio de produtos chamados “Lista Online” e “Prospecção de Clientes”. Esses serviços permitiriam a seleção de consumidores por critérios como perfil financeiro, localização e outros filtros de interesse comercial.

Em novembro de 2020, o TJDFT determinou a suspensão da venda de dados pessoais dos titulares por meio desses produtos. A decisão foi concedida em ação civil pública ajuizada pelo MPDFT.

Em maio de 2021, a 2ª Turma Cível do TJDFT manteve, por unanimidade, a liminar que suspendia a comercialização de dados pessoais pelos produtos “Lista Online” e “Prospecção de Clientes”.

Em julho de 2021, o TJDFT divulgou que a Justiça confirmou entendimento de que a comercialização de dados pessoais por meio dos produtos oferecidos pela empresa era ilícita, destacando a relevância econômica das informações pessoais na economia digital.

A importância desse caso está na mensagem jurídica: dados pessoais não podem ser tratados como simples mercadoria sem respeito à finalidade, transparência, base legal e direitos do titular.

O que o STJ decidiu em setembro de 2025?

Em 5 de setembro de 2025, a Terceira Turma do STJ decidiu que a disponibilização para terceiros de informações pessoais armazenadas em banco de dados, sem comunicação prévia ao titular e sem consentimento, viola direitos de personalidade e justifica indenização por dano moral presumido.

A decisão foi divulgada pelo próprio STJ com a seguinte ideia central: tornar informações pessoais guardadas em banco de dados disponíveis para terceiros, sem consentimento do titular, gera dano moral passível de indenização; nesse contexto, o dano é presumido, bastando provar a divulgação indevida dos dados.

Esse precedente é importante para ações individuais porque fortalece a tese de que o titular não precisa esperar sofrer golpe, negativação ou prejuízo financeiro para ter direito à reparação quando seus dados foram disponibilizados indevidamente a terceiros.

Mas há uma observação importante: a jurisprudência sobre dano moral por dados pessoais ainda exige análise do caso concreto. Em fevereiro de 2026, o STJ também divulgou decisão afirmando que disponibilização não autorizada de dados pessoais não sensíveis em cadastro positivo não gera dano moral presumido.

Portanto, a estratégia jurídica deve diferenciar situações. Uma coisa é discutir cadastro positivo em contexto regulado. Outra é discutir venda, disponibilização comercial ou prospecção sem comunicação, sem consentimento e fora da finalidade esperada pelo titular.

Qual é a diferença entre proteção ao crédito e venda de dados para marketing?

Essa diferença é central.

Proteção ao crédito

A proteção ao crédito envolve dados usados para avaliar risco de inadimplência, histórico de pagamento, concessão de crédito e segurança de operações financeiras.

Exemplos:

  • análise de crédito;
  • score;
  • negativação regular;
  • cadastro positivo;
  • prevenção à fraude;
  • avaliação de risco financeiro.

Essas atividades podem ter base legal, desde que respeitem finalidade, transparência, segurança e direitos do titular.

Venda de dados para marketing ou prospecção

Já a venda de dados para marketing ocorre quando informações pessoais são oferecidas a empresas para captar clientes, enviar propaganda, ligar para consumidores, disparar WhatsApp, SMS ou e-mail, segmentar campanhas ou formar listas comerciais.

Exemplos:

  • lista de consumidores com renda estimada;
  • lista de telefones por cidade;
  • lista de pessoas com perfil de crédito;
  • lista de aposentados para oferta de empréstimo;
  • lista de empresários por faturamento estimado;
  • lista de consumidores com determinado score;
  • lista de pacientes, alunos ou clientes segmentados.

É aqui que o risco de ilegalidade aumenta muito.

A finalidade original de proteção ao crédito não autoriza automaticamente transformar dados em produto de prospecção comercial.

Quais práticas podem violar a LGPD?

1. Venda de dados para prospecção comercial

A venda de listas de consumidores para empresas fazerem marketing, cobrança, ofertas ou abordagem comercial pode violar a LGPD quando não há base legal adequada, consentimento válido ou transparência.

Exemplo:

Uma pessoa nunca autorizou determinada empresa a ter seu telefone, mas começa a receber ligações de empréstimo, plano de saúde, curso, consórcio ou cobrança. Quando pergunta a origem dos dados, ninguém responde.

Essa prática pode violar:

  • princípio da finalidade;
  • princípio da transparência;
  • princípio da necessidade;
  • direitos do titular;
  • dever de segurança;
  • base legal adequada.

2. Envio de SMS ou WhatsApp marketing sem consentimento

Mensagens comerciais por SMS ou WhatsApp podem ser ilegais quando a empresa não demonstra base legal válida para usar o contato.

Sinais de irregularidade:

  • o consumidor nunca contratou a empresa;
  • a mensagem não informa origem dos dados;
  • não há canal simples de descadastro;
  • o disparo é insistente;
  • há uso de dados pessoais específicos;
  • a empresa se recusa a informar de onde obteve o número.

O consentimento, quando usado como base legal, precisa ser livre, informado, inequívoco e específico. Consentimento genérico, escondido em política longa ou presumido por terceiros tende a ser frágil.

3. Ligações de telemarketing com dados comprados de terceiros

A ligação de telemarketing pode indicar uso de bases compradas ou compartilhadas.

O problema fica mais grave quando o atendente sabe:

  • nome completo;
  • CPF;
  • data de nascimento;
  • endereço;
  • banco usado;
  • benefício previdenciário;
  • contrato anterior;
  • renda aproximada;
  • dados familiares.

Se a empresa não consegue explicar a origem dos dados, pode haver violação da LGPD.

4. Enriquecimento de cadastro sem informar o titular

Enriquecimento de cadastro ocorre quando uma empresa complementa informações sobre uma pessoa com dados obtidos de outras fontes.

Exemplo:

A empresa tinha apenas seu nome e telefone. Depois passa a ter endereço, renda estimada, profissão, score, perfil de consumo e dados familiares.

Isso pode ser problemático quando o titular não é informado, não sabe a finalidade, não sabe a origem dos dados e não consegue exercer seus direitos.

5. Compartilhamento entre empresas do mesmo grupo econômico

Muitas empresas afirmam que compartilham dados “com empresas do grupo”.

Isso não significa que tudo é permitido.

O compartilhamento precisa respeitar:

  • finalidade específica;
  • transparência;
  • base legal;
  • necessidade;
  • segurança;
  • direitos do titular;
  • restrições para dados sensíveis.

Se uma pessoa contrata um serviço financeiro e depois passa a receber ofertas de dezenas de empresas do mesmo grupo, a prática pode ser questionada.

Quais artigos da LGPD entram nessa discussão?

Artigo 6º — princípios

A LGPD estabelece princípios que devem orientar todo tratamento de dados pessoais.

Os mais importantes para data brokers são:

Princípio Aplicação prática
Finalidade Dados devem ser usados para propósito legítimo, específico e informado
Adequação Uso deve ser compatível com a finalidade informada
Necessidade Coletar apenas o necessário
Livre acesso Titular pode consultar dados tratados
Qualidade dos dados Dados devem ser exatos e atualizados
Transparência Titular deve saber como os dados são usados
Segurança Dados devem ser protegidos
Prevenção Evitar danos ao titular
Não discriminação Dados não podem gerar abuso discriminatório
Responsabilização Controlador deve demonstrar conformidade

Data broker que coleta e vende dados sem explicar origem, finalidade e compartilhamento viola diretamente a lógica desses princípios.

Artigo 7º — bases legais

O tratamento de dados pessoais precisa de base legal.

As mais discutidas nesses casos são:

  • consentimento;
  • legítimo interesse;
  • proteção ao crédito;
  • execução de contrato;
  • cumprimento de obrigação legal;
  • exercício regular de direitos.

A venda de dados para prospecção comercial muitas vezes tenta se apoiar em “legítimo interesse”. Mas legítimo interesse não é carta branca. Ele exige finalidade legítima, expectativa razoável do titular, necessidade, transparência e avaliação de impacto sobre direitos e liberdades.

Artigo 11 — dados sensíveis

Se a base envolve dados sensíveis, o risco aumenta.

Dados sensíveis incluem informações sobre saúde, biometria, origem racial ou étnica, religião, opinião política, vida sexual, dado genético e outros.

Vender ou compartilhar dados sensíveis para segmentação comercial sem base legal robusta é uma prática de altíssimo risco jurídico.

Artigo 18 — direitos do titular

O titular pode pedir:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção;
  • anonimização, bloqueio ou eliminação;
  • informação sobre compartilhamento;
  • revogação do consentimento;
  • revisão de decisões automatizadas, conforme o caso;
  • petição à ANPD.

A ANPD informa que o titular pode apresentar petição quando já tentou exercer seus direitos perante o controlador e não recebeu resposta adequada.

Como saber se meus dados foram vendidos?

Nem sempre é fácil provar, mas alguns sinais ajudam.

Sinais de alerta

Sinal O que pode indicar
Ligações de empresas desconhecidas Uso de base comprada ou compartilhada
Mensagens com seu nome completo Base enriquecida
Ofertas ligadas ao seu perfil financeiro Dados de crédito ou renda usados
Golpista sabe seu banco ou benefício Vazamento ou compartilhamento indevido
Várias empresas ligam sobre o mesmo produto Base revendida
WhatsApp comercial sem contato prévio Uso indevido de telefone
E-mails personalizados de empresas desconhecidas Prospecção por dados comprados
Cobranças sobre dívida desconhecida Compartilhamento abusivo
Ofertas após consulta ou cadastro específico Repasse indevido de dados

O que fazer se uma empresa usa meus dados sem autorização?

1. Pergunte a origem dos dados

Solicite formalmente:

“Solicito informar a origem dos meus dados pessoais, a base legal utilizada para o tratamento, a finalidade do uso, quais dados estão armazenados, com quem foram compartilhados e como posso exercer meus direitos de exclusão, oposição ou bloqueio, nos termos da LGPD.”

Guarde protocolo, prints e respostas.

2. Peça acesso aos dados

Solicite cópia ou descrição dos dados que a empresa mantém sobre você.

Isso pode revelar:

  • telefone;
  • CPF;
  • endereço;
  • renda estimada;
  • score;
  • perfil de consumo;
  • empresa de origem;
  • data de coleta;
  • compartilhamentos;
  • histórico de campanhas.

3. Peça exclusão ou bloqueio

Quando não houver base legal adequada, peça a exclusão ou bloqueio dos dados.

Também peça descadastro de listas de marketing.

4. Registre provas

Guarde:

  • prints de WhatsApp;
  • SMS;
  • e-mails;
  • gravações permitidas por lei;
  • protocolos;
  • nomes de empresas;
  • números que ligaram;
  • horários;
  • respostas sobre origem dos dados;
  • ofertas recebidas;
  • prints de sites ou plataformas.

5. Reclame na ANPD

Se a empresa não responder ou continuar tratando dados irregularmente, é possível apresentar denúncia ou petição de titular à ANPD.

A ANPD disponibiliza canal para denúncias e petições relacionadas à LGPD.

6. Avalie ação judicial

A ação judicial pode pedir:

  • exclusão dos dados;
  • informação sobre origem e compartilhamento;
  • obrigação de parar contato;
  • indenização por dano moral;
  • indenização por dano material, se houver;
  • tutela de urgência;
  • declaração de ilegalidade do tratamento;
  • responsabilização solidária entre empresas envolvidas.

Quando cabe indenização por venda ilegal de dados?

A indenização pode ser discutida quando há:

  • disponibilização indevida de dados a terceiros;
  • venda de informações pessoais sem base legal;
  • uso comercial sem consentimento válido;
  • ausência de comunicação ao titular;
  • recusa de informar origem dos dados;
  • dados sensíveis envolvidos;
  • golpes ou fraudes decorrentes dos dados;
  • dano moral presumido em situação semelhante à reconhecida pelo STJ;
  • dano material comprovado;
  • insistência em telemarketing abusivo;
  • exposição de perfil financeiro;
  • violação de direitos de personalidade.

O precedente do STJ de setembro de 2025 fortalece pedidos quando houver disponibilização indevida de informações pessoais em banco de dados para terceiros, sem comunicação prévia e sem consentimento.

Preciso provar prejuízo para pedir indenização?

Depende do caso.

Após o precedente de setembro de 2025, há forte argumento para dano moral presumido quando houver disponibilização indevida de dados pessoais armazenados em banco de dados para terceiros, sem comunicação prévia e sem consentimento.

Mas a jurisprudência não deve ser aplicada de forma automática para qualquer uso de dados. Em fevereiro de 2026, o STJ divulgou entendimento em contexto de cadastro positivo afirmando que a disponibilização não autorizada de dados pessoais não sensíveis não gerou dano moral presumido naquele caso.

Por isso, a melhor estratégia é sempre reunir provas de:

  • divulgação indevida;
  • ausência de consentimento;
  • falta de comunicação;
  • finalidade comercial;
  • compartilhamento com terceiros;
  • mensagens ou ligações recebidas;
  • exposição de perfil financeiro;
  • recusa de resposta;
  • fraude ou prejuízo decorrente.

Quanto mais concreta a violação, mais forte o pedido.

Exemplos de casos com potencial de ação

1. Consumidor recebe ofertas de crédito de empresas desconhecidas

Se várias empresas passam a oferecer empréstimo usando nome, CPF, renda, banco ou benefício, pode haver uso de dados vendidos ou compartilhados indevidamente.

2. Aposentado recebe ligações sobre consignado

É comum que aposentados e pensionistas sejam abordados por empresas que conhecem dados do benefício. Isso pode indicar uso indevido de bases de dados pessoais.

3. Consumidor recebe marketing por WhatsApp sem consentimento

Se a empresa não comprova origem lícita do contato e base legal para o envio, o tratamento pode ser questionado.

4. Dados financeiros são disponibilizados a terceiros

Informações de score, adimplemento, inadimplência ou perfil financeiro usadas fora da finalidade de proteção ao crédito podem gerar discussão jurídica.

5. Dados vendidos resultam em golpe

Se o criminoso usa dados específicos que deveriam estar protegidos, pode haver conexão entre falha de tratamento de dados e fraude.

O que pedir na ação judicial?

Os pedidos podem variar, mas geralmente incluem:

Pedido Finalidade
Exibição de dados Saber quais dados a empresa possui
Informação sobre origem Identificar de onde vieram os dados
Informação sobre compartilhamento Saber para quem os dados foram vendidos
Exclusão ou bloqueio Parar tratamento irregular
Abstenção de contato Interromper marketing indevido
Indenização moral Reparar violação à privacidade
Indenização material Reparar prejuízo financeiro
Tutela de urgência Cessar uso imediato dos dados
Declaração de ilegalidade Reconhecer tratamento ilícito
Multa por descumprimento Garantir cumprimento da decisão

Quais provas reunir?

Prova Por que importa
Prints de SMS e WhatsApp Mostram uso indevido do contato
E-mails de marketing Demonstram prospecção
Gravações de ligações Podem provar origem e abordagem
Protocolos de descadastro Mostram tentativa de solução
Respostas da empresa Podem indicar ausência de base legal
Pedido de origem dos dados Prova exercício de direito LGPD
Prova de continuidade dos contatos Reforça abuso
Comunicação de vazamento Liga dados a incidente
Prints de plataformas Mostram dados expostos
Boletim de ocorrência Útil em caso de golpe
Comprovantes de prejuízo Demonstram dano material
Reclamação na ANPD ou Procon Mostra tentativa administrativa

Como escrever uma solicitação LGPD para a empresa

Você pode enviar algo assim:

Solicito, nos termos da Lei Geral de Proteção de Dados, a confirmação da existência de tratamento dos meus dados pessoais, o acesso aos dados armazenados, a indicação da origem desses dados, a finalidade do tratamento, a base legal utilizada, a lista de terceiros com quem meus dados foram compartilhados, bem como a exclusão, bloqueio ou anonimização de dados tratados sem base legal adequada. Solicito também a interrupção imediata de contatos comerciais por telefone, SMS, WhatsApp e e-mail, salvo se houver base legal comprovada.

Guarde protocolo e comprovante de envio.

Empresas podem comprar listas de leads?

Comprar listas de leads é uma prática de alto risco.

Uma lista de leads só é segura se a empresa comprovar:

  • origem lícita;
  • consentimento válido, quando necessário;
  • finalidade compatível;
  • transparência ao titular;
  • prova de opt-in;
  • possibilidade de descadastro;
  • contrato com fornecedor;
  • auditoria da base;
  • ausência de dados sensíveis;
  • respeito à LGPD.

Na prática, muitas listas vendidas no mercado não cumprem esses requisitos. Usar essas bases pode gerar reclamações, ações judiciais, dano reputacional e fiscalização.

O que empresas devem fazer para não virar rés em ações de LGPD?

Empresas que fazem marketing, cobrança, crédito ou prospecção devem adotar cautelas.

Checklist para empresas

Medida Objetivo
Mapear origem dos dados Saber de onde vêm as informações
Validar base legal Justificar juridicamente o tratamento
Evitar listas compradas sem prova Reduzir risco de ilegalidade
Registrar consentimento Provar autorização do titular
Informar finalidade Cumprir transparência
Permitir descadastro fácil Respeitar oposição
Auditar fornecedores Evitar corresponsabilidade
Revisar contratos Definir responsabilidades
Minimizar dados Usar só o necessário
Treinar equipe comercial Evitar abordagens abusivas
Documentar legítimo interesse Quando usado como base legal
Manter canal de direitos LGPD Atender titulares

Data brokers e golpes digitais

A venda irregular de dados não gera apenas incômodo comercial. Ela pode alimentar golpes digitais.

Criminosos usam dados comprados, vazados ou compartilhados para:

  • aplicar golpe da falsa central;
  • simular atendimento bancário;
  • oferecer empréstimo falso;
  • clonar WhatsApp;
  • criar boletos falsos;
  • abrir contas fraudulentas;
  • fazer engenharia social;
  • fraudar consignados;
  • direcionar phishing personalizado.

Quanto mais detalhado o dado, mais convincente o golpe.

Por isso, a discussão sobre data brokers se conecta diretamente a responsabilidade civil, LGPD, CDC, bancos, telecomunicações e segurança digital.

Data brokers, crianças e adolescentes

O tratamento de dados de crianças e adolescentes exige cuidado reforçado.

A LGPD prevê proteção especial para dados de crianças e adolescentes, observando seu melhor interesse. Em bases comerciais, marketing e enriquecimento cadastral, o risco jurídico é muito alto quando há dados de menores.

Empresas devem evitar segmentação comercial abusiva, compartilhamento indevido e coleta excessiva de dados de menores.

Data brokers e dados sensíveis de saúde

Dados de saúde são sensíveis.

Clínicas, laboratórios, farmácias, planos de saúde, aplicativos de bem-estar e hospitais precisam ter cuidado redobrado.

Exemplos de alto risco:

  • vender lista de pacientes;
  • compartilhar diagnósticos;
  • segmentar publicidade por doença;
  • vender dados de exames;
  • usar dados de tratamento para prospecção;
  • compartilhar dados com parceiros comerciais sem base adequada.

Esse tipo de violação pode gerar indenizações mais robustas, porque envolve intimidade e risco de discriminação.

Perguntas frequentes sobre data brokers e venda ilegal de dados

1. O que é data broker?

É uma empresa ou agente que coleta, organiza, enriquece e comercializa dados pessoais para finalidades como marketing, crédito, cobrança, análise de risco e prospecção.

2. Data broker é ilegal?

Não necessariamente. O problema é tratar ou vender dados sem base legal, transparência, finalidade legítima, segurança e respeito aos direitos do titular.

3. Serasa foi proibida de vender dados?

A Justiça do Distrito Federal suspendeu a comercialização de dados pessoais por meio dos produtos “Lista Online” e “Prospecção de Clientes”, e o TJDFT manteve a liminar.

4. O que eram Lista Online e Prospecção de Clientes?

Eram produtos atribuídos à Serasa que, segundo o MPDFT, permitiam comercialização de dados pessoais para finalidades comerciais e de prospecção.

5. Venda de dados pessoais sem consentimento gera indenização?

Pode gerar. Em setembro de 2025, o STJ decidiu que a disponibilização indevida de dados pessoais em banco de dados para terceiros, sem comunicação prévia e sem consentimento, gera dano moral presumido.

6. Preciso provar prejuízo?

Depende. O precedente de setembro de 2025 reconheceu dano moral presumido naquele contexto, mas há decisões que exigem análise concreta, especialmente em dados não sensíveis e cadastro positivo.

7. Recebo muitas ligações de telemarketing. Isso viola a LGPD?

Pode violar se a empresa não tiver base legal para usar seus dados, não informar origem, não permitir oposição ou usar dados comprados irregularmente.

8. WhatsApp marketing sem consentimento é ilegal?

Pode ser ilegal quando não há base legal válida, transparência, identificação da empresa e opção real de descadastro.

9. Posso pedir para saber de onde tiraram meus dados?

Sim. Pela LGPD, você pode pedir acesso, origem, finalidade e informações sobre compartilhamento.

10. Posso pedir exclusão dos meus dados?

Pode pedir exclusão, bloqueio ou anonimização quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a LGPD.

11. Empresa pode alegar legítimo interesse para tudo?

Não. Legítimo interesse exige finalidade legítima, necessidade, transparência e respeito aos direitos do titular.

12. Dados de score podem ser vendidos para marketing?

Essa prática é altamente questionável quando sai da finalidade de proteção ao crédito e passa a ser usada para prospecção comercial sem transparência.

13. Dados sensíveis podem ser vendidos?

Em regra, é uma prática de altíssimo risco jurídico. Dados sensíveis exigem base legal mais rigorosa e proteção reforçada.

14. Posso reclamar na ANPD?

Sim. A ANPD recebe denúncias e petições de titulares relacionadas a violações da LGPD.

15. Posso processar uma empresa que comprou meus dados?

Pode ser possível, especialmente se ela usou seus dados sem base legal, enviou marketing abusivo, se recusou a informar origem ou causou dano.

16. Posso processar quem vendeu meus dados?

Pode ser possível, se houver prova de disponibilização indevida ou tratamento irregular.

17. Quais provas preciso?

Prints, mensagens, e-mails, protocolos, gravações, respostas das empresas, pedidos LGPD, reclamações administrativas e prova de eventual golpe ou prejuízo.

18. Comprar lista de leads é seguro para empresas?

É arriscado. A empresa precisa comprovar origem lícita, base legal, consentimento quando necessário e transparência com o titular.

19. Data brokers alimentam golpes digitais?

Podem alimentar, porque dados pessoais detalhados tornam golpes muito mais convincentes.

20. Quando procurar advogado?

Quando seus dados foram vendidos, usados sem autorização, repassados a terceiros, usados em golpes, marketing abusivo, telemarketing insistente ou quando a empresa se recusa a informar a origem dos dados.

Conclusão

O mercado de data brokers tornou dados pessoais uma matéria-prima valiosa. Nome, CPF, telefone, endereço, perfil financeiro, score, hábitos de consumo e informações familiares podem ser usados para marketing, crédito, cobrança e prospecção. Mas a LGPD impõe limites claros: dados pessoais não podem ser coletados, enriquecidos, vendidos ou compartilhados sem base legal, transparência e respeito aos direitos do titular.

O caso Serasa mostrou que a Justiça brasileira está disposta a controlar a comercialização abusiva de dados pessoais em larga escala. O precedente do STJ de setembro de 2025 fortaleceu ainda mais os titulares ao reconhecer dano moral presumido em caso de disponibilização indevida de informações pessoais em banco de dados para terceiros, sem comunicação prévia e sem consentimento.

Para consumidores, o caminho é pedir a origem dos dados, exigir acesso, solicitar exclusão, guardar provas e avaliar indenização quando houver disponibilização indevida, uso comercial abusivo ou dano concreto.

Para empresas, o alerta é claro: comprar listas, enriquecer cadastros e compartilhar dados sem governança pode gerar ações judiciais, condenações, sanções administrativas e dano reputacional.

Recebe ligações, SMS ou WhatsApp de empresas que parecem saber seus dados pessoais sem autorização? Peça a origem dos dados, guarde prints e protocolos, solicite exclusão pela LGPD e avalie se houve venda ilegal de dados. Uma análise jurídica pode indicar se cabe indenização por uso indevido, disponibilização a terceiros ou violação da sua privacidade.

/por
Talvez você goste dos artigos
Pensão por morte: quem tem direito e como requerer em 2026Pensão por morte: quem tem direito e como requerer em 2026
Assédio moral no trabalho: como provar e processar o empregadorAssédio moral no trabalho: como provar e processar o empregador
Portabilidade de plano de saúde: cuidados com doença preexistente, falso coletivo e revisão de reajustes abusivosPortabilidade de plano de saúde: cuidados com doença preexistente, falso coletivo e revisão de reajustes abusivos
Pós-golpe financeiro: por que correntistas, aposentados e empresas não devem assumir empréstimos antes da apuração da fraudePós-golpe financeiro: por que correntistas, aposentados e empresas não devem assumir empréstimos antes da apuração da fraude
Venda casada e cobranças embutidas em contratos bancários: como identificar seguros e serviços não autorizados em financiamentos, empréstimos e cédulas de crédito bancárioVenda casada e cobranças embutidas em contratos bancários: como identificar seguros e serviços não autorizados em financiamentos, empréstimos e cédulas de crédito bancário
o banco pode retaliar quem ajuíza ação revisional?O banco pode retaliar quem ajuíza ação revisional?
Rescisão indireta: o que é, quando pedir e como calcular em 2026Rescisão indireta: o que é, quando pedir e como calcular em 2026
Cheque especial cancelado ou reduzido sem aviso: o que isso gera, como provar os prejuízos e quando pedir o restabelecimento do créditoCheque especial cancelado ou reduzido sem aviso: o que isso gera, como provar os prejuízos e quando pedir o restabelecimento do crédito

Gutemberg Amorim Sociedade Individual de Advocacia

CNPJ nº 53.659.853/0001-04

OAB GO/33.567

Contato

  • contato@gutembergamorim.com.br
  • (62) 62 8159-3736
    (62) 98175-1315
  • Rua 3, 1022, Ed. West Office, Setor Oeste, Goiânia - GO, 74.115-050.
    Ver no mapa

Acesso rápido

Sobre nós
Guias e E-Books
Áreas de Atuação
Blog
Diagnósticos Jurídicos
Atendimento
FAQ
Política de Privacidade

Redes Sociais

Golpes bancários e LGPD: banco falhou, banco paga?Golpes bancários e LGPD: banco falhou, banco paga?LGPD + IA: decisões automatizadas e discriminação algorítmica — o direito de revisão no art. 20 da LGPDLGPD + IA: decisões automatizadas e discriminação algorítmica — o direito...
// CODIGO PARA IDENTIFICACAO DE LINK DO DIAGNOSTICO - Sao 2 partes do codigo esse aqui e no Widget