Vazio regulatório traz insegurança jurídica e deixa tanto titulares de dados como bureaus de análise de crédito em situação de incerteza
Em (quase) pleno vigor desde o último dia 9, a Lei Complementar nº 166/19 deve impactar de forma expressiva o funcionamento do Cadastro Positivo. A principal mudança consiste no fim da exigência de consentimento prévio dos titulares de dados para seu cadastramento em bancos de dados de informações de adimplemento (Opt In): passa-se a um sistema de inclusão automática, preservado o direito do cadastrado de solicitar sua exclusão a qualquer momento (Opt Out).
A proposta de alteração, tomada originalmente como ponto prioritário da agenda econômica do governo de Michel Temer, tem sido alardeada como medida estratégica para o barateamento do crédito no Brasil em face da adesão limitada ao antigo Cadastro Positivo, vigente desde 2013.
Embora muito se tenha falado sobre seu pretendido efeito econômico, do ponto de vista da proteção de dados a mudança poderia parecer até mesmo banal: se a nova lei ainda reserva aos titulares de dados a prerrogativa de pedir a exclusão de seus cadastros, ainda lhes estaria assegurado o direito à autodeterminação informativa – a autoridade do indivíduo de determinar quando e em que medida informações relativas à sua vida privada serão disponibilizados a terceiros.
O momento no qual o consentimento poderia ser dado ou negado, portanto, seria uma questão menor e não-essencial ao assunto.
A realidade, contudo, é mais complexa: o exercício desse direito depende de uma série de garantias procedimentais que as novas regras (que, até a data de elaboração deste texto, ainda não foram regulamentadas por decreto presidencial) não fornecem.
Onde antes havia proibições expressas, agora há zonas cinzentas que, sem a devida disciplina e fiscalização, podem abrir caminho a prejuízos à privacidade de incontáveis cidadãos.
Um dos principais pontos obscuros diz respeito aos critérios para o compartilhamento de informações de adimplemento de pessoas entre diferentes bancos de dados. Na lei anterior, qualquer compartilhamento de dados só poderia ocorrer mediante aceitação prévia do cadastrado; ao mesmo tempo, caso o titular solicitasse a exclusão de seu cadastro ao gestor do banco de dados originário (i.e. aquele ao qual havia sido dado originalmente o consentimento para tratar os dados do cadastrado), este teria a obrigação de comunicar todos os bancos com os quais tivesse compartilhado as informações, e eles, por sua vez, deveriam também efetuar a exclusão.
O novo Cadastro Positivo deu fim a essa sistemática: não somente o pedido de exclusão de dados de um banco deixa de aproveitar os demais, como o gestor originário não é mais obrigado a comunicar os outros sobre o recebimento de qualquer pedido do gênero1. Cimentando a mudança, a nova lei também deu fim à responsabilidade solidária de gestores por danos gerados ao cadastrado por tratamento inadequado de dados2 – em sentido contrário ao da Lei Geral de Proteção de Dados Pessoais, sancionada em 2018, que estabeleceu responsabilidade solidária entre controladores e operadores em operações de tratamento de dados pessoais.
Em termos práticos, a mudança preocupa: embora a lei assegure formalmente aos titulares o direito potestativo a terem seus cadastros excluídos, lhes impõe também o ônus de notificar individualmente cada gestor, ao mesmo tempo em que não lhe dá meios para descobrir quais gestores mantêm cadastros positivos referentes a ele em seus bancos de dados.
Isso é um problema porque os vários bureaus podem trabalhar inclusive com padrões diferentes de proteção de dados, e a aceitação de um titular de dados em ser incluído no Cadastro Positivo de um deles não se confunde, necessariamente, com a concordância em constar do banco de dados de qualquer outro bureau.
A questão pode ter menor impacto no contexto atual do mercado brasileiro de bureaus de crédito, que conta com poucos atores e altos índices de concentração, mas pode se agravar caso venhamos a experimentar uma maior pulverização e uma multiplicação do número de bancos de dados atuantes no país.
Aos problemas relacionados às regras de compartilhamento, soma-se outra lacuna importante da nova lei: embora a disponibilização do histórico de crédito (i.e. o conjunto de informações de adimplemento) aos consulentes ainda dependa de consentimento prévio do cadastrado, tornou-se possível disponibilizar, independentemente de autorização anterior, uma nota ou pontuação de crédito, elaborada com base nessas informações.
Evidentemente, isso deixa outras questões em aberto: qual a metodologia a ser usada para composição da nota? Os gestores estarão livres para elaborar fórmulas próprias? Há limites para essa liberdade, ou mesmo parâmetros mínimos de razoabilidade a serem cumpridos?
Na falta de disposições específicas na lei ou em decreto regulamentar, o que se observa é um certo vazio regulatório, que traz insegurança jurídica e deixa tanto titulares de dados como bureaus de análise de crédito em situação de incerteza.
Há ainda outra problemática: embora a nova lei obrigue o gestor a informar de forma clara e objetiva os canais para cancelamento do cadastro3, essa obrigação não é tratada de modo especificado, e não inclui (ao menos não de modo expresso) qualquer dever de informar espontaneamente o titular sobre informações mais detalhadas relacionadas ao tratamento dos dados – políticas de privacidade, metodologias de composição de scores de crédito, entre outras.
Na prática, pode ser que os gestores procurem satisfazer essa obrigação pelo envio de uma mensagem de SMS ou e-mail em tom publicitário, indicando pontualmente os canais para cancelamento – o que, para todos os feitos, pode sujeitar os titulares a uma grave assimetria informacional, ainda que a lei obrigue os gestores a manter políticas de coleta e uso de dados pessoais disponíveis em seus websites4.
A lacuna tampouco é suficientemente preenchida pelo que dispõe a LGPD sobre o direito do titular de ter acesso facilitado às informações sobre o tratamento de seus dados pessoais. Primeiro, porque a nova lei deve entrar em vigor apenas em agosto de 2020, superada a vacatio legis; segundo, porque as informações de tratamento não incluem informações sobre as consequências práticas e riscos envolvidos no cadastramento. Um cidadão que recebe uma mensagem propagandística e permite sua inclusão no Cadastro Positivo, pensando estar facilitando seu próprio acesso ao crédito, pode não estar ciente de que como tal mecanismo funciona, ou das consequências de se receber uma pontuação baixa. Mais ainda, pode não estar ciente dos riscos e consequências à sua privacidade em razão de eventual tratamento inadequado ou inseguro de seus dados.
Por fim, a nova lei deixou de tratar de modo claro e especificado da possibilidade de uso dos chamados “dados alternativos” (aqueles que não se referem diretamente ao adimplemento ou inadimplemento de obrigações, mas que são costumeiramente empregados de forma indireta para definir os perfis de cadastrados em scores de crédito) no Cadastro Positivo. Embora o Decreto nº 7.829/12, que regulamentou a lei anterior (e que permanece em vigor), restrinja o histórico de crédito a dados financeiros e de pagamento5 (o que excluiria, a princípio, informações não-relacionadas à contração e adimplemento de obrigações), a natureza taxativa do rol pode ser colocada em dúvida e, de toda forma, a questão não foi objeto de disciplina no texto da lei.
Na prática, a possibilidade de uso desses dados fica sujeita mais balizamento por princípios (e.g. o princípio da necessidade, resguardado pela própria Lei do Cadastro Positivo6) do que por regras – o que não deixa de gerar insegurança jurídica sobre essa prática, tanto para gestores como para cadastrados.
Parte das mudanças listadas aqui só pode ser revertida por meio de lei ordinária – ou ainda, por medida provisória –, o que não se sinaliza no futuro próximo. No entanto, a Presidência da República ainda tem condições de balizar, por decreto regulamentar, algumas das insuficiências da LC nº 166/19.
Primeiro, é possível disciplinar de modo mais claro os deveres de transparência e informação que a nova lei já coloca de modo genérico (art. 7º-A, §§ 1º e 2º), inclusive impondo-lhes que, na ocasião da notificação do cadastrado, o informem de modo expresso sobre aspectos centrais do tratamento de dados (em específico, políticas de tratamento e metodologias de cálculo da nota ou pontuação de crédito), a fim de instruir sua decisão de pedir ou não o cancelamento.
Adicionalmente, o novo decreto poderia vir a impor parâmetros fundamentais de razoabilidade para a composição da nota/pontuação, assegurando certa uniformidade entre os diferentes bancos de dados atuantes no mercado brasileiro, bem como esclarecer, dentro dos limites da lei, o cabimento ou descabimento do uso de dados alternativos para composição dos scores do Cadastro Positivo.
Tão ou mais importante, contudo, é a fiscalização do cumprimento da nova lei, em harmonia com a (ainda não vigente) Lei Geral de Proteção de Dados Pessoais e com o Código de Defesa do Consumidor. Embora muitas das relações jurídicas entre cadastrados consistam em relações consumeristas (o que atrai a atuação dos órgãos do Sistema Brasileiro de Defesa do Consumidor), o órgão central nesse processo deve ser a Autoridade Nacional de Proteção de Dados, à qual cabe a atribuição de zelar pela proteção de dados pessoais7.
Em especial, a ANPD terá poder de polícia para supervisionar operações de tratamento e poder normativo para editar normas complementares, impondo deveres adicionais de cuidado e transparência e esclarecendo a legalidade ou ilegalidade de determinadas condutas no âmbito do novo Cadastro Positivo.
A falta de sincronia temporal entre os acontecimentos, no entanto, certamente atrapalha estes processos: o novo Cadastro Positivo entrou em vigor desacompanhado do necessário decreto regulamentar (embora seja possível que este venha a ser editado ainda antes da publicação deste artigo), e a LGPD deve vigorar apenas a partir de agosto de 2020.
Por outro lado, a ANPD, que enfim teve sua forma e funcionamento definidos em definitivo pela Lei nº 13.853/19, ainda deve passar por um processo de organização regimental e estabelecimento institucional para passar a funcionar de forma efetiva.
Ainda é cedo para tecer críticas ou elogios aos efeitos do novo Cadastro Positivo sobre a proteção ao crédito ou da pretendida redução do spreadbancário no País.
O que parece claro, no entanto, é que o arcabouço jurídico empregado em sua implementação está sendo ativado de forma progressiva, com normas correlatas e órgãos fiscalizadores sendo criados durante, e não anteriormente, à vigência do novo regime. Isso implica, na prática, em janelas para que as novas regras do Cadastro Positivo operem de forma incompleta e sem fiscalização efetiva, produzindo potenciais situações de insegurança jurídica e prejuízo à privacidade e à autodeterminação informativa de cadastrados.
Em todo caso, é essencial a atenção das autoridades, dos titulares de dados e da sociedade civil aos desdobramentos desse processo ao longo dos próximos tempos.
—————————————-
1 Art. 9º, § 2º “O gestor originário é responsável por manter atualizadas as informações cadastrais nos demais bancos de dados com os quais compartilhou informações, sem nenhum ônus para o cadastrado”.
2 Art. 9º, § 1º “O gestor que receber informação por meio de compartilhamento equipara-se, para todos os efeitos desta Lei, ao gestor que anotou originariamente a informação, inclusive quanto à responsabilidade por eventuais prejuízos a que der causa e ao dever de receber e processar impugnações ou cancelamentos e realizar retificações”.
3 Art. 4º, § 4º “A comunicação ao cadastrado deve (…) III – informar de maneira clara e objetiva os canais disponíveis para o cancelamento do cadastro no banco de dados”.
4 Art. 7º-A, § 1º “O gestor de banco de dados deve disponibilizar em seu sítio eletrônico, de forma clara, acessível e de fácil compreensão, a sua política de coleta e utilização de dados pessoais para fins de elaboração de análise de risco de crédito”.
5 Art. 2º “O histórico de crédito do cadastrado é composto pelo conjunto de dados financeiros e de pagamentos relativos às operações de crédito e obrigações de pagamento, adimplidas ou em andamento, necessárias para avaliar o risco financeiro do cadastrado”.
6 Art. 3º, § 1º “Para a formação do banco de dados, somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado”.
7 Art. 55-J, LGPD: “Compete à ANPD: I – zelar pela proteção dos dados pessoais, nos termos da legislação”.
VICTOR DOERING XAVIER DA SILVEIRA – Pesquisador do Centro de Ensino e Pesquisa em Inovação, da FGV Direito SP. Mestre em Direito pela Faculdade de Direito da Universidade de São Paulo, e Bacharel em Direito pela mesma instituição. Bolsista do Fundo Sasakawa de Bolsas para Líderes Jovens (SYLFF). Advogado em São Paulo.
Fonte: Jota Info