Lei do Cadastro Positivo e os princípios da LGPD

Lei do Cadastro Positivo e os princípios da LGPD

Gabriela de Ávila Machado*

11 de abril de 2020 | 07h00

Gabriela de Ávila Machado. FOTO: DIVULGAÇÃO

O cadastro positivo é uma base de dados que serve para mostrar às instituições financeiras se a pessoa é uma boa pagadora, mantendo um registro de dívidas anteriores. A partir da alteração da Lei 12.414/2011 – Lei do Cadastro Positivo (LCP), em 2019, o cadastro positivo do Serasa passou a ser automático. Os dados que estarão neste registro são dados considerados cadastrais tais como o nome, o CPF e endereço, além do histórico de pagamento e de adimplemento da pessoa, ou seja, se ela já fez empréstimos, se pagou ou está pagando, bem como seu comportamento como consumidora. A própria LCP proíbe que dados sensíveis sejam incluídos em cadastros.

Hoje, as organizações utilizam as mais diferentes bases de dados para consolidar informações e auxiliar na tomada de decisão sobre a concessão ou não de crédito. Em alguns casos, um tanto quanto inusitados, até mesmo o signo da pessoa é um dado considerado nesta composição – tratamento exagerado de dados, muitas vezes com critérios duvidosos, imprecisos, subjetivos e discriminatórios.

A Lei 13.709/2018 – Lei Geral de Proteção de Dados (LGPD), foi promulgada visando a privacidade dos dados pessoais de pessoas físicas. Isto significa dizer que as organizações não poderão mais coletar o que quiserem. Precisarão ter uma justificativa que valide o tratamento e encontrar uma base legal (o que não se limita ao consentimento) para legitimar esse tratamento. Além disso, precisarão garantir a implementação de mecanismos para assegurar a integridade e a proteção dos dados em seus sistemas e arquivos, para evitar acessos indesejados, vazamentos, sequestros de dados e outros incidentes de segurança. As penalidades pelo seu descumprimento são pesadas e podem chegar a R$ 50 milhões.

O artigo 7º da LGPD, no entanto, prevê algumas condições que possibilitam o tratamento destes dados, sendo uma delas, a proteção de crédito (art. 7, inciso X). Essa previsão possibilita que a LCP, conforme alterada, esteja em consonância com a LGPD – já que não é necessário obter o consentimento do titular para usar os dados.

Vejam, a lei brasileira é a única dentre as leis de proteção de dados pessoais no mundo que prevê essa base legal.

Há quem entenda que a presença dessa base legal é condição suficiente para autorizar a inclusão automática de todos os brasileiros no banco de dados do Cadastro Positivo. Mas há quem defenda que existe conflito entre as duas leis uma vez que a pessoa deveria ser consultada previamente à inclusão de suas informações nessa base de dados. O score de cada um será construído a partir desses dados. A partir desse score é que serão determinadas as condições de crédito que lhe serão oferecidas. Uma coisa é certa: a previsão legal não quer dizer que a finalidade tem um salvo conduto para que uma análise de crédito seja baseada em qualquer tipo de dado, coletado em qualquer base, criando um credit score com critérios aleatórios e conforme a vontade do fornecedor de produtos ou serviços.

O sistema de pontuação adota diversos dados que irão classificar comportamentos e características e concluir, com base em estatísticas, que tal comportamento ou característica representa maior ou menor chance de que a pessoa analisada se torne devedora. Algumas empresas utilizam um score próprio; outras optam por utilizar o score de modelos estatísticos já consolidados, existentes no mercado.

Mas como ficará esse sistema com a vigência da LGPD? A LGPD deixa clara a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”. Mas o que seriam “fins discriminatórios ilícitos ou abusivos”?

Alguns sistemas de pontuação de crédito têm como um de se seus critérios o endereço do consumidor. A negativa, nesse caso, baseada apenas no fato da pessoa residir em determinado bairro ou endereço não poderia ser considerada discriminatória?

Se hoje os critérios de composição do score de crédito não são questionados – embora em muitos casos sejam questionáveis-, a LGPD pode trazer a discussão à tona e impor às empresas a adoção de critérios mais claros, objetivos e isonômicos, coibindo decisões baseadas em critérios discriminatórios e nebulosos.

Ainda, inobstante a ausência da necessidade do consentimento, ambas as leis trazem dispositivos expressos que garantem determinados direitos aos titulares, tais como de informação, privacidade, acesso aos dados, retificação dos dados incorretos e exclusão de seus dados dos bancos de dados, correção de dados, cancelamento do cadastro e o acesso às informações prestadas no cadastro, assim como aos critérios considerados para a análise de risco.

Outro ponto preocupante é a previsão na LCP de que o gestor dos dados está autorizado a compartilhar informações cadastrais e de adimplementos com outros bancos de dados. No entanto, com a vigência da LGPD, essa autorização poderá resultar em compartilhamento de perfis de crédito e consumo para o direcionamento de conteúdos de marketing e oferta de produtos, o que violaria o princípio da finalidade inicial da obtenção dos dados.

A partir do momento em que o tratamento passa a ser feito para outro fim, sem o expresso e prévio consentimento de seus titulares, com o objetivo de obter vantagem econômica, podemos ver uma violação à LGPD.

A redação da Lei de Cadastro Positivo prevê que a inclusão de dados para a formação de histórico de crédito dos consumidores brasileiros é automatizada. Os dados serão tratados para gerar uma nota de crédito (score) do consumidor com base em seu histórico, o que ajudará a informar o quanto ele é “bom pagador”. Nesse sentido, importante esclarecer que ambas as leis dão ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil de crédito.

Em suma, ao garantir ao cidadão/titular dos dados seus direitos, a LGPD impõe às empresas um maior rigor e cautela em seu processo de análise de crédito e formação de credit score, que não poderá mais ser definido com base em dados de cunho discriminatório e nem com base em dados pessoais sensíveis.

O maior desafio às empresas, no entanto, será implementar mecanismos que permitam que os titulares possam exercer seus direitos. Além disso, uma gestão correta e precisa desses dados fará toda a diferença.

A Autoridade Nacional de Proteção de Dados, criada pela Medida Provisória 869/2018, transformada na Lei 13.853/2019, será a agência responsável por supervisionar e fiscalizar o efetivo cumprimento da legislação e editar normas complementares, inclusive sobre esse tema. Ainda, embora muitas das relações jurídicas dos cadastrados consistam em relações de consumo – o que atrai a atuação dos órgãos do Sistema Brasileiro de Defesa do Consumidor –, o órgão central nesse processo deve ser a própria Autoridade, responsável por zelar pela proteção de dados pessoais.

*Gabriela de Ávila Machado é advogada da área societária do Vezzi Lapolla Mesquita Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências: