O Banco Central e o Conselho Monetário Nacional (CMN) aprovaram as normas que faltavam[1] para regulamentar a Lei do Cadastro Positivo (Lei nº 12.414/11), cuja redação foi alterada pela Lei Complementar nº 166/19. Apesar da regulamentação, ainda há dúvidas sobre as implicações dessas leis para a privacidade e a segurança de dados pessoais dos cidadãos brasileiros, tema que demanda especial atenção por causa da Lei Geral de Proteção de Dados (LGPD). A interface entre a Lei do Cadastro Positivo e a LGPD, considerando seus aspectos convergentes e divergentes, é analisada neste artigo.

CONVERGÊNCIAS

Em vigor desde 9 de julho deste ano, a nova redação da Lei de Cadastro Positivo altera o sistema de inclusão de dados para a formação de histórico de crédito dos consumidores brasileiros, que passa a ser automatizada. Isso significa que o titular dos dados não precisará mais consentir expressamente com a inclusão. Os dados serão tratados para gerar uma nota de crédito (score) do consumidor com base em seu histórico, o que ajudará a informar o quanto ele é “bom pagador”.

A figura do consentimento expresso para autorizar e legitimar o tratamento de dados pessoais foi tida por muitos como regra de ouro, inclusive para a finalidade do Cadastro Positivo, de acordo com o modelo original da norma. Ocorre que, do ponto de vista prático, ter o consentimento prévio como base legal exclusiva para tratamento de dados pessoais pode acabar por inviabilizar atividades econômicas importantes.

Por esse motivo – e a exemplo do que foi feito no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR, na sigla em inglês) – o legislador atenuou o protagonismo do consentimento na LGPD ao listar, no art. 7º da lei, outras hipóteses legais para o tratamento de dados pessoais (bases legais), atrelando-as necessariamente à observância de fundamentos (art. 2º) e princípios (art. 6º). Em tais casos, o tratamento de dados pessoais sem o consentimento de seus titulares não implica necessariamente descumprimento da LGPD.

Uma dessas hipóteses legais é a proteção do crédito, estabelecida no art. 7º, X, da LGPD. Segundo esse artigo, o tratamento de dados pessoais sem consentimento do titular estaria autorizado pela LGPD tendo em vista as finalidades estabelecidas no art. 7º da Lei do Cadastro Positivo: i) realizar análise de risco de crédito do cadastrado (titular dos dados pessoais); e ii) subsidiar a concessão ou extensão do crédito e a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco ao consulente.

A Lei do Cadastro Positivo também prevê a possibilidade de exclusão das informações inseridas no cadastro mediante requerimento do cadastrado. O sistema de cadastro, portanto, deixa de ser opt-in, ao retirar a necessidade de consentimento, e passa a ser opt-out, ao permitir que o cadastrado solicite sua exclusão a qualquer momento, medida que se mostra em consonância com a LGPD.

Há outros aspectos da Lei do Cadastro Positivo que demonstram uma preocupação do legislador com os princípios da finalidade, adequação, necessidade e transparência da LGPD, como: i) a garantia aos cadastrados de que poderão requerer a correção ou o cancelamento do cadastro (art. 5º, I e III);ii) a possibilidade de acesso do cadastrado às suas informações no banco de dados (art. 5º, II); iii) a informação aos cadastrados dos critérios considerados para a análise de risco de crédito (art. 5º, IV); e iv) a necessidade de informação prévia aos cadastrados sobre a identidade do gestor responsável pelos dados e sobre o armazenamento e o objetivo do tratamento dos dados pessoais (art. 5º V), que deve estar em consonância com o cumprimento da finalidade para a qual os dados pessoais foram coletados (art. 5º VII).

DIVERGÊNCIAS

Embora a base legal do art. 7º, X, da LGPD sustente o formato de coleta de dados pessoais proposto pela nova Lei do Cadastro Positivo, não houve preocupação neste último texto legal em seguir as definições da LGPD, que, por ter caráter geral em relação às leis específicas de proteção de dados, deveria ser observada.

É o que ocorre, por exemplo, com o termo “dado pessoal sensível”, definido no art. 5º, II, da LGPD, que tem o mesmo significado da expressão “informações sensíveis”, art. 3º, § 3º, II, da Lei do Cadastro Positivo:

Dado pessoal sensível (LGPD)

Informações sensíveis (Cadastro Positivo)

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas.

Outro desencontro ocorre quanto à base legal da responsabilidade solidária do banco de dados, da fonte e do consulente por danos causados ao cadastrado. Apesar de a LGPD estabelecer expressamente a possibilidade de controladores e operadores responderem solidariamente pelos danos causados aos titulares, a nova redação da Lei do Cadastro Positivo não faz referência à LGPD, mas apenas ao Código de Defesa do Consumidor.

Além disso, a nova Lei do Cadastro Positivo apresenta algumas lacunas em seu texto em relação a como devem ser cumpridas as obrigações nela previstas, o que pode gerar confusão sobre a responsabilidade de tratamento de dados pessoais.

A primeira delas diz respeito à ausência de maiores detalhes sobre o funcionamento do canal para cancelamento do cadastro, que deve ser fornecido obrigatoriamente por todo gestor. Tampouco há informações suficientes sobre o direito do titular de ter acesso facilitado às informações sobre o tratamento de seus dados pessoais. De acordo com a LGPD, esse tratamento inclui toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Nesse sentido, apesar da Lei do Cadastro Positivo prever a obrigação de esclarecimentos sobre quais elementos e critérios serão utilizados para compor o score – o que também é uma forma de tratamento de dados – não há obrigação de fornecer informações transparentes sobre o fluxo de vida dos dados pessoais do titular.

E não só. A ausência de designação de uma única autoridade competente para fiscalização do cumprimento da Lei do Cadastro Positivo é mais um problema.

Embora muitas das relações jurídicas dos cadastrados consistam em relações de consumo – o que atrai a atuação dos órgãos do Sistema Brasileiro de Defesa do Consumidor –, o órgão central nesse processo deve ser a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar pela proteção de dados pessoais.

A figura da ANPD foi criada pela Medida Provisória nº 869/18, que recentemente foi convertida na Lei nºº13.853/19. Entre as novidades incluídas pela lei no texto da LGPD, fixou-se que as normas sobre a ANPD estão em vigor desde 28 de dezembro do ano passado, enquanto as demais disposições da LGPD passam a vigorar em agosto de 2020.

Nesse sentido, o legislador foi desatento quanto às disposições sobre a ANPD, pois poderia ter se valido delas na elaboração da Lei do Cadastro Positivo, publicada no Diário Oficial em 9 de abril deste ano.

Ainda que o novo Cadastro Positivo entre em vigor quase um ano antes da vigência da LGPD, a designação da ANPD, sem dúvida, demonstraria uma preocupação mais efetiva do legislador quanto à proteção de dados dos consumidores brasileiros no processo de formação de histórico de crédito. Mesmo assim, considerando que caberá à ANPD supervisionar operações de tratamento de dados e editar normas complementares sobre o tema, será de competência dela, provavelmente, impor medidas adicionais de cuidado e transparência para esclarecer a legalidade ou ilegalidade de determinadas condutas no âmbito do novo Cadastro Positivo.

CONCLUSÕES

Curiosamente, entre as leis que versam sobre proteção de dados pessoais no mundo, a brasileira é a única a prever a proteção ao crédito como uma de suas bases legais para o tratamento de dados.

Essa previsão possibilitou que a nova Lei do Cadastro Positivo esteja em consonância com a LGPD, já que não é mais necessário obter o consentimento do titular/cadastrado para usar os dados conforme as finalidades da lei. Sob esse aspecto, os dois textos convergem e conversam entre si.

Contudo, essa conversa poderia ser mais clara. Ainda que a LGPD não estivesse em vigor quando da publicação da nova Lei do Cadastro Positivo, esta poderia ter utilizado os conceitos da LGPD sem prejuízo algum.

Afinal de contas, o adjetivo “geral” contido na LGPD não deve ser desprezado: essa lei é a base normativa do microssistema brasileiro de proteção de dados pessoais, o que pode gerar discussões sobre o regime jurídico aplicável ao Cadastro Positivo naquilo que as duas leis conflitarem ou, de outra forma, não se harmonizarem perfeitamente.


[1] A Resolução nº 4.737 e a Circular nº 3.955 regulamentam o funcionamento do sistema para registro no Banco Central e a formação do cadastro.