Milena Maltese Zuffo, advogada e especialista em Direito Digital e Proteção de Dados da Roncato Advogados. Artigo publicado no Estadão
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e a vigência das sanções administrativas iniciará em agosto deste ano. O mercado tem, então, procurado mais informações sobre o impacto da legislação em suas atividades e quais medidas devem ser adotadas para adequação.
A Lei é aplicável a todas as situações em que houver tratamento de dados pessoais de pessoa natural (física). Para fins de aplicação da legislação, o tratamento pode ser entendido como qualquer atividade realizada com os dados pessoais (desde a coleta até o armazenamento). Os dados pessoais são informações relacionadas a uma pessoa natural que a identifiquem ou possam identificá-la. Portanto, a LGPD tem amplo alcance e deve impactar diversas operações dentro de uma empresa, que vão desde o controle de entrada de funcionários e convidados nos prédios, passam pelas relações trabalhistas e também atingem as relações com clientes.
Um dos pontos de preocupação nas empresas é a eventual mudança provocada pela LGPD na atividade de pesquisa de análise de crédito. A questão que se coloca é quanto à possibilidade de utilização desse tipo de informação. Ao mesmo tempo, os titulares de dados pessoais também têm questionado em quais situações esses dados poderão ser utilizados.
A análise de crédito ou a gestão do risco de crédito são atividades incorporadas ao dia a dia da maior parte das empresas, especialmente daquelas que lidam diretamente com o consumidor final. O tratamento de informações quanto ao crédito pode ocorrer no âmbito das instituições financeiras (solicitação de financiamento ou liberação de cartão de crédito), mas também é realizado por estabelecimentos comerciais. É uma segurança para essas empresas que vão receber o valor devido pelo consumidor.
Cada organização tem o seu próprio procedimento para realizar a análise de crédito, mas, normalmente, todas solicitam os dados pessoais do titular (como CPF, profissão, telefone, renda, endereço) e, a partir desses dados, é possível realizar algumas pesquisas para identificar restrições cadastrais. As pesquisas são realizadas perante os órgãos de proteção ao crédito, que, além de informar possíveis restrições, também revelam o cadastro positivo do consumidor e possibilitam uma melhor compreensão do risco de inadimplência.
Tanto a lista de restrições quanto os dados de cadastro positivo são bancos de dados oferecidos no mercado e cujo uso tem, naturalmente, preocupado tanto as empresas quanto os consumidores. Afinal, após a entrada em vigor da LGPD, órgãos de proteção ao crédito podem manter esse tipo de banco de dados? Minha empresa pode continuar consultando esses bancos de dados?
As preocupações são válidas quando consideramos que, com o advento da LGPD, todos os que realizam tratamento de dados pessoais devem se preocupar – ao menos – com a forma como aqueles dados foram coletados, se havia base legal para a coleta e a forma como aquele banco deve ser utilizado. Assim, ao utilizar um banco de dados de terceiros, as empresas devem se preocupar com a legalidade da sua formação.
O cadastro negativo de consumidores é um banco de dados previsto no próprio Código de Defesa do Consumidor (CDC) que, inclusive, considera as prestadoras de serviços de proteção ao crédito como entidades de caráter público. O CDC prevê alguns requisitos para a negativação, como a necessidade de notificar o consumidor sobre o cadastro. Esse cadastro é tido como um direito do credor e, por isso, não depende do consentimento do consumidor. Nesse sentido, é importante destacar que a LGPD prevê a possibilidade de tratamento de dados pessoais com o objetivo de proteção ao crédito.
Já o cadastro positivo é um banco de dados que contém o histórico de pagamentos do consumidor (como valor da compra, total de parcelas, valor dos pagamentos, etc.). Esse banco é regulado pela Lei n. 12.414/2011 (Lei do Cadastro Positivo), que sofreu diversas modificações em 2019, dentre as quais a mais relevante foi a exclusão da previsão de que abertura de cadastro só poderia ser realizada mediante consentimento informado do potencial cadastrado (em conformidade com o CDC).
A alteração gerou diversas discussões teóricas sobre a validade da alteração frente à LGPD, sendo certo que a modificação continua a produzir efeitos normalmente até o momento. Na nova redação, os gestores dos bancos de dados estão autorizados a abrir cadastro em banco de dados com informações de adimplemento, fazer anotações no cadastro e compartilhar essas informações/disponibilizá-las a consulentes. Apenas o tratamento do histórico de crédito prevê a expressa necessidade de autorização específica do cadastrado.
Os titulares de dados ainda possuem diversos direitos (que se somam aos direitos especificados na LGPD) frente aos gestores de banco de dados de cadastro positivo. Os cadastrados podem solicitar o cancelamento da inscrição a qualquer tempo, momento a partir do qual as informações relacionadas ao “histórico de bom pagador” não poderão mais ser utilizadas.
Portanto, observadas as particularidades de cada base de dados, tanto as listas de cadastro negativo, quanto as listas de cadastro positivo continuam a ser legais frente à LGPD. Resta, nesse sentido, a dúvida sobre os cuidados que as empresas devem tomar ao utilizarem essas informações disponibilizadas pelos birôs de crédito.
Em regra, as empresas não deverão necessitar do consentimento expresso dos titulares para conferir dados disponibilizados em bancos de cadastro negativo e positivo porque a maior parte das atividades de tratamento poderão encontrar a justificativa legal de proteção ao crédito. Isso não dispensa, contudo, a verificação de base legal de cada atividade, consideradas suas peculiaridades.
No entanto, a identificação de uma base legal para o tratamento não é o único requisito da LGPD: as empresas também devem se preocupar em observar os chamados princípios gerais de proteção e os direitos dos titulares. Nesse contexto, ao utilizar os bancos do cadastro positivo e negativo, é necessário haver uma finalidade para o tratamento e uma necessidade concreta para utilização daqueles dados (a lei veda o uso de dados em excesso, por exemplo).
Também não será possível utilizar os dados de forma discriminatória ou para fins abusivos. Ainda, caso questionada, a empresa é obrigada a confirmar a existência do tratamento e garantir o amplo acesso do titular para obter informações sobre o tratamento de seus dados pessoais.
Portanto, ainda que as bases de dados do cadastro positivo e negativo sejam legais, a partir da entrada em vigor da LGPD, as empresas passaram a ter um dever de cuidado sobre como utilizar esses dados, garantindo não apenas que haja um motivo específico para a realização do tratamento e que todos os princípios gerais de proteção de dados estão sendo observados, mas que os direitos dos titulares foram observados durante toda a atividade realizada com aqueles dados.
Por fim, considerando as sanções administrativas e a possibilidade de investigação pelos órgãos competentes (como o Procon ou a Autoridade Nacional de Proteção de Dados), é fortemente recomendado que as empresas se organizem em relação ao tratamento de dados que realizam, mantendo registro das atividades que comprovem a observância da LGPD durante todo o tratamento.