Cadastro Positivo Brasileiro e o Direito ao Livre Consentimento

O começo de 2018 tem presenciado fortes debates sobre privacidade e proteção de dados pessoais dos cidadãos dos EUA e Europa, principalmente devido ao escândalo da Cambridge Analytica e o Facebook, e à entrada em vigor da nova regulação europeia denominada General Data Protection Regulation  (GDPR).

Desse modo, era de se esperar que os constantes casos de violação de privacidade e dados pessoais – quer por meio de práticas abusivas de empresas, quer por meio de vazamentos de dados, como no recente caso da Equifax que afetou 143 milhões de consumidores estadunidenses – contribuíssem para que o debate no Brasil sobre a aprovação de uma lei de tratamento de dados pessoais (PL 5.276/2016) estivesse progredindo de forma mais consistente. Contudo, parece que estamos indo no sentido contrário ao se analisar o Projeto de Lei Complementar 441/2017, o qual reforma a Lei do Cadastro Positivo (12.414/2011) e modifica regras de sigilo bancário.

Conforme nota lançada pela Coalização de Direitos da Rede, da qual o IRIS também é signatário, o PLC 441/2017 promove 3 grandes alterações na legislação vigente, sendo as duas primeiras relacionadas com o conceito de consentimento do cidadão, o qual será o tema principal desse texto, e uma que extingue a responsabilidade solidária entre banco de dados, a fonte e o consulente .

A primeira alteração busca autorizar a inclusão automática de todos os brasileiros adultos e economicamente ativos nas bases de dados de “bons pagadores” da Serasa, Boa Vista e da Gestora de Inteligência de Crédito (birô de crédito formado pelos cinco maiores bancos que operam no Brasil). Assim, quando se utiliza a palavra “automática” entende-se a inclusão de diversos dados dos cidadãos brasileiros, sem o seu consentimento prévio, como nos casos de nome, filiação, endereço, CPF; informações de pagamento de serviços públicos (água, luz, telefonia, etc); e informações financeiras (transações bancárias, número de cartões de crédito, títulos protestados, utilização de cheques especiais e empréstimos.)

Assim a reforma alteraria o atual regime do cadastro positivo, que exige o consentimento prévio para que o consumidor seja incluído em um banco de dados de crédito (art. 4º, da Lei nº 12.414/2012), para um modelo de opt-out, que incluiria o consumidor automaticamente no cadastro. Assim, deve o gestor do banco de dados informar o consumidor sobre o cadastramento, e permitir com que ele opte, caso deseje, pela retirada de seus dados a qualquer tempo, art 2º, do PLC 441/2017.

Quanto à segunda alteração, o PLC busca modificar a lei do sigilo bancário para seja possível o livre compartilhamento de informações financeiras entre os birôs de crédito, sem o consentimento dos consumidores envolvidos. Assim, esclarece a nota da Coalizão, dados sobre movimentações de conta bancária e pagamentos feitos com cartão de débito poderiam ser trocados entre instituições a fim de se formar uma pontuação de crédito do consumidor.

Por outro lado, deve-se destacar que, na visão do Executivo, o PLC almeja reduzir o spread bancário, aumentar a inclusão financeira, mitigar os custos de transação e os riscos de seleção adversa a que se submete o mercado de crédito, conforme expõe Arruda e Franco.

A não exigência de consentimento prévio acaba por contrariar um dos pilares da proteção de dados pessoais da atualidade. Isto porque o consentimento tem sido considerado um dos requisitos básicos para que haja um mínimo de proteção aos direitos dos cidadãos. Uma das possíveis interpretações da ideia de “consentimento” baseia-se no fato de que os dados pessoais de um indivíduo não são uma mera commodity que pode ser utilizada de qualquer forma por um terceiro, mas sim que estes dados integram a personalidade do cidadão, devendo ele, portanto, ter um mínimo de controle sobre “se” e “como” eles serão utilizados.

Este princípio, apesar de limitado ao contexto do usuário de internet, é expresso na nossa legislação pelo Marco Civil da Internet, que o garante como um dos direitos fundamentais do usuário de internet, conforme o art. 7º, VIII:

“Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

[…]

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;” (grifo nosso)

Embora os dados de interesse dos bancos de créditos não sejam, necessariamente, coletados, por meio de aplicações na internet, a mesma lógica de proteção se aplica aos dois casos.

Nesse sentido, também é interessante destacar o tratamento dado pela GDPR ao consentimento dos cidadãos europeus para o tratamento de dados pessoais coletados ou não pela internet:

“Artigo 4º – Definições

[…]

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”

e

“Artigo 7º – Condições aplicáveis ao consentimento

1.   Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

2.   Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

3.   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. […]” (grifo nosso)

Conforme se verifica nas definições legais, o termo “consentimento” vem acompanhado de adjetivos com significados amplos como “livre’, “expresso”,  e “informado”, entre outros, que são objeto de intensa discussão jurídica. Apesar das dificuldades, essas discussões devem buscar garantir a proteção do cidadão e, ao mesmo tempo, a segurança jurídica para que inovações e novos modelos de negócio, baseados no tratamento de dados pessoas, desenvolvam-se.

Entretanto não foi o que ocorreu na discussão do PLC 441/2017, que suprimiu qualquer debate quanto à necessidade de proteção dos dados pessoais do consumidor. Conforme expôs o pesquisador e advogado Rafael Zanatta:

“Esse projeto tramitou de forma obscura, sem passar por nenhuma comissão de direitos dos consumidores. Foi costurado entre bancos, birôs, parlamentares e a equipe econômica do governo Temer. A proposta não garante direitos básicos aos consumidores e traz mudanças lesivas, que têm sido amplamente denunciadas pelo Idec [Instituto Brasileiro de Defesa do Consumidor”

Desse modo, o que se busca não é a eliminação de qualquer forma de uso de dados pessoais por empresas ou novos modelos de negócios, mas sim que o legislativo seja transparente e convide ao debate todos os atingidos pela reforma. Afinal, é de interesse da sociedade que o uso de dados pessoais permita novos serviços e facilidades ao consumidor, mas que também sejam garantidos os direitos à privacidade e à proteção dos cidadãos.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.