Blog

Cadastro Positivo Brasileiro e o Direito ao Livre Consentimento

Escrito por

2 de abril de 2018

O começo de 2018 tem presenciado fortes debates sobre privacidade e proteção de dados pessoais dos cidadãos dos EUA e Europa, principalmente devido ao escândalo da Cambridge Analytica e o Facebook, e à entrada em vigor da nova regulação europeia denominada General Data Protection Regulation  (GDPR).

Desse modo, era de se esperar que os constantes casos de violação de privacidade e dados pessoais – quer por meio de práticas abusivas de empresas, quer por meio de vazamentos de dados, como no recente caso da Equifax que afetou 143 milhões de consumidores estadunidenses – contribuíssem para que o debate no Brasil sobre a aprovação de uma lei de tratamento de dados pessoais (PL 5.276/2016) estivesse progredindo de forma mais consistente. Contudo, parece que estamos indo no sentido contrário ao se analisar o Projeto de Lei Complementar 441/2017, o qual reforma a Lei do Cadastro Positivo (12.414/2011) e modifica regras de sigilo bancário.

Conforme nota lançada pela Coalização de Direitos da Rede, da qual o IRIS também é signatário, o PLC 441/2017 promove 3 grandes alterações na legislação vigente, sendo as duas primeiras relacionadas com o conceito de consentimento do cidadão, o qual será o tema principal desse texto, e uma que extingue a responsabilidade solidária entre banco de dados, a fonte e o consulente .

A primeira alteração busca autorizar a inclusão automática de todos os brasileiros adultos e economicamente ativos nas bases de dados de “bons pagadores” da Serasa, Boa Vista e da Gestora de Inteligência de Crédito (birô de crédito formado pelos cinco maiores bancos que operam no Brasil). Assim, quando se utiliza a palavra “automática” entende-se a inclusão de diversos dados dos cidadãos brasileiros, sem o seu consentimento prévio, como nos casos de nome, filiação, endereço, CPF; informações de pagamento de serviços públicos (água, luz, telefonia, etc); e informações financeiras (transações bancárias, número de cartões de crédito, títulos protestados, utilização de cheques especiais e empréstimos.)

Assim a reforma alteraria o atual regime do cadastro positivo, que exige o consentimento prévio para que o consumidor seja incluído em um banco de dados de crédito (art. 4º, da Lei nº 12.414/2012), para um modelo de opt-out, que incluiria o consumidor automaticamente no cadastro. Assim, deve o gestor do banco de dados informar o consumidor sobre o cadastramento, e permitir com que ele opte, caso deseje, pela retirada de seus dados a qualquer tempo, art 2º, do PLC 441/2017.

Quanto à segunda alteração, o PLC busca modificar a lei do sigilo bancário para seja possível o livre compartilhamento de informações financeiras entre os birôs de crédito, sem o consentimento dos consumidores envolvidos. Assim, esclarece a nota da Coalizão, dados sobre movimentações de conta bancária e pagamentos feitos com cartão de débito poderiam ser trocados entre instituições a fim de se formar uma pontuação de crédito do consumidor.

Por outro lado, deve-se destacar que, na visão do Executivo, o PLC almeja reduzir o spread bancário, aumentar a inclusão financeira, mitigar os custos de transação e os riscos de seleção adversa a que se submete o mercado de crédito, conforme expõe Arruda e Franco.

A não exigência de consentimento prévio acaba por contrariar um dos pilares da proteção de dados pessoais da atualidade. Isto porque o consentimento tem sido considerado um dos requisitos básicos para que haja um mínimo de proteção aos direitos dos cidadãos. Uma das possíveis interpretações da ideia de “consentimento” baseia-se no fato de que os dados pessoais de um indivíduo não são uma mera commodity que pode ser utilizada de qualquer forma por um terceiro, mas sim que estes dados integram a personalidade do cidadão, devendo ele, portanto, ter um mínimo de controle sobre “se” e “como” eles serão utilizados.

Este princípio, apesar de limitado ao contexto do usuário de internet, é expresso na nossa legislação pelo Marco Civil da Internet, que o garante como um dos direitos fundamentais do usuário de internet, conforme o art. 7º, VIII:

“Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

[…]

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;” (grifo nosso)

Embora os dados de interesse dos bancos de créditos não sejam, necessariamente, coletados, por meio de aplicações na internet, a mesma lógica de proteção se aplica aos dois casos.

Nesse sentido, também é interessante destacar o tratamento dado pela GDPR ao consentimento dos cidadãos europeus para o tratamento de dados pessoais coletados ou não pela internet:

“Artigo 4º – Definições

[…]

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”

e

“Artigo 7º – Condições aplicáveis ao consentimento

  1.   Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

  2.   Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

  3.   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. […]” (grifo nosso)

Conforme se verifica nas definições legais, o termo “consentimento” vem acompanhado de adjetivos com significados amplos como “livre’, “expresso”,  e “informado”, entre outros, que são objeto de intensa discussão jurídica. Apesar das dificuldades, essas discussões devem buscar garantir a proteção do cidadão e, ao mesmo tempo, a segurança jurídica para que inovações e novos modelos de negócio, baseados no tratamento de dados pessoas, desenvolvam-se.

Entretanto não foi o que ocorreu na discussão do PLC 441/2017, que suprimiu qualquer debate quanto à necessidade de proteção dos dados pessoais do consumidor. Conforme expôs o pesquisador e advogado Rafael Zanatta:

“Esse projeto tramitou de forma obscura, sem passar por nenhuma comissão de direitos dos consumidores. Foi costurado entre bancos, birôs, parlamentares e a equipe econômica do governo Temer. A proposta não garante direitos básicos aos consumidores e traz mudanças lesivas, que têm sido amplamente denunciadas pelo Idec [Instituto Brasileiro de Defesa do Consumidor”

Desse modo, o que se busca não é a eliminação de qualquer forma de uso de dados pessoais por empresas ou novos modelos de negócios, mas sim que o legislativo seja transparente e convide ao debate todos os atingidos pela reforma. Afinal, é de interesse da sociedade que o uso de dados pessoais permita novos serviços e facilidades ao consumidor, mas que também sejam garantidos os direitos à privacidade e à proteção dos cidadãos.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Escrito por

Pesquisador do Instituto de Referência em Internet e Sociedade, graduando em direito na Universidade Federal de Minas Gerais (UFMG). Cursou dois anos de ciência política na Universidade de Brasília. Membro do GNet. Foi membro da Clínica de Direitos Humanos (CDH) e da Assessoria Jurídica Universitária Popular (AJUP), ambos da UFMG.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *