A complementaridade entre a Lei do Cadastro Positivo e a Lei Geral de Proteção de Dados
Notícia nos principais jornais dessa segunda-feira, 08.04, foi a sanção pelo presidente Jair Bolsonaro da lei que altera as regras para a inclusão de consumidores no chamado cadastro positivo.
Em linhas gerais, a lei 12.414/2011 criou o chamado “cadastro positivo”, que permitia a criação de banco de dados alimentados por informações acerca do histórico e comportamento financeiro do consumidor – tais como histórico de pontualidade, inadimplência, etc. – de maneira a possibilitar a classificação do consumidor como “bom pagador”, criando-se um rating ou score que, em teoria, funcionaria para possibilitar que aos consumidores com notas mais altas, maiores as chances de obter crédito a um custo mais baixo
Ocorre que, a sistemática de funcionamento do modelo legal acima mencionado exigia a autorização prévia do usuário do titular dos dados, partindo da sistemática do que se costuma chamar de opt- in. Ou seja, o usuário deveria optar pela inserção dos seus dados em referido banco de dados. Fato é que a adesão a referidos cadastros positivos foi muito aquém do que se esperava.
A lei sancionada nessa segunda-feira, diferentemente, prevê a inserção automática dos dados dos consumidores, outorgando a estes a possibilidade de solicitar a exclusão de suas informações do banco de dados, opt-out.
A lei foi sancionada num ambiente de absoluta ebulição em relação ao tema da proteção de dados, nomeadamente em razão da Lei Geral de Proteção de Dados – sancionada em agosto de 2018 e com vacatio legis até agosto de 2020 – e que tem, já no seu art. 1º, a definição do seu objetivo principal, de proteger os direitos fundamentais de liberdade e de privacidade.
Nesse sentido, a lei do Cadastro Positivo recentemente sancionada já sofre críticas, nomeadamente por algumas entidades de proteção ao consumidor que consideram referida adesão automática como uma infração ao direito à privacidade dos consumidores, defendendo a necessidade de uma expressa autorização para referida inclusão. Ao fazerem citam principalmente o Art. 7º da LGPD que aduz expressamente que “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular.
Ocorre que, em que pese muito se fale hodiernamente sobre referida necessidade de consentimento – como se fosse o único pilar de sustentação da Proteção de Dados – esquece-se que referido artigo 7º da LGPD traz outras nove bases legais que autorizam o tratamento de dados de titulares independente do seu consentimento[1].
E precisamente o inciso X do art. 7º da LGPD parece trazer luz ao questionamento objeto do presente artigo, ao entender a possibilidade de tratamento dos dados pessoais “para a proteção do crédito”.
Não parece haver dúvidas, nesse sentido, de que há expressa autorização por parte da Lei Geral de Proteção de Dados para a instituição de Cadastros de Proteção ao Crédito, sejam eles de natureza negativa, quando o objetivo é identificar o “mau pagador”, ou positiva, quando o objetivo é identificar o “bom pagador”.
O fato de termos viabilizado o embasamento legal para a existência de referidos Cadastros Positivos não significa, no entanto, que estes estariam às margens da Lei Geral de Proteção de Dados, aliás, muito pelo contrário, o que se vislumbra é uma relação de sinergia ou complementaridade e porque não dizer, inclusive, subsunção.
Assim, ainda que a inclusão possa se dar de forma automática, estão absolutamente protegidos os direitos dos titulares, nomeadamente aqueles referenciados no art. 18 da LGPD quanto à confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados; bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei, portabilidade dos dados a outro fornecedor de serviço ou produto, etc.
É importante que fique claro, nesse sentido, que o titular do dado continua sendo a pessoa natural que, portanto, poderá, por exemplo solicitar informações sobre os dados que levaram à determinado score, até para que possa solicitar determinadas correções; também poderá solicitar eliminação e exclusão de seus dados (opt-ou), a portabilidade de referidos dados para um determinado fornecedor, dentre outros.
Da mesma forma, os princípios que regem o tratamento dos dados em geral e que estão expressamente elencados na LGPD devem ser preservados, nomeadamente quanto ao atendimento dos princípios da finalidade, da transparência, adequação, entre outros.
Parece claro, nesse sentido, que existe entre referidos diplomas normativos uma relação de sinergia e complementaridade e não de antinomia como muito vêm sendo propalado.
Nesse sentido, não nos parece que a Lei do Cadastro Positivo está a operar às margens da LGPD, pelo contrário. O que se verifica é uma verdadeira subsunção de maneira a determinar que, uma vez identificada a base legal para referido tratamento a viabilizar a criação dos Cadastros Positivos com adesão automática dos Consumidores, as instituições/empresas que operam referidos cadastros positivos passem a operar nos exatos limites do disposto pela LGPD, propiciando aos titulares dos dados a fruição de todos os direitos inseridos em referida lei.
Natália Brotto – Sócia Fundadora do Brotto Campelo Advogados. Advogada com atuação nas áreas de direito cível, empresarial e contratual. Graduada pela Universidade Federal do Paraná – UFPR, especialista em Direito Constitucional pela Academia Brasileira de Direito Constitucional – ABDCONST, pós graduada em Direito Contratual pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV, e Legal Law Master em Direito Empresarial pela ISAE/FGV. Mestranda em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV. Coordenadora da Câmara de Direito, Orientação e Prevenção da Associação Comercial do Paraná. Membro do Conselho de Direito Empresarial da OAB/PR.
[1] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.