Autor: Ericson M. Scorsim

Advogado e Consultor em Direito da Comunicação. Doutor em Direito pela USP. Autor da Coleção Ebooks sobre Direito da Comunicação com foco em temas sobre tecnologias, internet, telecomunicações e mídias.

Categorias
Artigos

Empresas gestoras de banco de dados do cadastro positivo: responsabilidades legais

Ericson M. Scorsim. Advogado e Consultor no Direito da Comunicação. Doutor em Direito pela USP. Sócio fundador do Escritório Meister Scorsim Advocacia.

A legislação brasileira autorizou o funcionamento de empresas gestoras do banco de dados do cadastro positivo.  Primeiro, a Lei n. 12.414/2001 criou o cadastro positivo, o qual requeria apenas autorização prévia das pessoas físicas ou jurídicas para a abertura do cadastro, modelo denominado opção de entrada (opt-in).  Posteriormente, a Lei Complementar n. 166, de 9 de julho de 2019, tornou a inclusão obrigatória no cadastro positivo (modelo opt-out). Assim, no novo formato, no cadastro positivo dados de todas as pessoas são incluídas no banco de dados, e disponibilizadas automaticamente por nota ou pontuação de crédito administradas por bureaus de crédito. Assim, se a pessoa não quiser fazer parte deste cadastro de optar por sair.

O cadastro positivo é um banco de dados organizado por empresas especialistas na avaliação do risco de crédito para empresas e pessoas físicas, mediante o histórico do comportamento financeiro das pessoas. Assim, com a Lei Complementar n. 166/2019 tornou-se automática a adesão ao cadastro positivo. Há a expectativas de que o número do banco de dados do cadastro positivo alcance mais de 130 milhões de pessoas, sendo que o número atual está delimitado a 10 milhões de pessoas.  A obrigatoriedade do cadastro positivo foi objeto de questionamento entre entidades de classe. Um dos pontos em debate foi a privacidade dos dados, diante dos riscos quanto à coleta de dados de pessoas jurídicas e naturais. Em defesa da medida legislativa, as empresas de crédito argumentam que o cadastro positivo contribuirá para a redução de juros no País.  Apesar da adesão automática ao banco de dados positivo, a lei garante o direito à manifestação do desinteresse da inclusão de seu nome do respectivo cadastro positivo. É possível o questionamento da constitucionalidade da Lei do Cadastro Positivo, na forma da LC n. 166/2019, diante de possível ofensa ao direito fundamental à privacidade e ao sigilo de dados financeiros.

Este banco de dados serve para avaliar o histórico de crédito de pessoas naturais e pessoas jurídicas, especialmente o cumprimento das obrigações, para fins de concessão de crédito, realização de venda a prazo e outras transações comerciais.  O histórico de crédito é constituído pelo conjunto de dados financeiros e de pagamentos integrados pela data da concessão do crédito ou assunção da obrigação de pagamento, o valor do crédito concedido ou da obrigação de pagamento assumidas, valores devidos das prestações ou obrigações, com indicação das datas de vencimento e valores pagos integral ou parcialmente, das prestações ou obrigações, com indicação das datas de pagamento. Assim, dados de contas recorrentes de consumo, tais como: luz, água, gás, serviços de telefonia e internet e TV por assinatura, são pontuados no ranking de crédito.

Não podem ser utilizadas informações pessoais que não estejam vinculadas à análise de crédito, tais como: origem social e étnica, saúde, informação genética, sexo, convicções políticas, religiosas e filosóficas, pessoas  que não tenham com o cadastrado relação de parentesco de primeiro grau ou de dependência econômica e relacionadas ao exercício regular de direito.

O gestor do banco de dados é o responsável pela administração, coleta, armazenamento, análise e acesso de terceiros aos dados armazenados.  As fontes do banco de dados são empresas que administrem operações de autofinanciamento ou venda a prazo ou transações comerciais que impliquem risco financeiro, inclusive aquelas autorizadas pelo Banco Central do Brasil e os prestadores de serviços contínuos como água, esgoto, eletricidade, gás, telecomunicações e assemelhados.  Assim, as fontes de dados devem apresentar ao gestor o conjunto das informações financeiras. É possível o compartilhamento de informações entre empresas gestoras de banco de dados.

A empresa gestora de banco de dados deve demonstrar a existência de patrimônio líquido mínimo de R$ 100.000.000,00 (cem milhões de reais).[1] Além disto,  a empresa deve atestar a disponibilidade de plataforma tecnológica capaz de preservar a integridade e o sigilo dos dados armazenados, com a identificação das melhores práticas de segurança da informação, com a previsão de medidas para recuperação de informações nas hipóteses de acidentes e/ou desastres, bem como certificação técnica emitida por empresa qualificada independente, bem como plano de prevenção de vazamento dados e controle de acesso privilegiado. O gestor de banco de dados é o responsável pela garantia do sigilo das informações sobre os dados financeiros.

Os gestores do banco de dados não se sujeitam à legislação aplicável às instituições financeiras e às demais instituições autorizadas a funcionar pelo Banco Central do Brasil, especialmente em relação ao processo administrativo sancionador, regime de administração especial temporária, intervenção e liquidação judicial.[2]

Mas, os gestores de banco de dados se submetem ao Código de Defesa do Consumidor.

Assim, banco de dados, a fonte e consulente são responsáveis, objetiva e solidariamente, por danos materiais e morais que causarem ao cadastrado, conforme Código de Defesa do Consumidor.

O gestor deve proceder automaticamente ao cancelamento a pedido de pessoa natural ou jurídica que tenha manifestado o interesse em não ter aberto cadastro em seu nome. O pedido de cancelamento de cadastro implica a impossibilidade de utilização das informações do histórico de crédito pelos gestores, inclusive para fins de composição de nota ou pontuação de crédito.[3]

O Decreto n. 9.936, de 24 de julho de 2019, define os procedimentos na hipótese de vazamento de informações, atribuindo responsabilidades à Autoridade Nacional de Proteção de Dados quando o fato envolver fornecimento de dados de pessoas naturais, o Banco Central do Brasil quando se tratar de ocorrência relativa a dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil e à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública quando o caso envolver o fornecimento de dados de consumidores.

O Banco Central do Brasil já autorizou as quatro principais empresas de banco de dados  a receber instituições financeiras. A comunicação é estabelecida através de uma central interbancária para troca de informações. Por sua vez, em relação às empresas de telecomunicações, há a negociação para se estabelecer um canal de comunicação similar ao das instituições financeiras.  As principais fontes de dados são representadas, portanto, por instituições financeiras, atacadistas, varejistas  e empresas de serviços continuados, tais como: energia elétrica, água, gás e telefonia.  Assim o envio de dados incorretos ou desatualizados poderá ensejar a responsabilização legal, pois as empresas fontes de dados são responsáveis pela qualidade dos dados encaminhados às empresas gestores.

Por sua vez, a Lei do Cadastro Positivo em harmonia com a Lei Geral de Proteção de Dados. Esta lei garante a proteção ao crédito, mas também o direito à proteção dos dados pessoais. Também, a Lei Geral de Proteção de Dados garante a transparência nas atividades de coleta, processamento, armazenamento de dados. Assim, as empresas que não cumprirem com as regras e prazos podem sofrem as sanções legais. Destaque-se que a Lei Geral de Proteção de Dados somente entrará em vigor  em agosto de 2020.

Em síntese, a Lei do Cadastro Positivo representa significativo avanço para o mercado de crédito, tanto para empresas quanto para os consumidores finais. Sua aplicação na prática ensejará algumas controvérsias quanto à questão da proteção da privacidade dos dados, bem como em relação à interpretação diante da Lei. Assim, deve ser adotados mecanismos fortes de segurança dos dados para evitar o risco de vazamento de informações financeiras de empresas e consumidores.

[1] Decreto n. 9.936/2019.

[2] LC n. 166/2019, art. 12, §7º.

[3] LC n. 166/2019, art. 5, §7º. e §8º.

Categorias
Artigos

Autoridades de Reino Unido de proteção às infraestruturas de redes de comunicações diante de ataques cibernéticos

A cooperação entre as duas agências é fundamental para a proteção das infraestruturas essenciais do Reino Unido, diante dos riscos de ataques cibernéticos.

O Reino Unido contém uma organização pública interessante de proteção às suas infraestruturas de redes de comunicações nas hipóteses de ataques cibernéticos.

Em destaque, duas agências governamentais. A National Cyber Security Centre – NCSC, criada no ano de 2016, com a responsabilidade de compreender a natureza da segurança cibernética para fins de implementação de medidas práticas de segurança.1Assim, o objetivo é responder aos ataques cibernéticos para reduzir os dados causados às organizações públicas e privadas do Reino Unido. Também, outra finalidade é aproveitar a experiência da indústria e da academia para capacitar o Reino Unido em matéria de segurança cibernética. E o compromisso para redução de riscos nas redes públicas e privadas diante de ataques cibernéticos.Em sua criação, aproveitou-se a expertisedo centro de informações relacionado ao Government CommunicationsHeadquarters -GCHQ, órgão encarregado dos serviços de inteligência do Reino Unido, que se encontra sob a supervisão do Comitê de Segurança e Inteligência da Câmara dos Comuns. Assim, a National Cyber Security Centre (NCSC) trabalha em parceria com os órgãos de inteligência e segurança nacionais e parceiros internacionais. Igualmente, oferece informações educativas a respeito de questões de segurança cibernética, com a explicação dos riscos envolvidos na navegação na internet, utilização de aplicativos e dispositivos tecnológicos. Por outro lado, a Critical National Infrastructure é a autoridade responsável pelos setores nacionais estratégicos, entre os quais o setor de comunicações, espacial, energia e financeiro, entre outros.2 Assim, a Critical National Infrastrucutureé definida como aquela composta por ativos, serviços, sistemas ou redes, cuja perda de capacidade pode resultar no maior impacto na disponibilidade, integridade ou entrega de serviços essenciais à população, com o risco de comprometer a perda de vidas ou o risco de danos significativos à economia ou impactos sociais significativos.Significativo impacto na segurança nacional, defesa nacional ou no funcionamento do estado. Assim, a Critical National Infraestrucuture (CPNI)tem a responsabilidade de proteção às infraestrututuras nacionais críticas (suas redes, dados e sistemas) diante de ataques cibernéticos, em cooperação com o Nacional Cyber Security Centre (NCSC). A cooperação entre as duas agências é fundamental para a proteção das infraestruturas essenciais do Reino Unido, diante dos riscos de ataques cibernéticos.

_______________

1 Disponível aqui.

2 Mas, também, o Critical National Infrastructure tem responsabilidade quanto aos setores: químico, nuclear, defesa, serviços de emergência, alimentação, governamental, saúde, transporte e águas.

Artigo publicado no Portal Jurídico Migalhas em 23/08/2019.

Categorias
Artigos

A visão estratégica da União Europeia sobre a China: aspectos sobre segurança das redes 5G

O Parlamento e o Conselho Europeu apresentaram no dia 01/03/2019, declaração conjunta sobre a visão estratégica da União Européia sobre a China.

O presente texto está baseado nos principais aspectos deste ato oficial, com foco na questão da segurança cibernética nas redes 5G.

Reconhece-se que a China é o segundo parceiro comercial da União Européia, os Estados Unidos é o primeiro. Assim, é preciso identificar os desafios e oportunidades apresentados pela relação com a China.

A China é um ator global e lidera o poder tecnológico, mas diante disto, surgem grandes responsabilidades diante da ordem internacional, bem como maiores reciprocidades, práticas de não-discriminação e abertura.

Ela é um parceiro cooperador, mas também em algumas áreas forte competidor. Daí a necessidade de buscar o equilíbrio nas relações políticas e comerciais. Em futuro próximo, a China não dever ser mais vista como um país em desenvolvimento.

Medidas a serem adotadas pela UE

No âmbito da competitividade e garantia do nivelamento do nível do jogo, menciona-se as medidas a serem adotadas pela União Européia em relação aos efeitos de distorção causada pela propriedade por estados estrangeiros de empresas e o financiamento de governos estrangeiros às empresas estrangeiras que atuam no mercado europeu.

Também, da necessidade de se construir uma estratégia em matéria de inteligência artificial para incentivar a realização de investimentos, bem como uma abordagem a partir do valor central do ser humano, condição essencial para aceitação da utilização das tecnologias.

Outro tema é o fortalecimento da segurança das infraestruturas críticas e tecnologias de base. Assim, há preocupações quanto aos riscos à segurança da União Européia representados por investimentos estrangeiros em setores estratégicos da economia europeia, mediante a aquisição de ativos críticos, tecnologias e infraestruturas, bem como no fornecimento de equipamentos críticos.

Em destaque, o tema da infraestrutura digital na modalidade 5G, utilizada na prestação de serviços de comunicação móvel e sem fio.

5G tem potencial de conectar bilhões de objetos e sistemas

A rede 5G tem o potencial de conectar bilhões de objetos e sistemas, incluindo informações sensíveis e as tecnologias de informação e de comunicações. Assim, a União Européia tem inúmeros mecanismos jurídicos como o Network and Information Security Directive, o Cybersecurity Act, European Electronic Communications Code, que permitem a proteção diante de ciberataques.

A União Européia deve promover esforços multilaterais para promover o livre e seguro fluxo de dados baseado na proteção à privacidade e aos dados pessoais.

Por outro lado, a nova regulação dos investimentos estrangeiros direto entrará em vigor em abril de 2019, com efeitos a partir de novembro de 2020.

Assim, no controle de riscos à segurança cibernética causados pelos investimentos estrangeiros direitos em ativos críticos, tecnologias e infraestrutura, os estados-membros devem aplicar as regras previstas no marco regulatório do investimento estrangeiro.

Portanto, para evitar a distorção da propriedade de empresas por estados estrangeiros e financiamento estatal, a Comissão Européia deve identificar estas distorções até o fim de 2019.

Estratégia de segurança é necessária para redes 5G

Diante dos potenciais riscos à segurança em relação à infraestrutura digital, é necessário uma estratégia para segurança das redes 5G. Assim, a Comissão Européia editará uma recomendação a ser seguida pelo Conselho Europeu.

Por sua vez, quanto às ameaças à segurança causados por investimentos estrangeiros em ativos, tecnologias e infraestruturas críticas, os estados-membros devem assegurar a implementação efetiva da regulação em matéria de investimento estrangeiro direto.

Categorias
Artigos

FCC conclui leilão de frequências para serviços na tecnologia 5G

A Comissão Federal de Comunicações (FCC) dos Estados Unidos que regula o setor de telecomunicações concluiu as regras para o leilão de frequências para os serviços de comunicações, na tecnologia 5G, conforme declaração oficial.

O objetivo é flexibilizar o regime de exploração das licenças de frequências, para possibilitar os serviços de comunicação móvel na quinta geração, internet das coisas e outros serviços.

Assim, a faixa de frequências de 28 GHz é disponibilizada para os serviços de comunicação móvel.

Este leilão proporcionou receita aproximada de 700 milhões de dólares.

Em breve, a FCC, em declaração oficial de seu Presidente, lançará o leilão de frequências da faixa de 24 GHz.

Segundo a agência reguladora, a medida proporcionará maior conectividade aos consumidores norte-americanos, devido à otimização tecnológica que possibilitou a eficiência do uso dos canais de frequências do espectro. E a liberação de mais faixas de frequências à utilização comercial pelo mercado garantirá a liderança dos Estados Unidos na futura geração de serviços de conectividade 5G.