Categorias
Artigos

Empresas gestoras de banco de dados do cadastro positivo: responsabilidades legais

Ericson M. Scorsim. Advogado e Consultor no Direito da Comunicação. Doutor em Direito pela USP. Sócio fundador do Escritório Meister Scorsim Advocacia.

A legislação brasileira autorizou o funcionamento de empresas gestoras do banco de dados do cadastro positivo.  Primeiro, a Lei n. 12.414/2001 criou o cadastro positivo, o qual requeria apenas autorização prévia das pessoas físicas ou jurídicas para a abertura do cadastro, modelo denominado opção de entrada (opt-in).  Posteriormente, a Lei Complementar n. 166, de 9 de julho de 2019, tornou a inclusão obrigatória no cadastro positivo (modelo opt-out). Assim, no novo formato, no cadastro positivo dados de todas as pessoas são incluídas no banco de dados, e disponibilizadas automaticamente por nota ou pontuação de crédito administradas por bureaus de crédito. Assim, se a pessoa não quiser fazer parte deste cadastro de optar por sair.

O cadastro positivo é um banco de dados organizado por empresas especialistas na avaliação do risco de crédito para empresas e pessoas físicas, mediante o histórico do comportamento financeiro das pessoas. Assim, com a Lei Complementar n. 166/2019 tornou-se automática a adesão ao cadastro positivo. Há a expectativas de que o número do banco de dados do cadastro positivo alcance mais de 130 milhões de pessoas, sendo que o número atual está delimitado a 10 milhões de pessoas.  A obrigatoriedade do cadastro positivo foi objeto de questionamento entre entidades de classe. Um dos pontos em debate foi a privacidade dos dados, diante dos riscos quanto à coleta de dados de pessoas jurídicas e naturais. Em defesa da medida legislativa, as empresas de crédito argumentam que o cadastro positivo contribuirá para a redução de juros no País.  Apesar da adesão automática ao banco de dados positivo, a lei garante o direito à manifestação do desinteresse da inclusão de seu nome do respectivo cadastro positivo. É possível o questionamento da constitucionalidade da Lei do Cadastro Positivo, na forma da LC n. 166/2019, diante de possível ofensa ao direito fundamental à privacidade e ao sigilo de dados financeiros.

Este banco de dados serve para avaliar o histórico de crédito de pessoas naturais e pessoas jurídicas, especialmente o cumprimento das obrigações, para fins de concessão de crédito, realização de venda a prazo e outras transações comerciais.  O histórico de crédito é constituído pelo conjunto de dados financeiros e de pagamentos integrados pela data da concessão do crédito ou assunção da obrigação de pagamento, o valor do crédito concedido ou da obrigação de pagamento assumidas, valores devidos das prestações ou obrigações, com indicação das datas de vencimento e valores pagos integral ou parcialmente, das prestações ou obrigações, com indicação das datas de pagamento. Assim, dados de contas recorrentes de consumo, tais como: luz, água, gás, serviços de telefonia e internet e TV por assinatura, são pontuados no ranking de crédito.

Não podem ser utilizadas informações pessoais que não estejam vinculadas à análise de crédito, tais como: origem social e étnica, saúde, informação genética, sexo, convicções políticas, religiosas e filosóficas, pessoas  que não tenham com o cadastrado relação de parentesco de primeiro grau ou de dependência econômica e relacionadas ao exercício regular de direito.

O gestor do banco de dados é o responsável pela administração, coleta, armazenamento, análise e acesso de terceiros aos dados armazenados.  As fontes do banco de dados são empresas que administrem operações de autofinanciamento ou venda a prazo ou transações comerciais que impliquem risco financeiro, inclusive aquelas autorizadas pelo Banco Central do Brasil e os prestadores de serviços contínuos como água, esgoto, eletricidade, gás, telecomunicações e assemelhados.  Assim, as fontes de dados devem apresentar ao gestor o conjunto das informações financeiras. É possível o compartilhamento de informações entre empresas gestoras de banco de dados.

A empresa gestora de banco de dados deve demonstrar a existência de patrimônio líquido mínimo de R$ 100.000.000,00 (cem milhões de reais).[1] Além disto,  a empresa deve atestar a disponibilidade de plataforma tecnológica capaz de preservar a integridade e o sigilo dos dados armazenados, com a identificação das melhores práticas de segurança da informação, com a previsão de medidas para recuperação de informações nas hipóteses de acidentes e/ou desastres, bem como certificação técnica emitida por empresa qualificada independente, bem como plano de prevenção de vazamento dados e controle de acesso privilegiado. O gestor de banco de dados é o responsável pela garantia do sigilo das informações sobre os dados financeiros.

Os gestores do banco de dados não se sujeitam à legislação aplicável às instituições financeiras e às demais instituições autorizadas a funcionar pelo Banco Central do Brasil, especialmente em relação ao processo administrativo sancionador, regime de administração especial temporária, intervenção e liquidação judicial.[2]

Mas, os gestores de banco de dados se submetem ao Código de Defesa do Consumidor.

Assim, banco de dados, a fonte e consulente são responsáveis, objetiva e solidariamente, por danos materiais e morais que causarem ao cadastrado, conforme Código de Defesa do Consumidor.

O gestor deve proceder automaticamente ao cancelamento a pedido de pessoa natural ou jurídica que tenha manifestado o interesse em não ter aberto cadastro em seu nome. O pedido de cancelamento de cadastro implica a impossibilidade de utilização das informações do histórico de crédito pelos gestores, inclusive para fins de composição de nota ou pontuação de crédito.[3]

O Decreto n. 9.936, de 24 de julho de 2019, define os procedimentos na hipótese de vazamento de informações, atribuindo responsabilidades à Autoridade Nacional de Proteção de Dados quando o fato envolver fornecimento de dados de pessoas naturais, o Banco Central do Brasil quando se tratar de ocorrência relativa a dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil e à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública quando o caso envolver o fornecimento de dados de consumidores.

O Banco Central do Brasil já autorizou as quatro principais empresas de banco de dados  a receber instituições financeiras. A comunicação é estabelecida através de uma central interbancária para troca de informações. Por sua vez, em relação às empresas de telecomunicações, há a negociação para se estabelecer um canal de comunicação similar ao das instituições financeiras.  As principais fontes de dados são representadas, portanto, por instituições financeiras, atacadistas, varejistas  e empresas de serviços continuados, tais como: energia elétrica, água, gás e telefonia.  Assim o envio de dados incorretos ou desatualizados poderá ensejar a responsabilização legal, pois as empresas fontes de dados são responsáveis pela qualidade dos dados encaminhados às empresas gestores.

Por sua vez, a Lei do Cadastro Positivo em harmonia com a Lei Geral de Proteção de Dados. Esta lei garante a proteção ao crédito, mas também o direito à proteção dos dados pessoais. Também, a Lei Geral de Proteção de Dados garante a transparência nas atividades de coleta, processamento, armazenamento de dados. Assim, as empresas que não cumprirem com as regras e prazos podem sofrem as sanções legais. Destaque-se que a Lei Geral de Proteção de Dados somente entrará em vigor  em agosto de 2020.

Em síntese, a Lei do Cadastro Positivo representa significativo avanço para o mercado de crédito, tanto para empresas quanto para os consumidores finais. Sua aplicação na prática ensejará algumas controvérsias quanto à questão da proteção da privacidade dos dados, bem como em relação à interpretação diante da Lei. Assim, deve ser adotados mecanismos fortes de segurança dos dados para evitar o risco de vazamento de informações financeiras de empresas e consumidores.

[1] Decreto n. 9.936/2019.

[2] LC n. 166/2019, art. 12, §7º.

[3] LC n. 166/2019, art. 5, §7º. e §8º.