Hoje em dia, na era da sociedade da informação baseada em dados, o conhecimento do perfil do consumidor tem expressivo valor econômico no mercado, sustentando atividades de análise de risco de crédito por empresas que ou mantêm banco de dados pessoais ou consultam dados pessoais em outras fontes.
O objetivo de proteção ao crédito é uma das hipóteses autorizadas para tratamento de dados pessoais na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) e conta legislação específica, referenciada pela LGPD.
A Lei do Cadastro Positivo (Lei nº 12.414/2011) estabelece que as informações constantes dos bancos de dados têm por finalidade subsidiar a concessão de crédito, a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco financeiro e autoriza o gestor destes bancos de dados a coletar, armazenar, analisar e a permitir o cesso de terceiros às informações armazenadas.
As normas dispostas na Lei do Cadastro Positivo precisam ser harmonizadas com as da LGPD. Afinal, esta última tem a função de concretização da norma constitucional que consagra o direito fundamental à proteção de dados, de modo que, no que toca ao tratamento de dados pessoais, não observar a LGPD é violar este direito fundamental de status constitucional.
Todo tratamento de dados fundado na autorização da LGPD (base legal) para proteção ao crédito deve se voltar a uma das finalidades estabelecidas pela Lei do Cadastro Positivo e cumprir os seus requisitos. Desta forma, eventual coleta ou compartilhamento de informações pessoais para fins que não se enquadrem naqueles da lei, ou para operações que não impliquem em risco financeiro, infringe as duas Leis.
Tais cadastros também devem se limitar aos dados efetivamente adequados e necessários para o fim específico almejado dentro do contexto da proteção ao crédito, sob pena de configurar tratamento ilegal de dados.
O Superior Tribunal de Justiça – STJ já decidiu que as informações constantes destes cadastros somente podem ser prestadas se preenchidas duas condições: uma solicitação individual e ante uma necessidade de consumo (REsp. 1.758.799/MG). É vedada a disponibilização aberta dos dados, a permissão de acesso deve responder a uma solicitação individual. O descumprimento enseja responsabilização de ambos (o que fornece e o que recebe os dados) às sanções próprias da proteção de dados.
O gestor do banco de dados está autorizado a abrir cadastro do consumidor, fazer anotações, compartilhar os dados e disponibilizar a consulta sobre a pontuação de crédito decorrente da análise das informações de adimplemento; mas o histórico de crédito apenas pode ser disponibilizado mediante autorização prévia e específica do titular dos dados. E, claro, tudo sempre vinculado à finalidade específica permitida pela Lei.
Merece destaque o dever de informação do gestor do banco de dados cadastrais, tanto em relação a informações positivas, quanto negativas.
Com base na LGPD, o gestor tem o dever de informar ao cadastrado toda anotação ou atualização que fizer no cadastro, assim como as finalidades específicas, forma e duração dos tratamentos dos dados, a identidade e contato do gestor, os compartilhamentos e as responsabilidades de cada agente de tratamento envolvido.
As alegações de que os dados foram obtidos em bancos de dados públicos ou disponibilizados pelo próprio titular (p.ex., nas redes sociais) não alteram o seu dever de informação. Dispõe a LGPD que, nestes casos, embora dispensado o consentimento, subsistem todas as outras obrigações legais, especialmente quanto à observância dos princípios e direitos dos titulares dos dados.
Ambas as Leis garantem o direito de acesso do cadastrado a todas as suas informações constantes do banco de dados, incluindo os dados pessoais gerados pelas análises das informações, como a pontuação de crédito, e os critérios utilizados nas análises.
Sendo assim, o titular dos dados tem o direito de obter de qualquer gestor de banco de dados a confirmação da existência de tratamento de dados seus e a origem dos dados, o acesso a estes dados, a correção dos dados incompletos, inexatos ou desatualizados, eliminação dos dados desnecessários, bem como o direito de se opor ao tratamento de dados em desconformidade com a LGPD e o de cancelamento do seu cadastro positivo.
No julgamento já mencionado, decidiu o STJ que a inobservância dos deveres associados ao tratamento de dados do consumidor – dentre os quais, o dever de informar – faz nascer para este o direito de requerer judicialmente a cessação imediata da ofensa a seus direitos e ainda, de requerer indenização pelos danos causados.
