prof. ronaldo lemos · 2018-06-04 · ao final do parecer, ... i. o processo legislativo em torno...
TRANSCRIPT
Prof. Ronaldo Lemos
PARECER
Cadastro Positivo de Crédito. Responsabilidade civil de operadores. Projeto de Lei que altera a Lei complementar nº 105, de 2001, e a Lei nº 12,414, de 2011. Violação à Constituição Federal e ofensa à Lei nº 12.965/2014 (Marco Civil da Internet), Lei nº 8.078/1990 (“Código de Defesa do Consumidor”), dentre outros dispositivos legais.
ANÁLISE
1. O presente parecer técnico-jurídico diz respeito á constitucionalidade, legalidade e interesse público do Projeto de Lei Complementar nº 441, de 2017, que altera a legislação vigente e dispõe sobre cadastros positivos de crédito e regula a responsabilidade civil de operadores de bancos de dados creditícios.
2. A análise formulada será realizada com base na Constituição Federal, na legislação brasileira em vigor e também levará em consideração os marcos regulatórios internacionais a respeito da proteção de dados pessoais.
3. Com o propósito de analisar o tema, o presente Parecer encontra-se estruturado da seguinte maneira: (I) a Seção I apresenta brevemente a origem e o estado da arte da tramitação do Projeto de Lei Complementar nº 441/2017, bem como o posicionamento dos principais atores envolvidos na tramitação da proposta no Congresso Nacional; (II) em sequência, na Seção II será analisada a constitucionalidade das propostas apresentadas no Projeto de Lei Complementar (“PLP”) ora em análise, visando a delimitar as condições mínimas de procedibilidade da proposta;
2
(III) na Seção III será analisada a legalidade e interesse público dos principais dispositivos do PLP nº 441/2017, com vistas a identificar aspectos que merecem ser aprimorados antes da aprovação do texto normativo; (IV) na Seção IV será apresentado o cenário de boas práticas internacionais em proteção de dados, score de crédito e tomadas de decisões automatizada.
4. Ao final do Parecer, uma breve conclusão sumariza o exposto.
I. O PROCESSO LEGISLATIVO EM TORNO DAS ALTERAÇÕES DA LEI COMPLEMENTAR Nº 105/2001 E DA LEI DO CADASTRO POSITIVO
5. O PLP nº 441/2017 (no Senado, PLS nº 212/2017),1 de iniciativa do Senador Dalírio Beber (PSDB-BA), pretende alterar (i) a Lei Complementar nº 105/2001 (“LC nº 105/2001”),2 que trata do sigilo das operações de instituições financeiras, e (ii) a Lei nº 12.414/2011 (“Lei do Cadastro Positivo”),3 que regulamenta a formação e consulta a bases de dados com informações de adimplemento.
6. Aprovada no Senado Federal, a proposta foi remetida à Câmara dos Deputados em 8 de novembro de 2017 e distribuída para avaliação por Comissão Especial, na qual tramita em regime de urgência, nos termos do art. 154 do Regimento Interno da Câmara dos Deputados (RICD).4
7. O relator da proposta na Comissão Especial, Deputado Walter Ihoshi (PSD-SP), elaborou parecer pela aprovação por meio do Substitutivo, apresentado em 18 de abril de 2018.5 Há a possibilidade de o Substitutivo ao PLP ser votado de forma iminente, motivo pelo qual este Parecer se atentará aos seus dispositivos em específico.6
8. Em linhas gerais, o texto do Substitutivo ao PLP permite a abertura de cadastros em bancos de dados com informações de adimplemento e histórico de crédito sem a prévia e expressa
1 Mais informações: http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2160860. Acesso em: 7 maio 2018. 2 Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp105.htm. Acesso em: 7 maio 2018. 3 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/L12414.htm. Acesso em: 7 maio 2018. 4 Desde 27 de março de 2018, após aprovação de requerimento nesse sentido apresentado pelo Deputado Federal Rodrigo Garcia Disponível em: http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1647767&filename=Tramitacao-PLP+441/2017. Acesso em: 7 maio 2018. 5 Disponível em: http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1653346&filename=Parecer-PLP44117-18-04-2018. Acesso em: 7 maio 2018. 6 Mais informações em: http://agenciabrasil.ebc.com.br/politica/noticia/2018-05/camara-pode-votar-amanha-projeto-que-cria-cadastro-positivo.
3
autorização do cadastrado. Especificamente, dentre as mudanças promovidas pelo Substitutivo do PLP, destacam-se as apontadas a seguir:
a. Remove a necessidade de autorização prévia e expressa para a inclusão de consumidor em banco de dados destinados à análise de crédito (arts. 2º, III; 4º, I; 5º, V);
b. Permite o compartilhamento de informações de adimplemento sem autorização prévia e estabelece para as fontes (pessoa natural ou jurídica detentora originária dos dados de adimplemento do cadastrado) uma obrigação de compartilhamento dessas informações com os gestores de bancos de dados que solicitarem (art. 4º, § 2º e art. 8º);
c. Excepciona o compartilhamento de informações destinadas a bancos de dados referentes à adimplemento e histórico de crédito dentre as hipóteses de infração ao sigilo bancário; e
d. Dispensa comunicação sobre a abertura de cadastro ao cadastrado que tenha previamente cadastro aberto (art. 4º, § 5º).
9. No debate público, diferentes entes privados defendem a inclusão automática do consumidor ao banco de dados de informações positivas, uma vez que alegadamente, com mais informações disponíveis sobre os consumidores, as instituições financeiras podem reduzir taxas de juros, o que traria benefícios à sociedade como um todo.7
10. Essa posição alega também que a aprovação do PLP resultaria na expansão do crédito, tanto para os consumidores que possuem algum débito ativo, quanto para os que não têm histórico de crédito no mercado, e que atualmente têm grandes chances de ter seu crédito negado.
11. Isso porque o objetivo do credor – quer seja um estabelecimento comercial ou uma instituição financeira – é realizar o maior número possível de vendas ou transações, a fim de que suas atividades comerciais se desenvolvam. Quanto menos informações disponíveis para o credor, menor seria a possibilidade de uma avaliação de risco correta e segura. Tal falta de
7 Mais informações em: https://www.poder360.com.br/congresso/maia-diz-a-temer-que-camara-aprova-o-cadastro-positivo-nesta-semana/; https://www.boavistaservicos.com.br/noticias/boa-vista-scpc-comemora-aprovacao-de-texto-base-no-senado-sobre-adesao-do-cadastro-positivo/; http://www.anbc.org.br/lermais_materias.php?cd_materias=28#.WvD6YKQvzct; e http://www.anfac.com.br/v3/informativos-noticias.jsp?id=1634. Acesso em: 7 maio 2018.
4
previsibilidade sobre o retorno do investimento leva o credor a conceder menos créditos para controlar possíveis prejuízos com a inadimplência, ou até mesmo a conceder crédito a juros mais altos, segundo sua capacidade de assumir risco e suportar eventual não pagamento.
12. Defende-se, por isso, que quanto mais informações disponíveis sobre o consumidor, mais eficiente se tornaria a avaliação de risco e, consequentemente, mais transações poderiam ser realizadas pelo credor, por meio de identificação mais clara do perfil dos consumidores.
13. De outro lado, porém, entidades de defesa do direito do consumidor rejeitam veemente a aprovação do PLP nº 441,8 argumentando que seria “inadmissível que o Brasil promova a ampliação das bases de cadastro positivo sem o consentimento informado dos cidadãos e sem o devido cuidado com regras de proteção de dados pessoais”.9
14. Como o Brasil não possui uma lei geral de proteção de dados pessoais, essas entidades afirmam que há pouquíssimas obrigações impostas aos birôs de crédito com relação a avaliações de impacto à privacidade, dever de cautela com o tratamento dos dados e medidas a serem tomadas em casos de vazamentos de dados, de forma que o PLP nº 441 seria objeto de desconfiança e insegurança jurídica por parte da população.10
15. Inclusive, vê-se com grande receio a permissão, feita pela proposta em questão, de inclusão de informação de outros agentes, inclusive não financeiros como prestadores de serviços de água, esgoto, eletricidade, gás e telecomunicações e assemelhados, além das administradoras de consórcio e instituições autorizadas a funcionar pelo Banco Central.
16. Conforme se verá mais detidamente das Seções que seguem, o presente Parecer conclui, similarmente às entidades de defesa dos direitos dos consumidores, por violações constitucionais e legais nos termos do Substitutivo apresentado, bem como pelo desatendimento ao interesse público, razão pela qual pugna pela não aprovação do texto.
8 Vide manifestações do Instituto Brasileiro de Defesa do Consumidor (“IDEC”), disponíveis em: https://www.idec.org.br/artigo/o-que-ha-de-errado-com-o-novo-cadastro e https://www.idec.org.br/noticia/camara-altera-projeto-que-reforma-lei-de-cadastro-positivo. Acesso em: 7 maio 2018. 9 Vide Carta Aberta sobre a Reforma do Cadastro Positivo e Proteção de Dados Pessoais, disponível em: https://direitosnarede.org.br/p/reforma-do-cadastro-positivo-plp441/. Acesso em: 7 maio 2018. 10 O IDEC alega que “sem as garantias propostas, em especial a regra de responsabilidade objetiva e solidária e a afirmação de direitos básicos dos cadastrados, haverá um grande desequilíbrio entre a posição de consumidores e [empresas que operam] bancos de dados, ampliando os riscos de violação de direitos fundamentais dos cidadãos brasileiros”. Vide: https://www.idec.org.br/noticia/camara-altera-projeto-que-reforma-lei-de-cadastro-positivo. Acesso em: 7 maio 2018.
5
II. INCONSTITUCIONALIDADE DAS DISPOSIÇÕES DO PL Nº 441, DE 2017
a. Direito fundamental à privacidade
17. Inicialmente, é importante destacar que, embora a Constituição Federal não traga direito fundamental específico ao contexto da proteção de dados pessoais, uma série de direitos da personalidade têm relevância para o contexto de privacidade. São estes o direito à inviolabilidade da intimidade e vida privada, o direito ao sigilo das informações pessoais e o direito ao sigilo à comunicação, analisados abaixo.
i. Direito à inviolabilidade da vida privada
18. A Constituição protege a inviolabilidade da vida privada, intimidade, da honra e da imagem como conjunto de direitos, por meio do artigo 5º, inciso X.11 De modo geral, a proteção ao direito à intimidade aplica-se aos aspectos íntimos do indivíduo, aos quais não se admite acesso de terceiros. Já o direito à vida privada diz respeito às informações comunicadas a terceiros, como nome, endereço, dentre outros dados.12
19. No âmbito virtual, é possível argumentar que o inciso X do artigo 5o aplica-se à proteção de “dados pessoais”, como ponto de partida para a proteção do indivíduo contra o uso ilegal de seus dados pessoais.13
20. Nesse sentido, o dispositivo deve ser interpretado por todos os poderes da República como fundamento para a proteção da esfera privada do titular de dados, em especial no que diz respeito aos dados pessoais e à autodeterminação de tais informações.14 Um dos desdobramentos do referido inciso X é a possibilidade de caracterização como uma tutela do titular de dados contra o tratamento de seus dados pessoais, caso haja riscos à intimidade e privacidade do cidadão.15
11 Constituição Federal, disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. 12 FERRAZ JR., Tércio Sampaio. Sigilo de dados: O direito à privacidade e os limites à função fiscalizadora do Estado, RT. Cadernos de Direito Constitucional e Ciência Política. São Paulo, ano I, out./dez. 1992, p. 79. 13 CASSEB, P. Fundamentos Constitucionais do Marco Civil da Internet. In: DE LUCCA, Newton, SIMÃO FILHO, Adalberto, ROSA PEREIRA DE, Cíntia. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015 14 MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014, p.140. 15 Ibid., p.134.
6
21. Segundo a doutrina, a Constituição traz, no artigo 5º, LXXII, o instrumento do habeas data como ferramenta na proteção de dados pessoais. O habeas data é remédio aplicável tão somente para a obtenção de informação em bancos de dados públicos, cujo objetivo pode ser descrito como a proteção da esfera íntima de indivíduos na ocasião da inserção de dados pessoais em registros públicos.
22. O procedimento envolvido no habeas data é regulado pela Lei no 9.507, de 1997 (“Lei do Habeas Data”).16 Esta lei considera como registro ou banco de dados de caráter público aquele que contenha informações “que sejam ou possam ser transmitidas a terceiros ou que não sejam de uso privativo do órgão ou entidade produtora ou depositária das informações”.17
23. A eficácia do habeas data na tutela da privacidade do cidadão no ambiente virtual e na proteção de dados pessoais possui, assim, limitações, uma vez que o instrumento não se aplica a registros mantidos pela iniciativa privada.18 Pelo contrário, o instrumento é destinado aos registros mantidos por “entidades governamentais” ou de “caráter público”.
24. Como “entidades governamentais”, entende-se os órgãos da administração direta ou indireta. Quanto às entidades de “caráter público”, são estas as “instituições, entidades e pessoas jurídicas privadas que prestem serviços para o público ou de serviço público”, tais como concessionárias, permissionárias ou as que exercem atividades autorizadas.19 Um exemplo de entidade sobre a qual seria permitido obter acesso aos dados ou retificação seriam as instituições de scoring de crédito.
ii. Jurisprudência constitucional
25. O Supremo Tribunal Federal (“STF”), embora não tenha se pronunciado em definitivo sobre o controle de informações por parte de titulares de dados, adota a concepção do direito à privacidade como um direito de resguardo contra interferências alheias, no sentido de que o
16 Lei nº 9.507/1997, disponível em: http://www.planalto.gov.br/ccivil_03/leis/L9507.htm. Acesso em: 7 maio 2018. 17 Ibid., art. 1o, parágrafo único. 18 ZANATTA, Rafael A. F., A proteção de dados pessoais entre leis, códigos e programação: os limites do Marco Civil da Internet. In: NETWON DE LUCCA, ADALBERTO SIMÃO FILHO, CÍNTIA ROSA PEREIRA DE. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015, p. 451 19 AFONSO DA SILVA, José. Curso de direito constitucional positivo. São Paulo: Ed. Malheiros, 34ª edição, 2011, p. 456.
7
indivíduo possuiria um espaço demarcado que não está sujeito ao escrutínio público – como, por exemplo, suas informações bancárias e profissionais.
26. Chama a atenção, entretanto, o entendimento do STF em Ação Direta de Inconstitucionalidade que versou sobre as alterações promovidas por medida provisória do governo federal no regime aplicável ao envio de certidões de protestos lavrados para entidades de classe por cartórios extrajudiciais.20
27. O STF, em decisão majoritária capitaneada pelo relator, Ministro Sepúlveda Pertence, decidiu que a medida provisória não ofenderia a privacidade dos protestados, visto que a norma questionada previa a necessidade de os destinatários dessas informações – vale dizer, as entidades de proteção ao crédito – preservarem o sigilo envolvido, em conformidade com o Código de Defesa do Consumidor.
28. Nesse sentido, concluiu o Ministro que “a convivência entre a proteção da privacidade e os chamados arquivos de consumo, mantidos pelo próprio fornecedor de crédito ou integrado em bancos de dados, tornou-se um imperativo da sociedade de massas”.
29. Como se sabe, as entidades de proteção ao crédito são, em essência, empresas privadas que se dedicam a prestar serviços de informações de crédito para bancos, mercados e lojas. Para tanto, essas empresas criam bancos de dados que possuem informações econômico-financeiras, cadastrais e comerciais de cidadãos e empresas, obtidas de cartórios extrajudiciais (e outras serventias públicas), instituições financeiras e publicações oficiais, quando não dos próprios interessados.
30. Por força do Código de Defesa do Consumidor e da Lei do Habeas Data, os bancos de dados relativos a serviços de proteção ao crédito são equiparados a entidades de caráter público.
31. Isso significa que as empresas que exploram o serviço podem transmitir as informações depositadas em seus bancos de dados pessoais para terceiros, por força da função pública que exercem como protetoras do crédito nas relações econômicas.
32. No entanto, o que se verifica é que tais entidades devem comunicar previamente ao consumidor a inscrição de seus dados nos bancos de dados por elas administrados, por força da Súmula nº 359 do STJ, que estabelece que “cabe ao órgão mantenedor do cadastro de proteção
20 STF, ADI nº 1.790-DF, Rel. Min. Sepúlveda Pertence, 09/03/2004.
8
ao crédito a notificação do devedor antes de proceder à inscrição”.21 Se não houver prévia notificação, a inscrição deve ser considerada ilegal.22
33. A partir do exposto, a adequada interpretação do texto constitucional permite a conclusão de que a Constituição Federal protege a vida privada, intimidade, da honra e da imagem de cidadãos. E, conquanto a provisão constitucional resguarda tais direitos, o Projeto de Lei em análise: (i) elimina a exigência de autorização prévia para a inscrição de informações pessoais em cadastros destinados à análise de crédito; (ii) permite o uso sem autorização prévia, inclusive para a tomada de decisões automatizadas sobre notas e pontuações; (iii) permite o compartilhamento de informações de adimplemento sem autorização prévia, estabelecendo, ainda, um regime de compartilhamento obrigatório de informações pelas fontes)23; (iv) excepciona o compartilhamento de informações dentre as hipóteses de infração ao sigilo bancário; e, por fim, (v) dispensa comunicação sobre a abertura de cadastro ao cadastrado que tenha previamente cadastro aberto.
34. Por tais razões, conclui-se que o PLP nº 441/2017 não se coaduna com os direitos fundamentais da Constituição Federal, por violação frontal aos direitos fundamentais consagrados pelo artigo 5º X e LXXII.
III. INTERESSE PÚBLICO E LEGALIDADE DAS DISPOSIÇÕES DO PLP Nº 441/2017
a. Estado atual da legislação brasileira sobre proteção da privacidade e de dados pessoais
i. Legislação em vigor
35. Para além de contrariar a Constituição Federal, à medida em que restringe o direito fundamental à privacidade, o PLP nº 441 estaria também em dissonância com outras normas que, por sua vez, materializam em lei os princípios constitucionais da privacidade e da proteção aos dados pessoais.
21 STJ, Súmula 359, disponível em https://ww2.stj.jus.br/docs_internet/revista/eletronica/stj-revista-sumulas-2012_31_capSumula359.pdf. Acesso em: 7 maio 2018. 22 STJ, AgRg no REsp 1176480/RS, Rel. Ministra Nancy Andrighi, dje 10/08/2012. 23 Segundo o Substitutivo, são essas as pessoas naturais e jurídicas que concedam crédito, administrem operações de autofinanciamento, realizem venda a prazo ou outras transações comerciais e empresariais, inclusive as instituições autorizadas a funcionar pelo Banco Central do Brasil e os prestadores de serviços continuados de água, esgoto, eletricidade, gás, telecomunicações e assemelhados.
9
36. A começar pela atual Lei de Cadastro Positivo, estabelecedora de obrigações específicas em relação a cadastros e banco de dados relativos ao consumo e à análise de crédito, que estipula a necessidade de autorização informada e prévia do titular dos dados para a abertura de cadastro,24 e determina que as informações armazenadas em bancos de dados de adimplemento devem ser exatas, completas, objetivas, claras e de fácil compreensão.25 Note-se que essa obrigação de “autorização informada e prévia” é corolário direto das normas constitucionais. Em outras palavras, a “autorização informada e prévia” é a chave de abóboda do próprio direito constitucional em questão. Sem ela, o direito constitucional deixa de subsistir, tornando-se letra morta.
37. Logo após a entrada em vigor da Lei do Cadastro Positivo, foi aprovado pelo Congresso Nacional o Marco Civil da Internet (Lei nº 12.965, de 2014 ou “MCI”), texto legal que traz como uma de suas principais obrigações a obtenção de consentimento expresso do titular de para que seja realizada o tratamento de seus dados pessoais (como, por exemplo, para a coleta, o armazenamento e o compartilhamento desses dados).26 Uma vez mais, o Marco Civil – apelidado justamente de “a Constituição da Internet” – materializou o direito constitucional na sua formulação do “consentimento expresso”, que equivale à “autorização informada e prévia”.
38. Tal consentimento deve ocorrer destacado das demais cláusulas contratuais.27 Implica-se dizer, portanto, que deve haver uma manifestação de vontade clara e específica do titular dos dados, não bastando inferências ou manifestações implícitas, ou mesmo uma manifestação de vontade única para a relação contratual.
39. O objetivo por trás dessa obrigação é a proteção da privacidade e dos dados pessoais – proteção esta que consiste no princípio basilar da Constituição, recebido e materializado com relação à internet pelo Marco Civil.
40. Ao longo de todo o processo de elaboração da Lei nº 12.965/2014 e em alinhamento com os marcos regulatórios internacionais, ficou claro que o consentimento livre e expresso para a
24 Lei nº 12.414/2011, art. 4º. 25 Lei nº 12.414/2011, art. 3º, § 2º, I a IV. 26 O Decreto nº 8.771, de 2016, que regulamenta o Marco Civil da Internet, define “dado pessoal” como o “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (artigo 14, I). O “tratamento de dados pessoais” é definido, por sua vez, como “toda operação realizada com dados pessoais”, o que inclui, de forma exemplificativa, a “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (artigo 14, II). 27 Lei nº 12.965/2014, art. 7º, inciso VIII e IX.
10
coleta de dados e sobre a finalidade do tratamento de dados era essencial para a materialização dos princípios constitucionais com relação à internet. Assim, o texto atrela a coleta de dados necessariamente a fins que justifiquem essa coleta, que não sejam vedados pela legislação e, por fim, que estejam especificados nos contratos de prestação de serviços ou termos de uso de aplicações de internet.28-29
41. Além disso, o MCI implica responsabilidades ao controlador de dados. Este deve assegurar que os dados permaneçam confidenciais, registrar a lógica de tratamento de dados e fiscalizar a transferência a terceiros. O controlador deve ainda ser acionado para dar acesso aos dados pelo titular dos dados ou por autoridades e, em caso de violações e falhas de segurança, informar tanto o titular quanto às autoridades competentes.30
42. Ainda, quanto à prática de transferência de dados a terceiros, o texto da lei estabelece restrição com o fim de somente permiti-la caso haja consentimento livre, expresso e informado do titular de dados ou nas hipóteses previstas especificamente em lei.31
43. Note-se a contradição: se o PLP 441/2017 vier a ser aprovado, haverá uma antinomia inelutável no ordenamento jurídico pátrio. Para dados coletados pela internet, vigerá o Marco Civil, como todo seu conjunto de normas protetivas. Para dados financeiros do consumidor, como suas informações bancárias, nenhuma dessas normas será aplicável. Na prática, para um certo rol de dados (financeiros, creditícios etc) haverá a supressão do direito à privacidade. Tal distinção não faz nenhum sentido, uma vez que a regra da “autorização informada e prévia” e do “consentimento livre expresso e informado” derivam de uma mesma norma: aquela posta pela Constituição Federal ao proteger a privacidade. Além disso, haveria violação direta ao princípio da isonomia. Dados financeiros e creditícios (que possuem implicações sérias e imediatas para seus titulares) seriam tratados de forma leviana, enquanto dados pessoais coletados pela internet seriam tratados de acordo com a regra estrita do “consentimento livre expresso e informado”. Em outras
28 CRUZ, Francisco Carvalho de Brito. Direito, democracia e cultura digital: a experiência de elaboração legislativa do Marco Civil da Internet. 2015. Dissertação, Universidade de São Paulo, São Paulo, 2015, p. 107. Disponível em: http://www.teses.usp.br/teses/disponiveis/2/2139/tde-08042016-154010/. Acesso em: 7 maio 2018. 29 Tanto MCI quanto a Lei do Cadastro Positivo exigem que os dados pessoais coletados sejam utilizados dentro das finalidades para as quais o consentimento foi deferido. Vide Lei nº 12.965/2014, art. 7º, VIII; e Lei nº 12.414/2011, arts. 5º, VII, e art. 9º. 30 Centro de Tecnologia e Sociedade da Faculdade Getúlio Vargas/RJ (CTS/FGV/RJ), Contribuição do Centro de Tecnologia e Sociedade da FGV DIREITO RIO sobre a definição de termos relativos à proteção de dados presentes no Marco Civil. Disponível em: http://marcocivil.cgi.br/contribution/contribuicao-do-centro-de-tecnologia-e-sociedade-da-fgv-direito-rio-sobre-a-definicao-de-termos-relativos-a-protecao-de-dados-presentes-no-marco-civil/160. Acesso em: 7 maio 2018. 31 Lei nº 12.965/2014, art. 7º, inciso VII.
11
palavras, a lei faria distinção naquilo que Constituição não faz. E criaria regimes diferentes para informações que na verdade possuem a mesma natureza, qual seja, de dados pessoais. A criação de uma tal antinomia é inconsistente com a ordem jurídica constitucional em vigor.
44. Por sua vez, o Código de Defesa do Consumidor (Lei nº 8.078, de 1990, ou “CDC”) foi por anos considerado a principal norma no quadro legal brasileiro na proteção de dados pessoais, até a entrada em vigor da Lei do Cadastro Positivo e do Marco Civil da Internet. Ainda assim, o CDC permanece diretamente aplicável, em diálogo com o MCI, toda vez que houver relação de consumo, até que entre em vigor uma legislação específica sobre proteção de dados pessoais em ambiente virtual.32
45. Conforme o CDC, a coleta e tratamento de dados pessoais deve estar atrelada à obtenção de consentimento pelo consumidor. O consentimento não será válido caso seja baseado na prestação de informações enganosas ao consumidor. Nos casos em que a coleta de dados seja considerada invasiva ou desleal, haveria violação ao princípio da boa-fé objetiva.33
46. Nota-se, portanto, que sob o aspecto de obtenção de consentimento para coleta e tratamento de dados, o CDC propicia alto grau de proteção ao consumidor.
47. Indo além, o CDC efetivamente garante o direito de acesso por titulares de dados às informações armazenadas em bases de dados. Esta garantia de transparência deve ocorrer antes que o dado seja efetivamente utilizado e, embora o CDC não estabeleça o momento exato da comunicação, a jurisprudência entende que deverá sê-lo antes da inscrição no banco de dados.34
48. Nas hipóteses em que incidir o CDC, aplica-se o regime da responsabilidade objetiva ao fornecedor de serviços. Isso implica que, nos casos de violações à segurança do serviço ou da base de dados, o prestador deverá responder pelos danos materiais e morais causados. Ainda, caso haja vazamento de dados, o prestador de serviços deverá notificar o consumidor. Desse modo, observa-se que, nos casos de violação à segurança dos serviços ou da base de dados,
32 ESPÍNDOLA LONDONI KLEE, Antônia, MAGALHÃES MARTINS, Guilherme. A privacidade, a proteção dos dados e dos registros pessoais e a liberdade de expressão: algumas reflexões sobre o Marco Civil da Internet no Brasil (Lei nº 12.965/2014). In: NEWTON DE LUCCA, ADALBERTO SIMÃO FILHO, CÍNTIA ROSA PEREIRA DE. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015, p. 358. 33 SCHERTEL MENDES, Laura. A Tutela da privacidade do consumidor na internet: uma análise à luz do Marco Civil da Internet e do Código de Defesa do Consumidor. In: NEWTON DE LUCCA, ADALBERTO SIMÃO FILHO, CÍNTIA ROSA PEREIRA DE. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015, p. 482. 34 DONEDA, Danilo. Princípios de proteção de dados pessoais. In: NEWTON DE LUCCA, ADALBERTO SIMÃO FILHO, CÍNTIA ROSA PEREIRA DE. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015, p. 379. Segundo o autor, a Súmula 359 do STJ estabelece que, no contexto de inscrição de consumidores em bases de dados de análise de crédito, “[c]abe ao órgão mantenedor do Cadastro de Proteção ao Crédito a notificação ao devedor antes de proceder à inscrição”.
12
haverá responsabilização do prestador de serviços mesmo que não haja culpa. O regime estabelecido pelo Código Civil se aplica, de forma em que a excludente de responsabilização dependerá de caso de força maior ou culpa exclusiva da vítima ou de terceiro.35
49. Cabe notar ainda que, na ausência de legislação específica sobre proteção de dados no país, a doutrina projeta o artigo 6º, III do CDC para obrigar ao prestador de serviços informar ao consumidor sobre quais os dados tratados; para quais finalidades; se serão transmitidos a terceiros; por qual período serão conservados; quais os mecanismos de segurança utilizados. Na prática, tal divulgação pode se dar por meio da política de privacidade do serviço, de contrato celebrado entre as partes, ou mesmo pela prestação de informações ao consumidor antes do consentimento.36 No caso de falha pelo prestador de serviços, há mesmo possibilidade de indenização por dano material e moral – o que apresenta um risco ao prestador de serviços em modelo de negócios que não possibilite o cumprimento do CDC nos moldes da norma, como nas hipóteses em que não há interface com o consumidor para a prestação de informações.37
50. Assim, o PLP nº 441/2017 seria peça legislativa constitucionalmente extravagante. A norma fundamental da proteção à privacidade requer a obtenção de consentimento válido, expresso e informado para a coleta de dados, independentemente de sua natureza, para fins do seu armazenamento, análise e compartilhamento com terceiros. Criar uma subcategoria de “dados pessoais” não sujeita a essa regra é fazer distinção onde o legislador constitucional não fez. Mais do que isso, é criar antinomias insolúveis com relação ao Código de Defesa e com relação ao Marco Civil da Internet.
ii. Projetos de Lei em tramitação no Congresso Nacional
51. Como visto, os contornos do quadro legal da proteção de dados pessoais no Brasil são delimitados pela aplicação em conjunto da Constituição, materializada pelo MCI e seu Decreto Regulamentador (Decreto nº 8.771, de 2016), e com o CDC. Ainda assim, pode-se dizer que o
35 Ibid., 389. 36 SCHERTEL MENDES, Laura. A Tutela da privacidade do consumidor na internet: uma análise à luz do Marco Civil da Internet e do Código de Defesa do Consumidor. In: NEWTON DE LUCCA, ADALBERTO SIMÃO FILHO, CÍNTIA ROSA PEREIRA DE. Direito & Internet III - Tomo I. São Paulo: Quartier Latin, 2015, p. 486. 37 Ibid.
13
quadro é ainda fragmentado, uma vez que ausente uma lei geral para lidar com a proteção de dados pessoais.
52. O próprio MCI prevê, nesse sentido, a publicação de lei específica para proteção dos dados pessoais38, de forma que três Projetos de Lei vêm sendo debatidos no âmbito do Congresso Nacional a fim de regular especificamente a proteção de dados pessoais: o Projeto de Lei nº 330/2013, de autoria do Senador Antonio Carlos Valadares, encontra-se em tramitação no Senado Federal. Na Câmara dos Deputados, dois projetos tramitam conjuntamente, quais sejam, o Projeto de Lei nº 4.060/2012, proposto pelo Deputado Milton Monti, e o Projeto de Lei nº 5276/2016, derivado do anteprojeto de lei sobre proteção de dados pessoais do Ministério da Justiça.
53. Primeiro, em relação ao Projeto de Lei nº 330/2013, é preciso destacar que a sua redação foi objeto de apresentação de Substitutivos em novembro de 2017 e maio de 2018. Passaremos à análise do Substitutivo apresentado pelo Senador Ricardo Ferraço em maio deste ano.39
54. De acordo com tal texto propositivo, o responsável pelo tratamento de dados pessoais deve se atentar a uma série de obrigações, dentre as quais: (i) o recebimento de informações claras, completas e atualizadas sobre o tratamento de dados pessoais; (ii) o consentimento, quando necessário; (iii) o conhecimento dos principais elementos e critérios considerados para a tomada de decisões automatizadas a partir de dados pessoais, resguardado o segredo empresarial; (iv) o cancelamento, mediante requerimento do titular de dados e ao término da relação entre as partes, dos dados pessoais.
55. Como se vê, o Substitutivo apresentado em maio de 2018 traz provisões específicas ao responsável pela tomada de decisões automatizadas, como o estabelecimento de nota ou pontuação de crédito pelo gestor do cadastro positivo.
56. Caso o PLS nº 330/2013 seja aprovado, verifica-se conflito entre as normas. Isso porque o diploma exige a prestação de informações claras sobre o tratamento de dados pessoais, bem como o conhecimento sobre os critérios considerados para a tomada de decisões automatizadas. O PLP nº 441/2017, por sua vez, exime fontes e gestores da obrigação de prestação de informações prévias sobre o tratamento de dados, bem como sobre os destinatários do compartilhamento de dados.
38 Lei 12.965/2014, art. 3o, inciso III. 39 Tramitação do PLS nº 330/2013 disponível em https://www25.senado.leg.br/web/atividade/materias/-/materia/113947. Acesso em: 7 maio 2018.
14
57. Nota-se aqui a presença de mais uma antinomia. Se o PLP 441/2017 for aprovado antes de uma lei geral de proteção de dados pessoais, pelo princípio da Lex posterior derogat priori, sua vigência será derrogada, obrigando-se assim seus dispositivos a se subsumirem à lei posterior. Lei esta que, em sua formulação atual, é diametralmente oposta ao PLP 441/2017 no do PLS 330/2013.
58. Segundo, PL nº 4.060/2012 possui uma redação mais enxuta e um posicionamento mais liberal em relação ao tratamento de dados pessoais.40 Tanto é que a Justificativa do Projeto menciona expressamente a preocupação do autor em resguardar a livre iniciativa comercial e de comunicação.
59. Não há na redação do PL nº 4060/2012 um rol de direitos dos titulares de dados pessoais, apenas uma menção genérica que estabelece que toda pessoa tem direito a proteção de seus dados. Como resultado, não é surpresa que este Projeto de Lei não exija o consentimento para a coleta de dados pessoais (definidos como aquele que “permita a identificação exata e precisa de uma pessoa determinada”). Ainda assim, a proposta estabelece balizas para o tratamento de dados pessoais. Estes deverão ser tratados com lealdade de boa-fé, de modo a atender os legítimos interesses dos seus titulares.41 Provedores deverão assegurar, ainda, amplo acesso a informações sobre o uso dos dados coletados.
60. Assim, não obstante a parca proteção ao indivíduo, o PLP nº 441/2017 estaria em desacordo com o PL nº 4.060/2012, uma vez que este exigiria a prestação de informações sobre o tratamento de dados pessoais. Ou seja, mesmo o menos protetivo de todos os projetos de lei geral de proteção de dados é também antinômico com relação ao PLP 441/2017.
61. Terceiro, o PL nº 5276/2016, apensado ao referido Projeto de Lei nº 4.060, tem o peso do apoio de entidades da sociedade civil e especialistas em proteção de dados pessoais, tendo sido resultado de ampla participação social em dez meses de consulta pública, incluindo mais de duas mil contribuições ao anteprojeto.42-43
40 Inteiro teor disponível em: http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1001750&filename=PL+4060/2012. Acesso em: 7 maio 2018. 41 Art. 9º.
42 PL nº 5276/2016, disponível em http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra;jsessionid=62B6CCB8D15F03BD169F7421D3CDB6EE.proposicoesWeb1?codteor=1457971&filename=Avulso+-PL+5276/2016. Acesso em: 7 maio 2018. 43 Carta de apoio ao PL 5276/2016, publicada em 2 de junho de 2016. Disponível em: http://intervozes.org.br/wp-content/uploads/2016/06/Carta-Aberta.-PL-Dados-Pessoais.02.06.2016.pdf. Acesso em: 7 maio 2018.
15
62. Este Projeto garante segurança jurídica, com definições claras acerca dos direitos de cidadãos, conceitos de dados pessoais e dados sensíveis, responsabilidade civil das entidades envolvidas na cadeia de coleta e tratamento de dados e, também, regulação da transferência internacional de dados. Estabelece, por exemplo, que dados pessoais necessitam do consentimento livre, informado e inequívoco.
63. Outro tópico crucial do PL nº 5276 diz respeito às práticas de profiling, em sintonia com a legislação europeia. Nesse caso, o texto estabelece que o titular tem direito a solicitar a revisão das decisões tomadas unicamente com base no tratamento automatizado de seus dados pessoais. Esse direito de revisão inclui também a possibilidade de rever as decisões que definem o perfil e avaliam aspectos da personalidade. Dessa forma, caso esse Projeto de Lei seja aprovado, seria necessário, por exemplo, que os responsáveis pelo tratamento disponibilizem canal para que o usuário possa questionar os critérios empregados.44
64. Vê-se, portanto, que na hipótese de o PL nº 5276 ser aprovado, haveria conflito com o PLP em questão, dado que o primeiro diploma exige, entre outras provisões, o consentimento do titular para o tratamento de seus dados pessoais, enquanto que o PLP nº 441 afasta a necessidade de consentimento prévio do consumidor para a inclusão de seus dados pessoais em banco de dados destinados à análise de crédito. Uma vez mais, pelo princípio da Lex posterior derogat priori, a vigência do PLP 441/2017 seria derrogada, obrigando-se assim seus dispositivos a se subsumirem à lei posterior. Lei esta que, em sua formulação atual, é também diametralmente oposta ao PLP 441/2017 no do PLS 330/2013. O que, diga-se, nem poderia ser diferente. Já que tais normas são corolário direto da proteção constitucional à privacidade.
65. Feita a análise do arcabouço legal sobre proteção de dados no Brasil, cabe, portanto, passar à análise legal dos pontos controversos do PLP nº 441/2017.
b. Abertura de cadastro sem autorização dos cadastrados
44 Análise técnica da Consultoria Legislativa do Senado ao Projeto de Lei nº 5.276/2016, disponível em: http://www2.camara.leg.br/documentos-e-pesquisa/publicacoes/estnottec/areas-da-conle/tema4/comentarios-ao-pl-5276-16-que-dispoe-sobre-o-tratamento-de-dados-pessoais/at_download/arquivo. Acesso em: 7 maio 2018.
16
66. No cerne do texto do PLP nº 441/2017 está a modificação da necessidade de consentimento prévio do consumidor para a inclusão de seus dados pessoais em banco de dados destinados à análise de crédito (arts. 2º, III; 4º, I; 5º, V).
67. Na prática, o resultado da aprovação da referida proposta normativa consistirá na inclusão automática de todos os brasileiros adultos e economicamente ativos em bases de dados de birôs de crédito. Isso significaria que o número de cadastros existentes no Brasil saltaria de 5 milhões para 120 milhões.45
68. Não parece acertado que, do dia para a noite, a população economicamente ativa no Brasil passe a ter informações pessoais diversas coletadas e utilizadas sem seu consentimento. Isso especialmente se considerarmos que os dados coletados para a finalidade creditícia contemplam mais do que somente dados cadastrais, que segundo o Marco Civil da Internet, seu Decreto regulamentador e o Código de Defesa do Consumidor, poderão ser fornecidos a terceiros, frustrando in totum a proteção constitucional à privacidade.
69. Os dados coletados para essa finalidade são mais abrangentes, como o número do CPF, dados “relevantes para o crédito” - número de cartões de crédito, transações bancárias, empréstimos e etc -, mas também informações sobre o pagamento de serviços públicos como água, telefonia e luz (com as modificações propostas ao art. 2º, IV do PLP nº 441/2017). Isso sem contar que a abertura textual da proposta normativa permitirá a coleta de dados adicionais que reconfiguram as práticas tradicionais de score de crédito.
70. Nos termos da Constituição, já materializados pelo MCI e pelo Código de Defesa do Consumidor, tratam-se de dados pessoais (art. 14, I do Decreto nº 8.771/2016), cujo tratamento requer consentimento prévio, expresso e informado. Suprimir o consentimento prévio a esse tratamento seria suprimir o próprio direito à privacidade. Mais que isso, seu tratamento está vinculado à observância do princípio da finalidade,46 ou seja, somente poderão ser utilizados e compartilhados nos limites dos objetivos informados ao usuário quando de sua coleta.
71. Não bastasse isso, conforme previamente mencionado, o CDC também estabelece que a coleta e tratamento de dados pessoais devem estar atrelados à obtenção de consentimento pelo consumidor. Esse é igualmente o entendimento adotado pelo STJ no Recurso Especial
45 Informação disponível em: https://direitosnarede.org.br/p/reforma-do-cadastro-positivo-plp441/. Acesso em: 7 maio 2018. 46 O MCI exige que dados pessoais coletados sejam utilizados dentro das finalidades para as quais o consentimento foi deferido. Lei nº 12.414/2011, arts. 5º, VII, e art. 9º.
17
1.348.532/SP, de que é ilegal e abusivo o compartilhamento não autorizado de dados pessoais para bancos de dados sobre crédito, conforme consolidado pela Súmula 359 do Tribunal.47
72. Disso se extrai que a aprovação das pretendidas modificações à Lei de Cadastro Positivo instituirá contradição com a vigente legislação brasileira, que deriva diretamente do plano constitucional, também materializado pelos Tribunais superiores. Trata-se, outrossim, da criação de uma distinção com relação a certos dados que a própria constituição não faz. Mais do que isso, resultaria na criação de um privilégio para um determinado tipo de atividade econômica (birôs de crédito) em detrimento de todas as demais entidades atuantes no mercado de coleta, análise e tratamento de dados.
73. Ainda que o PLP preveja balizas para a prestação de informações ao consumidor após a abertura do cadastro no banco de dados,48 o fato é que a Constituição, sua materialização legislativa e o Poder Judiciário exigem todos a prévia autorização do titular dos dados acerca da coleta de dados pessoais, como forma de proteção à privacidade dos indivíduos envolvidos.
74. Mais do que isso, a mudança proposta pelo Projeto de Lei se mostra claramente na contramão das mais recentes normas internacionais sobre proteção à privacidade. Um exemplo é o Regulamento sobre Proteção de Dados da União Europeia (GDPR), que veda a tomada de decisões automatizada sobre indivíduos, salvo em caso de consentimento expresso.
75. Ao contrário, iniciativas tais como o Projeto de Lei analisado removem dos indivíduos autonomia sobre a determinação de sua privacidade, facilitando sua categorização conforme padrões de consumo (e.g., onde frequentam, média de gastos, adimplemento das obrigações assumidas) e acaba por restringir suas liberdades individuais fundamentais.
76. O Projeto de Lei também prevê a possibilidade de elaboração de nota ou pontuação de crédito por parte dos gestores de bancos de dados, a partir das informações de adimplemento coletadas. Ocorre que o PLP não exige a divulgação dos critérios empregados para a tomada de decisões automatizadas para a pontuação de crédito, mas apenas o acesso, pelo indivíduo, à nota ou pontuação alocada. Esse tipo de medida é diametralmente oposto às normas de proteção à privacidade mais recentes adotadas em diversos países e, notadamente, na Europa.
47 Súmula 359, STJ: Cabe ao órgão mantenedor do cadastro de proteção ao crédito a notificação do devedor antes de proceder à inscrição. 48 O consumidor deve ser comunicado, de forma gratuita, em até 30 (trinta) dias após a abertura do cadastro no banco de dados (art. 4º, §4º). A comunicação deverá informar canais para o cancelamento do cadastro e será dispensada caso o cadastrado tenha previamente cadastro aberto (art. 4º §5º).
18
77. Mesmo que houvesse divulgação sobre os critérios, trata-se de informação opaca por natureza, que viola décadas de proteção ao consumidor no Brasil, aumentado sua hipossuficiência e vulnerabilidade. Há notória dificuldade em especificar, delimitar e divulgar aos cidadãos as informações levadas em consideração para a nota alcançada.
78. Indo além, não se pode conceder que, em momento no qual são recorrentes as notícias de vazamentos, abusos e usos indevidos de dados pessoais, a legislação brasileira permita a coleta massiva e centralização exacerbada de dados da maioria da população do país. Mais ainda, na ausência de legislação específica e de autoridade competente para a proteção de dados pessoais, é crucial que dados pessoais sejam coletados e manuseados com cautela, sujeitando-se ao princípio do consentimento livre, expresso e informado. É claro que uma legislação de dados pessoais poderá introduzir outras modalidades de autorização de uso de dados que vão além do consentimento, como é o caso do legítimo interesse. Isso, no entanto, precisa ser feito por meio de uma lei sistemática de proteção de dados. O que não é o caso do PLP 441/2017.
79. É fundamental assegurar que birôs de crédito adotem a devida cautela na coleta, tratamento e compartilhamento de dados com terceiros. Embora tenha o Substitutivo da Comissão Especial avançado em relação aos anteriores textos do PLP nº 441/2017, impondo aos gestores deveres de transparência mais elevados e impedindo o uso de dados sensíveis, o texto não estabelece parâmetros de segurança preventivos ou cuidados a serem tomados em casos de vazamentos de dados.
80. Ademais, sobre esse respeito, a proposta dispensa a necessidade de comunicação acerca da abertura de cadastro aos usuários que j[a tenham cadastro prévio aberto (art. 4º, § 5º). Em um primeiro momento, a dispensa de comunicação aparenta-se como razoável, visto que o consumidor em algum momento já expressamente consentiu com a abertura de cadastro com seus dados. Se já possui cadastro aberto, em tese não haveria necessidade de comunicação sobre a abertura de novo cadastro à luz da nova legislação.
81. Todavia, as mudanças impostas pela proposta ora em análise excedem à autorização legal para abertura de cadastro para todos os usuários concedida anteriormente. Ela apresenta disposições inéditas que mitigam, por exemplo, a responsabilidade de gestores de bases de dados e modificam regras sobre compartilhamento de dados com terceiros.
82. Diante disso, têm-se que a autorização previamente concedida para a abertura de cadastro positivo foi concedida em momento no qual as regras eram distintas. E sendo assim,
19
considera-se abusiva a regra que excepciona o dever de comunicação ao usuário sobre a abertura de novo cadastro em seu nome, ainda que tenha no passado consentido com essa hipótese.
c. Compartilhamento de dados sem autorização específica
83. Outras mudanças centrais propostas pelo PLP nº 411/2017 consistem na (i) autorização para o compartilhamento de informações de adimplemento sem necessidade de autorização prévia do cadastrado, e (ii) criação de obrigação para que as fontes compartilhem dados com as gestores de bancos de dados que assim solicitarem (art. 4º, § 2º e art. 8º). Tratam-se de disposições que estimulam o compartilhamento de dados pessoais sem a necessidade consentimento pelo titular de dados.
84. O compartilhamento de informações cadastrais e de adimplemento de consumidores para terceiros de forma livre sem sua prévia autorização é prática que está em total descompasso com a legislação nacional e com os debates de proteção à privacidade e a proteção de dados pessoais ao redor do mundo.49
85. Como já mencionado acima, a legislação nacional assegurou aos consumidores a proteção de seus dados pessoais, estabelecendo como regra a necessidade de consentimento ou de ordem judicial para que sejam compartilhados com terceiros. Essa é o pressuposto Constitucional que se reflete em normativos variados como o Marco Civil da Internet, o CDC e até mesmo na Lei Geral de Telecomunicações (“LGT”).
86. Nessa toada, o PLP nº 441/2017 também revoga o artigo 11 da Lei de Cadastro Positivo, que continha importante restrição ao compartilhamento de dados derivados de prestadores de serviços continuados de água, esgoto, eletricidade, gás e telecomunicações, dentre outros.50 Ao revogar essa disposição, o PLP estabelece um regime de compartilhamento irrestrito desses dados e cria conflitos com normas específicas, como todas as citadas anteriormente e também a própria Lei Geral de Telecomunicações (arts. 3º, XI e 71).51
49 O Regulamento Geral de Proteção de Dados, que entrará em vigor em 25 de maio de 2018, exige consentimento expresso do titular de dados para o uso de dados pessoais na tomada automatizada de decisões" 50 Redação atual: “Art. 11. Desde que autorizados pelo cadastrado, os prestadores de serviços continuados de água, esgoto, eletricidade, gás e telecomunicações, dentre outros, poderão fornecer aos bancos de dados indicados, na forma do regulamento, informação sobre o adimplemento das obrigações financeiras do cadastrado. Parágrafo único. É vedada a anotação de informação sobre serviço de telefonia móvel na modalidade pós-paga.” 51 LGT. “Artigo 3º. O usuário de serviços de telecomunicações tem direito: (...) IX - ao respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora do serviço (...)”. “Artigo 72. Apenas na
20
87. Nessa linha, a 3ª Câmara de Coordenação e Revisão do Ministério Público Federal (3ª CCR/MPF) em 2016 já havia sinalizado em nota pública que as mudanças propostas pelo presente PLP foram realizadas sem “o enfrentamento adequado das vulnerabilidades e riscos que recaem sobre os consumidores, como a ausência de legislação específica sobre a proteção de dados pessoais e claro disciplinamento dos modelos de avaliação e classificação de risco de crédito, afronta direitos e garantias fundamentais”.52
88. Além disso, o PLP nº 441/2017 estabelece um regime incoerente com a Lei Complementar nº 105/2001, ao conceder uma autorização geral de fornecimento de dados bancários a entidades privadas de gestão de bancos de dados de adimplemento. Em seu texto atual, a Lei Complementar nº 105/2001 estabelece um regime rigoroso de proteção do sigilo das operações bancárias, que somente pode ser desconstituído por meio de decisão judicial ou nas hipóteses de fornecimento de dados para autoridades administrativas em contextos que especifica.
89. Tais mudanças, além de afrontarem a constituição, colocando em risco a privacidade e os dados de milhões de brasileiros, gerariam um movimento de concentração econômica e de dados excessivo, tornando o consumidor ainda mais hipossuficiente.
90. Esta situação agrava-se ainda mais porque, como mencionado, não há no Brasil um diploma legal específico sobre a tutela de proteção de dados que resguarde os consumidores nacionais dos abusos cometidos pelas empresas pela utilização e venda indevidas de dados dos cidadãos de modo geral.
91. Com efeito, de modo geral, os países que institucionalizaram a adoção de cadastro positivo dispõem de legislação adequada sobre a privacidade e proteção de dados pessoais. No Brasil, todavia, a matéria não veio acompanhada dessa salvaguarda e, agora, de modo mais incisivo, se apresenta como medida impositiva, com acentuado prejuízo ao direito fundamental à privacidade e ao livre exercício da autodeterminação informativa.
execução de sua atividade, a prestadora poderá valer-se de informações relativas à utilização individual do serviço pelo usuário. § 1° A divulgação das informações individuais dependerá da anuência expressa e específica do usuário. § 2° A prestadora poderá divulgar a terceiros informações agregadas sobre o uso de seus serviços, desde que elas não permitam a identificação, direta ou indireta, do usuário, ou a violação de sua intimidade.” 52 Disponível em: http://www.mpf.mp.br/pgr/documentos/nota-publica-cadastro-positivo-final-2.docx. Acesso em: 7 maio 2018.
21
d. Pontos positivos apresentados pelo Substitutivo Reformulado do Relator Walter Ihoshi
92. Em que pese todos os pontos apresentados acima, é preciso apontar que o Substitutivo Reformulado ao PLP nº 441/2017 apresentado pelo Relator Walter Ihoshi possui melhorias importantes em relação à proposta originária do Senado:
a. Manutenção do artigo 16 da Lei do Cadastro Positivo, com menção expressa a aplicabilidade do regime de responsabilidade do CDC aos gestores, fontes e consulentes;
b. Estabelecimento no artigo 7-A de requisitos mínimos para a composição de elementos e critérios a serem considerados na composição da nota ou pontuação de crédito;
c. Definições expressas e claras acerca dos deveres de transparência e informação dos gestores de bancos de dados, em especial quanto a necessidade de divulgação de política de coleta e utilização dos dados pessoais para fins de elaboração de análise de risco de crédito (artigo 7-A, §§ 1º e 2º);
d. Previsão de regulamento do Poder Executivo acerca dos procedimentos aplicáveis aos gestores de banco de dados na hipótese de vazamento de informações dos cadastrados, inclusive com relação à comunicação aos órgãos responsáveis pela sua fiscalização (artigo 13, inciso II);
93. Ocorre que, não obstante os pontos positivos abordados acima, o Projeto de Lei na forma do Substitutivo mantém violações frontais ao direito à Constituição Federal e aos diplomas legais abordados, em razão das diversas flexibilizações aos direitos de indivíduos, notadamente ao direito à privacidade. Por essa razão, deve ser rejeitado em sua integralidade.
IV. PROJETO NA CONTRAMÃO DAS NORMAS INTERNACIONAIS
94. Caso o PLP seja aprovado, o Brasil estaria efetivamente na contramão da experiência internacional sobre a proteção de consumidores e proteção de dados pessoais.
95. Na União Europeia, o panorama da proteção de dados será reformulado, como parte de um conjunto de políticas públicas que inclui a proteção à privacidade. O Regulamento Geral de Proteção de Dados (Regulamento 2016/679 - GDPR) é aplicável não apenas às empresas
22
sediadas no grupo econômico, mas também a qualquer empresa (inclusive brasileira) que preste serviços a cidadãos europeus.
96. A GDPR enrijece o quadro implementado em 1998 pela Diretiva sobre Proteção de Dados (Diretiva 95/46/CE), ao reforçar a proteção aos titulares de dados e implementar novas obrigações aos prestadores de serviços.53
97. Questão central a esse quadro legal é a exigência de consentimento do titular de dados para a coleta de dados pessoais. A GDPR veda a tomada de decisões automatizada e a criação de perfis, salvo em caso de consentimento explícito pelo titular.54
98. Ainda em relação aos direitos conferidos aos titulares, a GDPR em geral segue o que já estava previsto na Diretiva sobre Proteção de Dados, como, por exemplo, direito de acesso, retificação e exclusão dos dados armazenados.
99. O Regulamento ainda prevê dois novos direitos: o direito de portabilidade dos dados e o direito ao “esquecimento”. Sobre o primeiro, o prestador de serviços deve passar a permitir ao titular de dados a prerrogativa de requerer as informações coletadas a seu respeito. Estas devem ser entregues pelo prestador de serviço, em caso de requerimento, em formato estruturado e legível por computador.
100. Já sobre o direito ao “esquecimento”, trata-se de prerrogativa do titular de dados de requerer ao prestador de serviços o apagamento dos dados constantes na base de dados, em ocasiões específicas: (i) quando os dados não sejam mais necessários para o propósito ao qual foram coletados; (ii) quando o usuário retificar o consentimento concedido previamente; (iii) quando o processamento de dados for considerado ilegal; (iv) quando o prestador de serviços estiver sujeito ao cumprimento de obrigação legal; (v) quando o dado tenha sido coletado no contexto de oferta de serviço a crianças.
101. Tal cenário é relevante no que toca a inclusão e exclusão de informações pessoais em cadastros positivos. Enquanto a GDPR fortalece direitos dos usuários, o PL retira a obrigação de autorização prévia para inclusão de dados em cadastro positivo, além de flexibilizar as obrigações
53 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, disponível em https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679. Acesso em: 7 maio 2018. 54 Art. 22 (1).
23
de fontes em relação ao cancelamento do cadastro. A proposta brasileira é, portanto, diametralmente oposta à norma europeia.
102. Em relação especificamente à tomada de decisões automatizadas sobre indivíduos, a GDPR dispõe que, embora a prática possa trazer ganhos em eficiência e economia de recursos, há possibilidade de riscos a direitos individuais, como o direito à privacidade, além de potencial de causar discriminação injustificada.55 Por esses motivos, deve haver respeito a certas balizas.
103. O indivíduo terá o direito de ser informado pelo responsável pelo tratamento a respeito da tomada de decisões automatizadas.56 Similarmente, terá o direito de obter do responsável a confirmação de que seus dados pessoais são ou não objeto de tratamento. Caso sejam, terá o direito de acessar seus dados, bem como as informações utilizadas para a tomada de decisões e os critérios empregados.57
104. Mais do que isso, a GDPR dispõe que o titular tem o direito de se opor a qualquer momento ao tratamento dos dados que lhe dizem respeito, bem como o direito a não ser sujeito a qualquer decisão tomada exclusivamente com base no tratamento automatizado que impliquem efeitos na esfera jurídica (e.g., efeitos na situação financeira do indivíduo, como a elegibilidade a crédito).58-59
105. De forma correspondente, como resposta à opacidade envolvida em decisões automatizadas, o Regulamento prevê medidas de transparência e accountability a provedores de serviço.
106. Primeiro, o responsável pelo tratamento deve disponibilizar informações “de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples (...)” sobre o tratamento de dados pessoais. Tais informações devem permitir ao cidadão compreender
55 A prática é definida pelo artigo 4(4) da GDPR como “Definição de perfis”, isso é, “qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações”. 56 Art. 2, (f). 57 Art. 15, (1) (h). 58 Art. 21 (1) e art. 22, (1). 59 Grupo de Trabalho do Artigo 29, 17/EN, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, adotada em 6 de fevereiro de 2018, p. 16.
24
que seus dados serão utilizados para a criação de perfis e poderão levar à tomada de decisões sobre crédito.60
107. Segundo, o tratamento deve ser transparente em relação ao titular e limitado ao necessário para a finalidade informada. Nesse sentido, o compartilhamento não informado de dados pessoais para a “pontuação” do indivíduo é considerado contrário à GDPR pela União Europeia, uma vez que pode levar à discriminação deste indivíduo.61
108. Terceiro, responsáveis pelo tratamento devem introduzir medidas robustas para verificar periodicamente se os dados utilizados para a tomada de decisões são precisos e atualizados.
109. Trata-se de cenário diametralmente oposto ao do PL. A despeito da transparência exigida pela norma europeia, a proposição brasileira flexibiliza as obrigações a fontes e gestores de bases de dados, em total descompasso com as boas práticas em proteção de dados e privacidade.
110. Pelo exposto, a iniciativa legislativa brasileira está em desacordo não apenas com a Constituição Federal e diplomas legais, mas também com o que há de mais recente no cenário atual de proteção consumerista e de proteção de dados pessoais.
V. CONCLUSÕES
111. Com base em todo o exposto acima, concluímos sinteticamente que:
a. O Projeto de Lei nº 441/2017 viola a Constituição Federal, que resguarda o direito à vida privada, intimidade, honra e imagem do indivíduo. Por dispensar a autorização prévia à inclusão de informações pessoais em cadastros positivos de crédito, flexibilizar a prestação de informações sobre o tratamento de informações pessoais, fomentar o compartilhamento não autorizado de dados pessoais e dificultar o cancelamento do tratamento de dados, a redação atual do PLP está em desacordo com a Constituição Federal;
b. O PLP nº 441/2017 contraria a legislação vigente que materializa os direitos constitucionais e o interesse público de modo geral, ao dispensar a necessidade de consentimento e coleta, tratamento e compartilhamento de dados pessoais de
60 Ibid, p. 22, cf. Recital 71 da GDPR. 61 Ibid.
25
consumidores para a abertura de cadastros por birôs de crédito. Isso porque o MCI, seu Decreto Regulamentador, o CDC e a própria Lei Geral de Telecomunicações estabelecem que a coleta e o tratamento de dados pessoais deve ser estritamente realizada mediante autorização livre, expressa, informada de seus titulares.
c. O cenário internacional de proteção de dados consagrou o fortalecimento dos direitos do cidadão. O Regulamento Geral de Proteção de Dados tem fundamental importância nesse contexto. A norma veda, a priori, o uso de dados para a tomada de decisões automatizada, inclusive para score de crédito, salvo no caso de consentimento expresso do titular de dados. O Projeto de Lei, ao flexibilizar os direitos de indivíduos - ao invés de fomentá-la, como a norma europeia - teria por resultado colocar o Brasil na contramão das melhores práticas internacionais. Isso tem impacto não apenas jurídico, mas também no sentido de isolar o país das transferências internacionais de informação, uma vez que o ordenamento jurídico brasileiro poderá ser identificado como tendo nível de proteção inferior ao da maioria dos países e, por isso, inadequado para transferências internacionais de dados.
É como me parece,
Rio de Janeiro, 8 de maio de 2018
Ronaldo Lemos
Professor de Direito da Informática da Universidade Estadual do Rio de
Janeiro (UERJ) / Professor da Universidade de Columbia (EUA)
Mestre em Direito pela Universidade de Harvard (EUA) / Doutor em Direito
pela Universidade de São Paulo (USP)