As alterações na Lei de Cadastro Positivo trazem mudanças que podem impactar os bancos de dados de Fintechs
Introdução
No dia 08/04/2019 foi sancionada, sem vetos, a lei complementar que alterou de forma significativa a Lei do Cadastro Positivo (LCP), Lei nº 12.414/2011. A LCP estabelece as condições para a criação de bancos de dados sobre o adimplemento de pessoas físicas e jurídicas para a formação de histórico de crédito (informações sobre operações de crédito e pagamento adimplidas ou em andamento).
Alteração no Consentimento do Cadastrado dos Dados
Uma das características principais da antiga lei previa que a abertura de um cadastro exigia uma autorização prévia do cadastrado dos dados pessoais mediante consentimento informado, seja por meio de assinatura em instrumento específico ou cláusula apartada. Nesse cenário, diversas instituições financeiras relacionadas ao setor de crédito criticavam o modelo do consentimento prévio ao sustentar que este não seria escalável por depender de uma ação proativa do titular dos dados pessoais. Desse modo, argumentavam que essa ineficiência prejudicaria a real avaliação de risco de crédito no Brasil, levando a uma taxa de juros mais alta. Por outro lado, o modelo de 2011 era defendido por certos setores por garantir à pessoa natural maior controle sobre como seus dados poderiam ser utilizados, promovendo sua autodeterminação informativa.
A alteração da LCP eliminou o modelo prévio de opt-in permitindo com que os gestores de bancos de dados de análise de crédito possam abrir cadastros sem a necessidade de obtenção do consentimento prévio do cadastrado. Entretanto, ainda é possível que a pessoa natural possa requisitar sua exclusão do cadastro, sendo, portanto, adotado o modelo de opt-out. O cadastrado deve ser informado pelo gestor da abertura do cadastro em até 30 dias, inclusive com informações claras sobre como pode requisitar o cancelamento do mesmo.
“Fontes” e Tipos de Dados Pessoais
Outra alteração relevante refere-se a expansão do número de instituições (“fontes”) que podem fornecer informações sobre adimplemento aos gestores dos bancos de de dados. Além das pessoas naturais e jurídicas que (i) fornecem crédito ou (ii) realizam venda a prazo, ou transações semelhantes que ofereçam risco financeiro, foram incluídos (iii) instituições autorizadas a funcionar pelo Banco Central do Brasil, e (iv) prestadores de serviços continuados de água, esgoto, eletricidade, gás, telecomunicações e assemelhados. Contudo, aos gestores continua vedado o uso de dados sensíveis na composição de sua análise de crédito, não sendo permitido o uso de dados sobre origem étnica ou racial, informações sobre saúde, genética, sexo, convicções religiosas, e nem informações sobre pessoas que não tenham relação de parentesco de primeiro grau ou de dependência econômica com o cadastrado.
Compartilhamento dos dados entre “Gestores, “Fontes” e “Consulentes”
Os gestores dos bancos de dados ficam autorizados a compartilhar as informações cadastrais e de adimplemento entre si. Esta alteração, em conjunto com a previsão da lei original de que as fontes não podem discriminar quanto a quais gestores elas irão oferecer os dados de crédito, facilita, de forma expressiva, o fluxo de dados nesse mercado.
O compartilhamento das informações obtidas pelo gestor possui certas limitações de compartilhamento em relação aos terceiros interessados em acessar os dados de adimplemento, para fins de análise de risco de crédito do cadastrado, concessão de crédito ou realização de venda a prazo (“consulente”). Os consulentes só podem requisitar os seguintes dados: (i) a nota de crédito elaborada pelo gestor, e (ii) o histórico de crédito, desde que o cadastrado tenha autorizado previamente.
Em relação a quais cadastrados um consulente tem acesso, ele pode requisitar do gestor dados dos cadastrados com quem ele já tenha uma relação comercial ou creditícia, ou sobre titulares com quem ele pretenda ter uma relação no futuro.
Direitos do Cadastrado
Apesar das alterações, permaneceram como direitos do cadastrado: obter o cancelamento do cadastro; acessar gratuitamente as informações sobre ele; solicitar a impugnação de informações errôneas; ser informado dos critérios utilizados na análise de risco; ser informado previamente pelo gestor de que seus dados estão sendo tratados; o direito de revisão de decisões exclusivamente automatizadas; e ter seus dados utilizados somente de acordo com a finalidade com que foram coletados. Como se percebe, grande parte desses direitos também são previstos na LGPD para qualquer tratamento de dados pessoais. É curioso notar que os direitos previstos na LCP são extensíveis às pessoas jurídicas, ao contrário da LGPD que só se aplica a pessoas naturais. Também é interessante destacar que o cadastrado tem o direito de requisitar do gestor quem foram os terceiros (consulentes) que requisitaram seus dados de crédito nos 6 meses anteriores ao pedido
Responsabilidade do Gestor, Fonte e Consulente
Em relação à responsabilidade pelo tratamento, tanto o gestor do banco de dados, como as fontes de informação e os consulentes são responsáveis objetiva e solidariamente pelos danos materiais e morais que causarem ao cadastrado. Porém, as novas alterações legais limitaram essa responsabilidade somente aos danos materiais e morais baseados no Código de Defesa do Consumidor.
Em relação ao compartilhamento entre gestores, aqueles que receberem uma informação de outro gestor equiparam-se ao gestor que originalmente coletou a informação para os efeitos da lei, inclusive em relação a responsabilidade por eventuais prejuízos causados.
Considerações Finais
Conforme demonstrado acima, o novo regime legal facilita o fluxo de dados entre gestores, fontes e consulentes para a formação e acesso ao histórico de adimplemento. Apesar de permitir uma melhor análise dos riscos do mercado de crédito, podendo possibilitar uma redução na taxa de juros, ainda não é certo se as novas alterações permitirão a proteção adequada dos consumidores. Ademais, é possível questionar-se se haverá interpretações conflituosas entre o disposto na nova LCP e as disposições da LGPD.
