A nova Lei do Cadastro Positivo e os confrontos com a Lei Geral de Proteção de Dados

No dia 9 de julho entrou em vigor a Lei Complementar 166, que resultou em, pelo menos, uma importante alteração na Lei do Cadastro Positivo (Lei 12.414/2011): a inclusão compulsória do histórico de pagamento de pessoas físicas e jurídicas em bancos de dados dos birôs de crédito, como Serasa e SPC.

Ou seja, com as alterações da Lei do Cadastro Positivo, pequenas e médias empresas do país poderão ter acesso ao histórico do perfil de crédito de todos os brasileiros, como pagamentos de contas de luz, água, cartões de créditos e empréstimos bancários.

Uma das promessas do governo é a de que a legislação gerará segurança financeira e, consequentemente, permitirá a redução das taxas de juros.

Antes da entrada em vigor da lei complementar, a inclusão no cadastro positivo acontecia mediante requerimento expresso dos próprios titulares (Opt-in). Agora, a inclusão dos dados é automática e obrigatória, sendo que os portadores de CPF e CNPJ poderão requerer, gratuitamente, que os seus dados sejam excluídos das plataformas de consultas (Opt-out).

Além de polêmicas quanto à efetividade para fins de proteção ao crédito, a alteração promovida pela LC também gera inúmeras discussões sobre a sua adequação à Lei Geral de Proteção de Dados (Lei 13.709/2018), que entrará em vigor em agosto de 2020 e, como já mencionei em artigos prévios, visa a proteção dos dados pessoais, bem como de direitos fundamentais como a liberdade e a privacidade dos cidadãos.

O tratamento dos dados pela Lei do Cadastro Positivo apoia-se na base legal prevista na LGPD de proteção ao crédito – esta base não está prevista na lei europeia de proteção de dados, nem em outras leis de proteção de dados mundiais. Isto justificaria a desnecessidade de prévia autorização (consentimento) dos titulares para a inclusão de seus dados no cadastro.

No entanto, a meu ver, independentemente disso, devem ser observados os direitos previstos na LGPD dos titulares, como a informação sobre os dados que estão sendo tratados, a privacidade, a retificação, o livre acesso, dentre outros. Os princípios previstos na LGPD também deverão ser observados, tais como a finalidade, a adequação e a transparência (especialmente quanto aos critérios dos cadastros dos titulares).

​Tech SC: fique por dentro do universo da tecnologia em Santa Catarina​​​​​​​​​

Outro ponto que, em tese, conflita com a LGPD, é a previsão de que o gestor dos dados está autorizado a compartilhar informações cadastrais e de adimplementos com outros bancos de dados (art. 4º, III, LC 166/2019). Isto porque essa autorização, possivelmente, poderá resultar em compartilhamento de perfis de crédito e consumo para o direcionamento de conteúdos de marketing e oferta de produtos, o que violaria a finalidade original da obtenção dos dados, dentre outros conflitos.

Os debates que circundam esses temas ainda são recentes e devem ganhar força no próximo ano, quando a LGPD entrar em vigor, o que muito provavelmente sujeitará o cadastro positivo à certas adequações, a fim de evitar conflitos com a norma de proteção de dados.

*Thays Joana Tumelero é especialista em Proteção de Dados e Privacidade, pelo Instituto de Ensino e Pesquisa (Insper) e atua como vice-presidente da Comissão de Direito das Startups da OAB/SC.