Manifesto sobre a falta de autorização no SCR

MANIFESTO A DD Soluções Positivas  e a LGPD I. Sobre a DD Soluções Positivas, sociedade empresária limitada, inscrita no CNPJ sob o nº 42.061.695/0001-61, com sede na Cidade de Joinville, Estado de Santa Catarina, na Rua Albino Kolbach, 51, Costa e Silva, CEP 89217-300  (“DD“) é uma empresa cujo objeto envolve o fornecimento de produtos e serviços de bureau de digital de crédito para pessoas físicas e pessoas jurídicas. A DD  é um bureau digital de proteção ao crédito, authority de Score, especializado em inteligência de dados e plataformas de decisão customizáveis, e ainda, é proprietária de um banco de dados composto por informações comerciais e cadastrais relativas a pessoas naturais e jurídicas, oferecendo acesso exclusivo, de forma remota e/ou integrada, às suas aplicações e plugins de informações constantes de seu portfólio de soluções, de acordo com os tipos de personalização demandada para auxílio na tomada de decisões; O cerne da prestação de serviço ofertada pela DD se encontra na disponibilização de insumos para análise de crédito, risco e cadastro de potenciais clientes, o que pode ser feito por consultas modulares que oferecem respostas em tempo real. Como resultado das consultas realizadas, a DD informa um score correspondente ao CPF ou CNPJ consultado, calculado inicialmente segundo uma modelagem standard da DD , que poderá ser customizada especialmente para as operações do cliente, conforme os parâmetros, variáveis, atributos e critérios estabelecidos para construção e/ou ajuste dos modelos de crédito desejados. É importante destacar que, como Bureau, a DD  atua prioritariamente como OPERADORA dos dados que cede em suas consultas, eis que realiza enriquecimento, conferência e higienização de dados. Ainda, frisa-se que anteriormente à qualquer contratação, a DD  exige a assinatura de termo de confidencialidade, protegendo a relação entre as partes e cada dado por ela cedido, exigindo o cumprimento da finalidade da cessão, nos termos da lei. II. Bureaus de Crédito Bureaus de Crédito são empresas privadas autorizadas a centralizarem informações de inadimplência de pessoas naturais e pessoas jurídicas. A palavra "bureau", de origem francesa, nada mais é do que CENTRALIZADOR. Historicamente, os Bureaus de Crédito têm como objeto social centralizar dados para prover SERVIÇOS DE PROTEÇÃO AO CRÉDITO e auxiliar o órgão regulador a prevenir Riscos Sistêmicos. Assim, Bureau de crédito é um tipo de empresa que registra o histórico de pagamentos de pessoas ou empresas – como se fosse um grande banco de dados de dados sobre registros e comportamento de pagamentos. Se uma pessoa atrasa uma conta ou contrai uma dívida, por exemplo, essa informação é registrada pelos órgãos oficiais, entidades de classes ou credores nos bureaus. Por isso, costuma-se dizer que os bureaus são empresas de proteção ao crédito: porque se uma pessoa pedir crédito a uma instituição (como um empréstimo a um banco ou um parcelamento a uma varejista), os bureaus serão consultados para que a instituição tenha mais informações sobre o histórico pagador desse consulente. A partir dos dados dos bureaus, as empresas que oferecem algum tipo de crédito podem fazer suas análises para conceder ou não empréstimos, cartões de crédito, financiamento, dentre outras operações. Ou ainda, contemplando a prevenção à riscos sistêmicos, empresas validam os dados para análise antifraude. Para exercer sua atividade, um bureau de crédito acessa dados de fontes públicas e privadas, como lojas, bancos, operadoras de cartão, redes varejistas, concessionárias de água, e luz, entidades de classes, tabelionatos de protestos, bases governamentais, dentre outras. Tudo isso para ter informações completas sobre o histórico do consumidor, seja ele pessoa natural ou pessoa jurídica. É importante destacar que os bureaus de crédito seguem leis específicas com o objetivo de proteger dados sensíveis do consumidor e são regulados pelo Banco Central do Brasil. Dito isso, ressaltamos que a estrutura legal da atividade de bureaus de crédito no Brasil foi complementada pela Lei Federal nº 12.414, de 09 de junho de 2011, regulamentada pela Resolução nº 4.737, de 29 de julho de 2019 e o Código de Defesa do Consumidor. A Lei 15.659/15 regulava de forma mais simples o sistema de inclusão e exclusão dos nomes dos consumidores nos cadastros de proteção ao crédito; posteriormente, com a alteração incluída pela Lei 16.624/2017, tal regulação se preocupou mais em proteger o consumidor, no sentido de garantir o direito à informação, além de manter o sistema de inclusão e exclusão dos nomes dos consumidores nos cadastros de proteção ao crédito. Atualmente, a Lei 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), regulamentou a posse e uso dos dados em todo o território nacional, bem como legitimou expressamente a prestação de serviços dos Bureaus ao inserir o inciso X, ao seu artigo 7°: “X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.” Referidas normas e regulamentos autorizam as empresas autorizadas pelo Banco Central do Brasil a atuarem como bureaus a acessar dados pessoais de fontes públicas e privadas para: (i) a realização de análise de risco de crédito do cadastrado; ou (ii) subsidiar a concessão ou extensão de crédito e a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco financeiro ao consulente; ou (iii) subsidiar a análise antifraude de relações comerciais por execução de contrato ou legítimo interesse. Nessa esteira, a DD , na qualidade de bureau de crédito, possui a devida autorização do Banco Central do Brasil para seu funcionamento, bem como restringe seu tratamento de dados pessoais às finalidades previstas na legislação aplicável a sua categoria. III. Introdução à LGPD Conforme definido em seu artigo 1º, a Lei Geral de Proteção de Dados é a lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.  Dessa forma, passa a ser regulamentada no Brasil toda e qualquer operação realizada com informação relacionada a pessoa natural identificada ou identificável (“Dado Pessoal”)1 , como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (“Tratamento”)2 . Optando por um escopo amplo, a LGPD aplica-se a qualquer operação de Tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que3: · a operação de Tratamento seja realizada no território nacional; · a atividade de Tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou · os Dados Pessoais, objeto do Tratamento tenham sido coletados no território nacional. São poucas as exceções à regra acima indicada, de modo que a LGPD não se aplica ao Tratamento de Dados Pessoais4: · realizado por pessoa natural para fins exclusivamente particulares e não econômicos; · realizado para fins exclusivamente jornalísticos e artísticos ou acadêmicos; · realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou · provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD. Dessa forma, de modo geral, a LGPD acaba sendo aplicável a todas as empresas situadas em território nacional que devem trabalhar para estar em conformidade com a Lei e atender todos os seus requisitos obrigatórios. Isso se dá, porque minimamente, por mais que a atividade objeto da empresa não envolva o Tratamento de Dados Pessoais, todas as 1 Art. 5º, I, LGPD 2 Art. 5º, X, LGPD. 3 Art. 3º, LGPD. 4 Art. 4º, LGPD. empresas possuem uma relação de empregados que possui Dados Pessoais (e.g., nome, RG, CPF, endereço, telefone) e uma lista de clientes com seus respectivos contatos (e.g., nome, e-mail, telefone). Cumpre ressaltar que a LGPD se encontra em vigor desde 18 de setembro de 2020, exceto por suas sanções específicas que passaram a vigorar a partir de 1º de agosto de 2021. Dessa forma, até 1º de agosto de 2021, a Lei Geral de Proteção de Dados poderia ser: (i) utilizada pela pessoa natural a quem se referem os dados pessoais que são objeto de tratamento5 (“Titular”) para fins de requisição de seus direitos legais perante as empresas e (ii) aplicada pelo Poder Judiciário em julgamentos e na tomada de decisões. A partir de 1º de agosto de 2021, as sanções administrativas da LGPD passaram a vigorar, de modo que poderão vir a serem aplicadas pela Autoridade Nacional de Proteção de Dados, órgão público criado para regular a Lei Geral de Proteção de Dados, as quais serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção6 . Para fins de referência, as sanções administrativas da LGPD são7: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, observado o limite total a que se refere o item II; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (vi) eliminação dos dados pessoais a que se refere a infração; 5 Art. 5º, V, LGPD. 6 Art. 52, §1º, LGPD. 7 Art. 52, LGPD. (vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Destacamos que as sanções acima indicadas poderão vir a ser aplicadas sempre que existir uma infração à Lei Geral de Proteção de Dados, a qual pode se traduzir em: · não conformidade com requisitos obrigatórios da lei; · incidente de Dados Pessoais; · atuações da Autoridade Nacional de Proteção de Dados; · denúncias de práticas ilegais feitas por Titulares. IV. Bases Legais para Tratamento de Dados Pessoais A LGPD determina que toda atividade de Tratamento de Dados Pessoais deverá observar a boa fé e os princípios da finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas8 . Adicionalmente, toda e qualquer operação de Tratamento de Dados Pessoais somente poderá vir a ser realizada caso exista uma base legal que justifique tal operação, quais sejam9: · mediante o fornecimento de consentimento pelo Titular; · para o cumprimento de obrigação legal ou regulatória; · pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; · para a realização de estudos por órgão de pesquisa; · quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; · para o exercício regular de direitos em processo judicial, administrativo ou arbitral; · para a proteção da vida ou da incolumidade física do titular ou de terceiros; · para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; · quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou · para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Vale notar que o rol acima é bastante amplo e pretende, prioritariamente, legitimar e regular as atividades e operações já realizadas com dados em várias áreas do mercado, de modo a trazer segurança às partes envolvidas. Nunca foi escopo do legislador criar obstáculos ao exercício de atividades legítimas e corretas. Os princípios expressamente previstos na lei geral de Proteção de dados são verdadeiras diretrizes que devem nortear todas as relações que envolvam dados e, com base neles, em especial o princípio da finalidade, é possível coibir o mau uso e o desvio ético que poderiam ocorrer sem tal previsão legal. V. Atividade da DD  a LGPD A DD  reconhece a importância de assegurar a proteção dos dados pessoais e estar em conformidade com a LGPD. O respeito à legislação vigente é um dos princípios e diretrizes adotados pela DD  e está presente nas ações tomadas pela DD  que envolvem Tratamento de Dados Pessoais, sempre pensando na melhor forma de garantir a privacidade e proteção dos Dados Pessoais. Nesse sentido, por se tratar de uma lei geral, seguem em vigor e aplicáveis às atividades da DD  as regras do Código de Defesa do Consumidor (Lei nº 8.078/90) para o tratamento dos dados negativos. Em seu art. 7º, X, a LGPD cita expressamente que o Tratamento dos Dados Pessoais pode ser realizado para a “proteção do crédito”. No mesmo inciso, reconhece os dispositivos existentes na legislação pertinente, incluindo assim as leis que tratam especificamente de crédito. Importante destacar que o inciso “X” refere-se à proteção do crédito em seu sentido completo, e não apenas no que concerne à cientificação de dívida atrelada ao CPF ou CNPJ, vez que os “protetores de crédito” fortalecem os segmentos do comércio de bens, serviços e empreendedorismo ao desenvolver relações de confiança entre empresa e consumidor, além de evitar possíveis fraudes, lavagem de dinheiro, e até mesmo, mitigar a ocorrência de crimes contra a economia, gerando melhor segurança ao consumidor, empresas e para economia de forma geral. Ainda que não bastasse, o art. 7º, II, da LGPD indica que o Tratamento de Dados Pessoais pode ocorrer “para o cumprimento de obrigação legal ou regulatória pelo controlador”. Nesse sentido, a LGPD não altera as regras atuais, especialmente o Código de Defesa do Consumidor e a Lei do Cadastro Positivo. Destacamos e reconhecemos a existência do “consentimento” como hipótese para Tratamento de Dados Pessoais (art. 7º, I, LGPD), ou seja, a autorização expressa do titular, mas ressaltamos que esta não é a única. Existem outras nove hipóteses que podem ser utilizadas como base legal para justificar o Tratamento conforme a finalidade e a utilização dos dados, como a proteção do crédito, cumprimento de obrigação legal e regulatória, ou até o legítimo interesse, por exemplo. Nesses casos, desde que o Tratamento seja feito conforme determina a LGPD, principalmente quanto ao cumprimento dos princípios e dos direitos do titular, não há necessidade de autorização expressa do titular. É importante destacar que a proteção de dados pessoais não é um assunto novo, já que ele tem sido tratado por diversas leis esparsas, como a Constituição Federal, a Lei do Habeas Data, o Marco Civil da Internet, a Lei do Cadastro Positivo e o Código de Defesa do Consumidor. Dessa forma, a DD  já estava e continuará trabalhando para garantir ao titular o exercício de diversos direitos previstos na LGPD, em especial os que se referem à garantia de acesso e retificação de seus dados, por meio de seus canais de atendimento. O time da DD  fica à total disposição para prestar quaisquer esclarecimentos adicionais relacionados ao assunto.