Lei do cadastro positivo vai expor dados do consumidor

O debate em torno do cadastro positivo é um dos poucos assuntos que, curiosamente, estão avançando em alta velocidade no Congresso Nacional. Esse açodamento, como seria de se esperar, é um equívoco.

Ronaldo Lemos

privacidade

Se aprovado, o projeto vai tornar ainda mais crítica a ausência de proteção aos dados pessoais no Brasil. Em outras palavras, vai expor os dados da maioria dos consumidores, que poderão ser usados – sem seu consentimento – contra seus próprios interesses.

É triste que o Congresso Nacional tenha escolhido justamente o mês de maio de 2018 para aprovar esse projeto. No dia 25 deste mês entrará em vigor a nova regulamentação de proteção de dados pessoais na Europa, a chamada GDPR. Essa regulamentação faz exatamente o contrário do que os legisladores brasileiros estão fazendo: em vez de expor dados à revelia dos seus titulares, a norma europeia amplia a proteção sobre eles.

A justificativa dada para o avanço do projeto do cadastro (im)positivo é que ele irá “diminuir os juros” para tomadores de crédito. Há vários problemas nesse argumento. O primeiro é que ele ignora a enorme complexidade da questão dos juros altos no país, atribuindo erroneamente a uma única lei a capacidade de resolver a questão.

Mais do que isso, o projeto de lei em tramitação ignora os aspectos jurídicos constitucionais em torno da questão. Entre nós, a proteção à privacidade é direito fundamental. Mais do que isso, é um dos valores mais importantes deste século, haja vista todos os escândalos de vazamentos e abusos de dados pessoais, inclusive no setor financeiro e de análise de crédito (o caso da empresa Equifax é emblemático nesse sentido).

Outro ponto que causa perplexidade é como instituições que prestam serviços essenciais para milhões de consumidores irão praticamente abrir mão dos dados dos seus clientes para entregá-los a data brokers. A lei prevê que as instituições financeiras e as prestadoras de serviços de água, esgoto, eletricidade, gás e telecomunicação, serão todas consideradas “fontes” para os dados do cadastro positivo.

Ora, dados são hoje o novo capital do século XXI. Causa espanto ver como empresas que poderiam atuar como custodiantes e até mesmo fiduciárias dos dados de milhões de clientes estão dispostas a ceder todo esse volume de informações financeiras para os data brokers, muitos dos quais sequer possuem relações diretas com os consumidores.

O projeto chega até a dizer que “é vedado às fontes [dos dados] estabelecer políticas ou realizar operações que impeçam, limitem ou dificultem a transmissão a banco de dados de informações de cadastrados”.

Isso indica que as empresas que prestam serviços regulados ou essenciais, como os bancos e as concessionárias de serviços públicos e de telecomunicações, poderão ser na prática compelidas a cederem seus bancos de dados –ativo de enorme valor- para brokers de crédito.

Isso irá criar no Brasil um punhado de poucas empresas que serão detentoras de megabancos de dados centralizados. Esse tipo de concentração irá deixar o consumidor em situação ainda mais vulnerável e desprotegida, gerando impactos econômicos imprevisíveis. A história dos últimos 20 anos é clara: quanto mais centralizados os bancos de dados, mais vulneráveis a ataques, abusos e vazamentos eles se tornam.

Nesse contexto, é surpreendente que o projeto ainda por cima limite a responsabilidade civil no manuseio de dados. Em um momento em que o próprio congresso dos Estados Unidos discute aumentar a responsabilidade sobre vazamentos e abusos, a lei em tramitação no parlamento brasileiro promove concentração econômica cumulada com atenuação de responsabilidades. Vá entender.

Em suma, o que o Brasil precisa é aprovar uma lei de proteção aos dados pessoais, e não de uma lei de exposição compulsória desses dados como a que está prestes a ser aprovada pelo Congresso Nacional.

É temerário que um projeto como esse seja debatido antes da construção do marco regulatório para a proteção de dados no País que, diga-se, está atrasado há mais de 20 anos.

Não se trata aqui de ser extremista com relação à proteção dos dados. Essa proteção pode – e deve – ser balanceada, incluindo princípios como o consentimento, mas também criando exceções a ele, como nos casos de legítimo interesse.

Só que esse debate precisa ser feito de forma articulada, e não casuística. O caminho para isso é a construção de uma lei geral de proteção aos dados pessoais, com a qual qualquer lei de análise de crédito deverá posteriormente se compatibilizar. Essa lei geral de proteção de dados deve dialogar com as boas práticas internacionais e com os novos marcos normativos sobre privacidade que estão emergindo e se consolidando globalmente.

Não é isso que o projeto em tramitação faz. A lei do cadastro positivo é caso típico de rabo que abana o cachorro. Ou ainda, em metáfora de um conhecido jurista: é colocar vampiro para cuidar de banco de sangue.

A privacidade deve ser vista como um dos pilares do desenvolvimento de qualquer país na sociedade da informação. Sem privacidade não há governo digital, não há cidade inteligentes, não há internet das coisas e tantas outras oportunidades de desenvolvimento para o país. Tratar tema tão fundamental de forma tão insólita é desperdiçar mais uma vez a oportunidade de construir um país preparado para a economia da informação.