Novas regras visam equilibrar direito à privacidade e redução de assimetria de informações no mercado de crédito

Por Bruno Carazza.

 

Saiu hoje o Decreto nº 9.936, com a regulamentação dos cadastros positivos, os bancos de dados que coletarão e analisarão informações de transações bancárias e comerciais para a formação de um histórico de risco de crédito de pessoas físicas e jurídicas.

Serviços de proteção ao crédito no Brasil existem desde pelo menos a década de 1950, mas a legislação que os regula vem sendo aprimorada nos últimos anos, sendo os principais marcos: o art. 43 do Código de Defesa do Consumidor (Lei nº 8.078/1990), a Lei nº 12.414/2011, que regulou os bancos de dados com informações tanto de adimplemento quanto de inadimplemento no histórico de crédito e, finalmente, a Lei Complementar nº 166/2019, que dispensa de autorização prévia a abertura de cadastros de pessoas físicas ou jurídicas.

Com a edição do Decreto nº 9.936, de 24/07/2019, fecha-se o ciclo de regulação dessa atividade econômica, voltada principalmente para a redução da assimetria de informações no mercado de crédito, de forma a estimular a concorrência e a queda de juros para clientes com bom perfil de risco.

Votação do projeto do cadastro positivo (PL nº 836/03) na Câmara dos Deputados, ainda em 2009. Foto: Rodolfo Stuckert/Câmara.

 

E quais são as principais regras editadas pelo governo para estimular a atividade e, ainda, garantir a segurança e a confiabilidade das suas operações?

De acordo com o novo decreto, os bancos de dados (Serasa, SPC, Boa Vista Serviços e outros) deverão ter patrimônio líquido mínimo de R$ 100 milhões (na regra anterior, eram R$ 20 milhões). Como regra de transição em relação ao modelo atual, o decreto permite que se considere o PL das controladoras ou associadas ao banco de dados, num percentual decrescente que vai de 60% em 2020 a 10% em 2026.

O decreto não estabelece requisitos técnico-operacionais para o funcionamento dos bancos de dados, apenas exige a apresentação de certificações emitidas por empresa independente, com validade de 3 anos e revisões anuais, sobre integridade, sigilo, segurança, vulnerabilidade. Temos aqui outra inovação em relação ao Decreto nº 7.829/2013 (revogado), pois na regra anterior as certificações tinham validade de 2 anos, mas sem a exigência de revisões anuais.

Com relação à transparência, continua a ser exigida a divulgação mensal de informações sobre desempenho econômico-financeiro, quantitativo de operações, consultas, cadastrados e consulentes, bem como relatório de erros e ocorrências registradas no Serviço de Atendimento ao Consumidor do banco de dados. Foi excluída, no entanto, a obrigação de divulgação do número de fontes de informações ativas, o que representa uma perda em termos de monitoramento sobre a abrangência e capilaridade dos bancos de dados em coletar informações comerciais e creditícias.

O banco de dados deve indicar responsáveis técnicos pela gestão do banco de dados e pela política de segurança da informação. Além disso, a política de transparência de uso e coleta de dados deve ser assegurada por empresa de auditoria independente registrada na Comissão de Valores Mobiliários (CVM).

Os canais de relacionamento com o consumidor (pela internet, telefone e afins) devem assegurar o exercício gratuito dos direitos de cancelamento e reabertura do cadastro, consulta de seu histórico e pontuação de crédito, bem como a impugnação de qualquer informação incorreta.

Como os bancos de dados poderão atribuir uma nota de risco de crédito a cada pessoa física ou jurídica, os critérios e elementos considerados no seu cômputo devem ser disponibilizados aos consumidores. O decreto, porém, só faz menção de divulgação desses elementos pelo SAC, e não sua disponibilização na internet – o que é uma pena. E também ressalva informações sigilosas em decorrência de sigilo empresarial. Logo, a metodologia do credit scoring não será divulgada.

O histórico de crédito de pessoas físicas e jurídicas, que servirá para avaliar o risco financeiro dos cadastrados, será constituído por: data da concessão do crédito ou da assunção de obrigação de pagar; valor do crédito ou pagamento; valores das prestações; datas de vencimento e pagamento.

Somente alguém que tem ou pretende manter relação comercial ou creditícia com o cadastrado pode ter acesso às suas informações. E embora não haja mais autorização para a abertura do cadastro (extinta pela Lei Complementar nº 166/2019), continua valendo a autorização prévia para que alguém consulte o histórico de indivíduos ou empresas cadastradas no banco de dados.

A esse respeito, o decreto apresenta, no anexo, um modelo simples de autorização, que contém o nome e o CNPJ de quem será autorizado a obter o histórico de crédito (consulente), o prazo de validade da autorização e os dados pessoais e assinatura do cadastrado.

Instituições financeiras nas quais a pessoa física ou jurídica tiver conta poderão ter autorização de consultar os bancos de dados por tempo indeterminado, enquanto o vínculo comercial estiver mantido. Mas a autorização pode ser revogada a qualquer momento pelo cadastrado.

Os bancos de dados devem informar na internet e por telefone, para consulta dos cadastrados, todas as informações do cadastrado que possuir no momento da consulta, indicação (com endereço e telefone de contato) das fontes dessas informações, os bancos de dados com os quais aquelas informações foram compartilhadas e quem consultou seus dados nos últimos 6 meses.

Os bancos de dados devem manter dados sobre autorizações, pedidos de cancelamento e recadastramento, exclusões e correções de anotações pelo prazo mínimo de 15 anos. Para os fins de auditoria, esses dados ainda deverão ser mantidos em arquivo pelo prazo adicional de 15 anos depois do cancelamento do cadastro.

O decreto também regulamenta os prazos e a forma de cancelamento do cadastro e a suspensão da divulgação de sua nota de crédito a consulentes. De forma a garantir a consistência do histórico creditício dos cadastradas, o decreto mantém a vedação a pedidos de exclusão parcial de informações (a menos que elas tenham sido incluídas indevidamente) e, felizmente, exclui a possibilidade, prevista no regramento anterior, de requerimentos de que informações não sejam acessíveis a determinados consulentes.

Os dados fornecidos pelas fontes aos bancos de dados deverão conter: informações da fonte (nome e CNPJ/CPF); dados do cadastrado (nome, CPF/CNPJ. endereço físico e eletrônico e telefone) e informações do adimplemento: natureza da relação (creditícia, comercial, serviço continuado, outra), data de início da relação, valor total, datas e valores de pagamento a vencer e vencidas, datas e valores dos pagamento realizados, ainda que parciais.

Em caso de vazamento de dados, deverão ser acionados a Autoridade Nacional de Proteção de Dados, o Banco Central e a Secretaria Nacional do Consumidor, além do próprio cadastrado.

Por fim, o cadastrado pode solicitar a revisão de decisões de concessão de crédito ou de relacionamento comercial se elas tiverem sido baseadas exclusivamente na nota de crédito fornecida pelo banco de dados.

De acordo com a Lei nº 12.414/2011, a fiscalização da atividade dos bancos de dados ficará a cargo dos órgãos de proteção e defesa do consumidor (Procons).

O aumento da concorrência e a queda das taxas de juros ao consumidor no Brasil dependem de inúmeros fatores, e o cadastro positivo certamente não será a bala de prata que resolverá esse problema crônico de nossa economia da noite para o dia. Além disso, só com o tempo poderemos avaliar como a nova regulação lida com o difícil equilíbrio entre proteção da privacidade e incentivo à redução da assimetria de informações no mercado de crédito. De toda forma, as normas publicadas recentemente estão em sintonia com as melhores práticas internacionais sobre essa matéria.