5. Do dano decorrente da inserção de dados pessoais na CRC
Em relação aos convencionais cadastros de inadimplentes e de proteção ao crédito, a simples inclusão de dados financeiros pessoais tem sido considerada como lesiva aos direitos da personalidade (honra e privacidade) do consumidor. Isso se explica porque "a idoneidade financeira é o principal elemento individualizador do consumidor no contexto da sociedade de consumo massificado. Ademais, os serviços prestados pelos bancos de dados de proteção ao crédito se revestem de caráter extremamente invasivo, uma vez que reúnem e disponibilizam ao público(21) dados pessoais acerca do consumidor, mais precisamente sobre sua solvência, que, sem dúvida, é um dos elementos de sua honra objetiva". Portanto, "em se tratando de indenização decorrente da inscrição irregular no cadastro de inadimplentes, a exigência de prova de dano moral (extrapatrimonial) se satisfaz com a demonstração da existência da inscrição irregular nesse cadastro"(22). Aliás, a jurisprudência do STJ vem ressaltando que não apenas a inserção dos dados (negativação) em banco de dados importa na presunção do dano moral, mas também a simples ausência de comunicação prévia do registro ao consumidor é causa suficiente para o dano e a obrigação de repará-lo(23).
A mesma lógica não se aplica aos bancos de dados múltiplos, aos chamados "cadastros positivos" ou a qualquer outra base de dados pública que não tenha a finalidade exclusiva de servir como cadastro de consumidores inadimplentes. É o caso da Central de Risco de Crédito do Banco Central, que possui características que a difere dos típicos bancos de dados e cadastros de consumo. Por exemplo, as informações que alimentam o sistema são prestadas de forma compulsória, isto é, as instituições bancárias são obrigadas a prestar informações sobre o montante dos débitos e responsabilidades por garantias de seus clientes, por força de norma regulamentar expedida pelo próprio Banco Central(24). Não tem, pois, a facultatividade que costuma caracterizar os bancos de dados e cadastros de consumo, em que as informações negativas são transmitidas voluntariamente ao administrador do sistema. Além disso, tem uma política de acesso diferenciada, pois somente podem consultar suas informações: a) analistas do Banco Central, na realização de tarefa de supervisão das instituições bancárias ou a pedido de clientes; b) os clientes dos bancos (pessoa jurídica ou física) que tenham dados na CRC, mediante apresentação de documentação exigida; e c) instituições financeiras que participam do sistema, desde que tenham autorização específica do cliente(25). Mesmo a pessoa jurídica interessada na realização do negócio jurídico com o consumidor (cliente de serviços bancários) cujos dados encontram-se registrados, não pode fazer consulta sem que este último autorize expressamente. Além da restrição do acesso ao sistema, as pessoas autorizadas têm níveis diferenciados de consulta às informações. As pessoas físicas ou jurídicas cujos nomes constam na CRC e os analistas do Banco Central podem realizar consultas mais detalhadas que as instituições financeiras.
Em função da natureza diferenciada e da restrição do acesso à base de dados da CRC, a simples inclusão de dados pessoais não resulta em presunção de prejuízo para o cliente bancário. Mesmo havendo inserção momentânea de dados incorretos, o prejuízo não é automático e não se presume, dada a política diferenciada do acesso à base de dados. Nos cadastros de inadimplentes, a simples inclusão do nome de alguém já é suficiente para causar danos. Esses cadastros são espécie de "listas negras" do mercado de consumo e basta a simples presença do nome de determinado consumidor numa delas para causar-lhe restrição ao crédito. São acessados de forma livre por associados e contratantes do serviço de informações prestado pelo operador da base de dados. Assim, é lógico presumir o dano como decorrente da simples inserção de informações pessoais em cadastros e bases de dados dessa natureza. O mesmo não se pode dizer das "centrais de risco de crédito", pelas características diferenciadas da qualidade dos dados que integram sua base de informações e da restrita política de acesso. Nelas, os dados são armazenados para fins diversos, não se prestando à exclusiva finalidade de registrar os nomes de devedores inadimplentes. Além disso, a restrita política de acesso não permite que as informações se disseminem e cheguem a outras pessoas que não os operadores e auditores do sistema.
Tenha-se, portanto, que da maneira como a CRC foi normativamente concebida, a simples inserção de informações financeiras pessoais em seu sistema (base de dados) não gera automaticamente dano para o sujeito (a quem elas se referem). Nem mesmo quando os dados tenham natureza negativa (quando relacionados com a insolvência de dívidas) o dano se presume; a eles em princípio não têm acesso terceiros outros, ficando preservada a confidencialidade e eliminada a potencialidade danosa aos direitos da personalidade tão comum aos cadastros de inadimplentes e serviços de proteção ao crédito. A limitação do acesso às informações nela armazenadas impede a consumação do dano.
É certo que pode haver vazamento de informações, transferência não autorizada ou qualquer forma ou uso irregular da base de dados, mas tais situações precisam ser investigadas no caso concreto, com recurso ao Judiciário, se for o caso. O que não se pode é dispensar às bases de dados públicas de caráter múltiplo o mesmo tratamento jurídico previsto para os "cadastros de inadimplentes". O dano que decorre da simples inclusão de dados pessoais nesses últimos, não se configura quando a mesma operação é feita na CRC(26).
6. Conclusões:
1- A simples existência e funcionamento da base de dados da Central de Risco de Crédito, envolvendo trocas de informações cadastrais dos clientes (consumidores de serviços bancários) e sobre operações financeiras entre o Banco Central e os bancos privados, não fere diretamente a garantia constitucional à privacidade (sigilo bancário), em face da permissão expressa da Lei Complementar n. 105, de 10 de janeiro de 2001.
2- A violação à privacidade garantida pelo sigilo bancário pode resultar de eventual disfunção que se fizer do sistema, através da utilização indevida das informações, fora dos casos previstos em lei ou norma regulamentar do Conselho Monetário Nacional, alienando-se a diretriz de interesse público que deve sempre nortear o controle e uso das informações pessoais contidas na CRC ou em qualquer outra base de dados gerida pelo Poder Público.
3- O conjunto de normas do CDC (art. 43 e seus incisos) somente se aplica à Central de Risco de Crédito no que couber. Naquilo que representar emanações de direitos garantidos constitucionalmente, relativos à proteção de dados pessoais (art. 5º., incisos. X, XII e LXXII), aplicam-se indistintamente à CRC ou a qualquer outra base de dados (eletrônica ou não) que contenha informações pessoais). As demais disposições identificadas como específicas da regulação de castrados de inadimplentes têm aplicação restrita ao âmbito dessa atividade.
4- Os direitos de acesso, de comunicação e de retificação de dados pessoais são garantidos à pessoa que tem dados pessoais coletados e armazenados em "centrais de risco de crédito" ou qualquer outra base gerida pelo Poder Público, já que têm base constitucional - art. 5º., incs. X, XII e LXXII, da CF.
5- Esse conjunto de direitos garante o indivíduo contra a atuação de controladores de bases de dados informatizadas ou não. O direito que todo cidadão tem de ter acesso à informação pessoal, de conhecê-la e solicitar, se for o caso, sua atualização ou retificação, refere-se tanto aos dados processados mecanicamente quanto àqueles obtidos por meio de procedimentos automatizados, através da utilização de equipamentos computacionais. Embora a nossa Constituição não tenha utilizado a mesma técnica de outros textos constitucionais, ao constitucionalizar o remédio do habeas data e garantir proteção aos dados pessoais (por meio do resguardo da intimidade e vida privada), pode-se deduzir que ela consagrou o "direito de autodeterminação informativa ou informática".
6- Em função da natureza diferenciada e da restrição do acesso à base de dados da CRC, a simples inclusão de dados pessoais não resulta em presunção de prejuízo para o cliente bancário. Mesmo havendo inserção momentânea de dados incorretos, o prejuízo não é automático e não se presume, diferentemente do que ocorre em relação aos cadastros de inadimplentes e de proteção ao crédito.
Notas:
1- Para realizar consultas sobre o montante das operações de crédito existentes a partir de janeiro de 1998. Atualmente, só é possível às instituições financeiras consultarem dados relativos aos últimos 12 meses.
2- A Carta-Circular n. 002909, de 26 de abril de 2000 esclareceu procedimentos a serem observados para a remessa mensal de informações relativas a clientes, no âmbito do sistema da Central de Risco de Crédito.
3- Bancos múltiplos, comerciais, caixas econômicas, bancos de investimento, bancos de desenvolvimento, sociedades de crédito imobiliário, sociedades de crédito, financiamento e investimento, companhias hipotecárias, agências de fomento ou de desenvolvimento, sociedades de arrendamento mercantil, cooperativas de crédito e sociedades de crédito ao microempreendedor. Mas segundo informa Priscila Cunha Lima (em seu artigo Central de Risco de Crédito do Banco Central do Brasil e o sigilo bancário, artigo publicado no site JusNavigandi, endereço: www.jus.com.br, visitado em 12.07.04), outros órgãos e instituições também deverão alimentar a base de dados, conforme planejado para a sua reformulação já em andamento, a exemplo da Secretaria da Receita Federal (SRF), das Câmaras de Compensação, Liquidação e Custódia, do Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), do Departamento de Capitais Estrangeiros e Câmbio (Decec), do Departamento de Supervisão Direta (Desup), do Departamento de Supervisão Indireta (Desin), do sistema de Balancetes Cosif, do Cadastro de Emitentes de Cheques sem Fundo (CCF), do sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad) e outras instituições financeiras e assemelhadas.
4- Segundo o art. 2º., II, da Res. n. 2724, de 31 de maio de 2000, do Banco Central, as informações que alimentam a base de dados da CRC são de exclusiva responsabilidade das instituições integrantes do SFN, "inclusive no que diz respeito às respectivas inclusões, atualizações ou exclusões do sistema".
5- Circular n. 002999, de 24 de agosto de 2000, da Diretoria Colegiada do Banco Central do Brasil, alterou para 5 (cinco) mil reais o valor relativo a operações, de responsabilidade de clientes, que devem ser informadas ao Banco Central. De agosto de 1998 até outubro de 1999, o limite era de R$ 50.000,00; de novembro de 1999 a dezembro de 2000, o limite era de R$ 20.000,00; e de janeiro de 2001 até hoje, o limite é de R$ 5.000,00.
6- O novo software, conhecido abreviadamente por SCR, estava previsto para ser implantado em julho de 2003.
7- Para a supervisão bancária foram aperfeiçoadas as verificações do nível geral de inadimplência dos clientes e do volume de crédito utilizado pelos diversos tipos de tomadores. As instituições financeiras também foram beneficiadas com a facilitação do acesso ao histórico de dados do tomador (do crédito) em ambiente web.
8- Nas palavras de Priscila Cunha Lima, artigo citado.
9- A Diretiva Européia de proteção de dados pessoais 95/46/CE segue essa orientação, ao estabelecer exceções amplas à atividade estatal relativa a assuntos de segurança pública, de defesa do Estado e de suas atividades de investigação (art. 13 e 26).
10- Central de Risco de Crédito do Banco Central do Brasil e o sigilo bancário, artigo publicado no site JusNavigandi (endereço: www.jus.com.br), visitado em 12.07.04.
11- O direito de acesso aos dados sobre ele armazenados sem o seu conhecimento confere também ao consumidor o direito de acesso às fontes em que foram coletadas as informações.
12- Esse limite temporal de permanência de dados relativos a dívidas inadimplidas nos bancos de dados de consumo "impede a aplicação de pena de caráter perpétuo, vedada pela Constituição da República (art. 5º, XLVII, b) e uniformiza o tratamento da matéria ao impedir efeitos extrajudiciais da dívida prescrita e não permitir que esta perturbe eternamente a vida do consumidor, cassando-lhe o crédito e a possibilidade de reabilitação" (João Batista de Almeida, citado por Antônio Herman Vasconcellos e Benjamin,,. p. 381).
13- Parece não existir norma que limite a permanência dos registros informacionais na CRC. No entanto, as instituições bancárias, quando autorizadas pelo cliente, só têm acesso às informações sobre ele registradas nos últimos 12 meses.
14- Trecho de voto, citado em artigo de Jonair Nogueira Martins – A Serasa, o Banco Central do Brasil e o Desrespeito à Constituição Federal.
15- Com uma diferença em relação a outras situações pertinentes à proteção da privacidade individual: está limitada pela própria Constituição, que excepciona essa garantia, ao prever a possibilidade de quebra por ordem judicial para fins de investigação criminal ou instrução processual (art. 5º., XII). Como nenhuma liberdade constitucional é absoluta, no caso das correspondências e comunicações (telegráficas, de dados e telefônicas) o próprio texto constitucional cuidou de excepcioná-las, na medida em que admite a interceptação dentro de certos parâmetros.
16- O inc. XII do art. 5º. da CF dispõe "é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;"
17- LXXII - conceder-se-á "habeas-data":
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;
18- Artigo 35.º da Constituição Portuguesa (Utilização da informática):
1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei.
2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa independente.
3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.
5. É proibida a atribuição de um número nacional único aos cidadãos.
6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional.
7. Os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei.
19- Artículo 18 de La Constitución Española:
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
20- O direito de autoderminação informativa ou informática tem sido considerado, pela doutrina constitucional espanhola, na categoria dos "derechos constitucionales nuevos". Destaque para o jusfilósofo Pérez Luño, com a chamada "Libertad informática", vislumbrada a partir do art. 18-4 da Constituição espanhola, que regula a informática estabelecendo como limites o exercício dos direitos fundamentais (como a intimidade, a honra e a imagem).
21- Na verdade, devido ao caráter pessoal e à potencialidade lesiva dos dados registrados, os bancos de dados de proteção ao crédito procuram não disponibilizar as informações constantes de seus arquivos ao público em geral. Apenas aqueles que possuem contrato com essas entidades (bancos, comerciantes, entre outros) ou são a elas associados podem ter acesso aos dados armazenados.
22- STJ-4ª Turma. RESP 165.727/DF. Relator: Sálvio de Figueiredo Teixeira. Data do julgamento: 16.06.1998. DJ 21.09.1998, p. 196.
23- Nesse sentido a ementa a seguir transcrita:
"Direito do consumidor. Inscrição indevida no SPC. Furto do cartão de crédito. Dano moral. Prova. Desnecessidade. Comunicação ao consumidor de sua inscrição. Obrigatoriedade. Lei 8078/90, art. 43, § 2º. Doutrina. Indenização devida. Fixação. Precedentes. Recurso parcialmente provido.
II. De acordo com o art. 43, § 2º do Código de Defesa do Consumidor, e com a doutrina, obrigatória é a comunicação ao consumidor de sua inscrição no cadastro de proteção ao crédito, sendo, na ausência da comunicação, reparável o dano oriundo da inclusão indevida (STJ-4ª Turma. RESP 165.727/DF. Relator: Sálvio de Figueiredo Teixeira. Data do julgamento: 16.06.1998. DJ 21.09.1998, p. 196.
24- A regulamentação do sistema da Central de Risco de Crédito do Banco Central foi inicialmente efetuada através da Resolução n. 2.390, de 22 de maio de 1997, substituída posteriormente pela Resolução 2.724, de 31 de maio de 2000, ambas emitidas pelo Conselho Monetário Nacional (CMN). Tanto a primeira (revogada) como a que a revogou estabeleceram a obrigatoriedade, pelas instituições financeiras, de prestar informações sobre o montante dos débitos e responsabilidades por garantias dos seus clientes (consumidores de serviços bancários). Essa obrigação constava do art. 1º. da Res. 2.390/97 e está prevista no art. 1º. da Res. 2.724/00.
25- É o que dispõe o art. 3º da Res. n. 2724, de 31 de maio de 2000, do Banco Central.
26- O seu sistema foi tecnicamente construído para que informações incorretas (relativas às pessoas físicas ou jurídicas clientes dos bancos) possam ser retificadas ou excluídas pela instituição financeira responsável pela inclusão. Tal previsão está expressa no art. 2º., II, da Res. n. 2724, de 31 de maio de 2000, do Banco Central.