Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), do Código de Defesa do Consumidor (clique aqui), do Código Civil (clique aqui) e da Lei do Sigilo Bancário (clique aqui), passa-se à Lei do Cadastro Positivo.
Outra lei anterior à Lei Geral de Proteção de Dados que também tutela os dados pessoais (e permanecerá vigente, para ser aplicada em conjunto com a LGPD) é a Lei do Cadastro Positivo (Lei nº 12.414/2011, derivada da Medida Provisória nº 518/2010).
A Lei do Cadastro Positivo (LCP) foi elaborada com o objetivo principal de ampliar o acesso ao crédito e reduzir os encargos dos contratos bancários, a partir da análise completa do histórico dos clientes, levando em consideração não apenas a inadimplência anterior, mas especialmente a adimplência das pessoas em suas relações anteriores com as instituições financeiras.
Assim, além de eventual inscrição em cadastro negativo, os usuários (pessoas naturais ou jurídicas) dos serviços bancários são inscritos em cadastros positivos, que são bancos de dados mantidos pelas instituições financeiras contendo uma pontuação ou nota de cada pessoa, baseada em sua situação econômica e nas relações e contratações realizadas no sistema bancário (ou seja, o histórico de crédito).
Ainda, mais recentemente, a Lei do Cadastro Positivo teve várias mudanças realizadas pela Lei Complementar nº 166/2019 e foi regulamentada pelo Decreto nº 9.936/2019.
As normas sobre a proteção de dados na Lei do Cadastro Positivo são as seguintes:
1) Banco de dados (arts. 2º, I, e 3º, da LCP): há um conceito legal de banco de dados, consistente no “conjunto de dados relativo a pessoa natural ou jurídica armazenados com a finalidade de subsidiar a concessão de crédito, a realização de venda a prazo ou de outras transações comerciais e empresariais que impliquem risco financeiro”. A definição da LGPD é mais restrita quanto aos sujeitos (apenas pessoas naturais) e mais genérica quanto ao objeto, porque não limita o objetivo do agrupamento dos dados: “conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico (art. 5º, IV, da LGPD);
2) Prestação de informações objetivas, claras, verdadeiras e de fácil compreensão (art. 3º, § 2º, da LCP): essa regra complementa as regras do Código de Defesa do Consumidor (arts. 31, caput, e 54, § 3º, do CDC) e deve ser utilizada como parâmetro para qualquer contrato bancário que tenha entre seu objeto o tratamento de dados. A característica das informações exigidas na LCP e no CDC serve para evitar dúvidas nos consumidores e conflitos sobre a interpretação dos dispositivos contratuais, além de permitir que o consentimento do titular dos dados seja efetivamente consciente e expresso. Na LGPD, a necessidade de prestação de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento (observados os segredos comercial e industrial) consta na descrição do princípio da transparência (art. 6º, VI, da LGPD). Além disso, quando for solicitado, o controlador deve fornecer, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, desde que igualmente respeitados os segredos comercial e industrial (art. 20, § 1º, da LGPD);
3) Autorização para a abertura de cadastro (art. 4º, I, da LCP): uma das alterações realizadas pela Lei Complementar nº 166/2019 está na abertura do cadastro positivo pelo próprio controlador (gestor), ou seja, não é mais condicionado ao requerimento ou ao consentimento prévio do titular de dados (o que era previsto até então, no caput do art. 4º). Por ser um cadastro benéfico aos usuários dos serviço bancários, inverteu-se a ordem, com a autorização do gestor (que é a pessoa jurídica que administra o banco de dados) para a abertura do cadastro e permite ao titular requerer a sua exclusão. Na LGPD, o consentimento é apenas um entre os dez incisos do art. 7º que contêm hipóteses autorizativa do tratamento dos dados pessoais, entre as quais também está a proteção do crédito (inciso X do art. 7º da LGPD);
4) Permissão do compartilhamento dos dados do titular entre controladores (art. 4º, III, da LCP): além da abertura do cadastro positivo, os gestores podem compartilhar os dados existentes nos cadastros entre os bancos de dados, se o titular não apresentar oposição, após ser notificado previamente da inclusão, nos termos da regra anterior. Por sua vez, na LGPD o consentimento do titular para o compartilhamento é exigido quando também tiver sido um pressuposto para o tratamento dos dados (art. 7º, I e § 5º, da LGPD);
5) Comunicação inequívoca do titular (art. 4º, § 4º, I a III, da LCP); essa norma é similar à prevista no art. 43, caput e § 2º, do CDC, ao exigir a comunicação do titular dos dados sobre a abertura, para que ele mantenha, requeira a retificação ou opte pela exclusão de seus dados do cadastro positivo. De acordo com o CDC, a LCP e a LGPD, a abertura de qualquer espécie de banco de dados deve ser informada de forma clara ao titular dos dados (com fundamento no princípio da autodeterminação informativa e nas regras legais), o que assegura o seu conhecimento e (quando for exigido) o seu consentimento informado e inequívoco (art. 5º, XII, da LGPD);
6) Dispensa do dever de comunicação (art. 4º, § 5º, da LCP): o dever de comunicação do titular dos dados pessoais é dispensado quando ele já estiver (legalmente) incluído em outro cadastro da mesma espécie. Assim, quando já existir um cadastro positivo anterior do titular com outro gestor, admite-se o compartilhamento dos dados entre os controladores, independentemente do consentimento do titular, para a sua inclusão em outro banco de dados de cadastro positivo. Essa medida permite a uniformização da pontuação do titular e o seu tratamento isonômico por instituições diferentes. Ressalva-se, contudo, que não exclui o direito do titular de ciência do compartilhamento e de novo cadastro de tratamento dos seus dados, com a identificação do controlador;
7) Prazo de resguardo da divulgação dos dados (art. 4º, § 7º, da LCP): em complemento à regra da comunicação, existe um prazo legal de resguardo, de 60 dias a partir da inclusão, para que o cadastro positivo seja disponibilizado a terceiros, Nesse prazo, o titular pode pleitear a exclusão ou a retificação dos seus dados;
8) Direitos do Cadastrado (art. 5º da LCP): a LCP contém um rol de direitos do titular dos dados inserido nos bancos de dados de cadastros positivos, o que compreende a operação de todas as formas de gestão dos dados tratados, de abertura, retificação, oposição, exclusão, conhecimento dos critérios de decisão e revisão. Portanto, a maior parte dos direitos do titular previstos no art. 18 da LGPD já é assegurada pela Lei do Cadastro Positivo (mas de forma específica para esses cadastros);
9) Responsabilidade objetiva e solidária entre o controlador e interessados nas consultas (art. 16 da LCP): de forma similar ao previsto nos arts. 12, 14 e 25, § 1º, Código de Defesa do Consumidor, a responsabilidade do controlador e das entidades consulentes é objetiva e solidária. Em suma, todas as pessoas envolvidas na cadeia de tratamento de dados podem ser responsabilizados, de forma objetiva e solidária, pelos incidentes ocorridos e os danos causados aos titulares. Existem regras semelhantes para a responsabilização do controlador e do operador no exercício de atividade de tratamento de dados pessoais (art. 42 da LGPD), com hipóteses específicas de excludentes da responsabilidade (art. 43 da LGPD).
