Friday, 22 de November de 2024 ISSN 1519-7670 - Ano 24 - nº 1315

Atraso regulatório para a proteção de dados pessoais

Não há clareza sobre as regras de proteção dos dados pessoais no Brasil. Consequentemente, o Judiciário está sendo provocado a decidir casos complexos e compatibilizar o direito à privacidade com a existência de bancos de dados de consumo, cuja realidade “é um dado inextirpável de uma economia fundada nas relações massificadas de crédito”, nos termos do ex-ministro do STF, Sepúlveda Pertence.

A realização da primeira audiência pública da história do Superior Tribunal de Justiça no dia 25 de agosto de 2014 é fruto desse movimento, mas infelizmente não deu motivo para muitas comemorações. Em termos procedimentais, a audiência foi extremamente bem-sucedida. No entanto, a natureza dos debates realizados é preocupante. O desconhecimento dos membros do Judiciário sobre a legalidade das tecnologias de classificação de consumidores revela, no fundo, um problema maior sobre o vazio regulatório para tratamento de dados no Brasil.

A audiência tinha o objetivo de trazer mais argumentos e pontos de vista que auxiliem o STJ a decidir da melhor forma possível se a criação de “escalas de pontuação” para classificação de consumidores (scoring) depende do consentimento das pessoas. A novidade, no caso do “scoring”, é que existem ferramentas que cruzam diferentes dados cadastrados para criação de uma “escala de pontuação”, que infere a possibilidade de inadimplência de um consumidor. Tal escala pode gerar, por exemplo, uma informação que impede uma compra na internet com um cartão de crédito, mesmo que a pessoa não esteja em um cadastro negativo como o SPC. Ao todo, existem mais de 130 mil processos judiciais de pessoas que se sentiram lesadas pela utilização do sistema de pontuação e análise de risco de crédito. Para tais pessoas, a falta de autorização para a criação desses “bancos de dados” enseja a reparação por danos morais.

País desconhece a discussão global sobre os limites do uso de dados pessoais e os direitos do cidadão

As discussões feitas em Brasília se ativeram quase estritamente aos efeitos econômicos do modelo, tendo como pano de fundo uma questão jurídica: o sistema de “scoring” é “banco de dados” nos termos da legislação brasileira? Isso porque há necessidade de autorização prévia pessoal apenas se o sistema for caracterizado dessa forma. Sendo assim, a discussão teve um tom polarizado, sem aprofundamento e nem detalhamento sobre a natureza dos dados pessoais envolvidos, como são coletados e nem protegidos pelas empresas privadas envolvidas.

Para defender o sistema de “scoring”, os advogados de bancos e associações de lojistas – apoiados pelo Banco Central e pela Secretaria da Micro e Pequena Empresa da Presidência da República – afirmaram, de modo geral, que o sistema de “scoring” é um método de análise que utiliza dados de outros bancos de dados, que, em uma economia globalizada, é absolutamente indispensável à análise de risco. O sistema traria efeitos benéficos no comércio, reduzindo riscos e socialização de custos de inadimplência e evitaria “uma quebra do sistema financeiro”. Além disso, qualificaram o debate a respeito da natureza jurídica do sistema de “scoring” como uma estratégia voltada a alimentar a “indústria do dano moral no Brasil”.

Já os defensores dos direitos dos consumidores argumentaram pela necessidade de autorização prévia para a inclusão no sistema de “scoring”, por ser um “banco de dados” de acordo com as normas do Código de Defesa do Consumidor e da Lei 12.414 de 2011. Os argumentos foram predominantemente conceituais e formais, algo que não é necessário e nem desejável em uma questão como essa. Ao adotar essa estratégia, se esqueceram de discutir os problemas de fundo envolvidos na questão.

Não houve, por exemplo, uma discussão mais qualificada sobre a utilização de informações sensíveis por empresas privadas e a forma de obtenção dos dados que são utilizados em ferramentas de análise comportamental. Afinal, se os bancos de dados são necessários para o comércio eletrônico e para a redução da socialização de custos de obtenção de crédito, quais são os limites de obtenção e tratamento desses dados? Como delimitar a fronteira entre o uso legítimo e o uso ilegítimo de determinados dados pessoais para tal análise de risco? Como garantir que os dados pessoais sejam utilizados “somente de acordo com a finalidade para a qual foram coletados”? Como garantir transparência ao tratamento de dados pessoais?

Além disso, a resolução desse problema pelo Judiciário pode sinalizar um problema mais grave: a ausência de uma legislação abrangente de proteção de dados tal como as existentes em todos os países da União Europeia e em vizinhos como Argentina, Uruguai e Chile. Países escandinavos possuem regulação sobre dados pessoais desde a década de 1970. O Canadá possui um “comissário para privacidade” e direito de controle sobre dados pessoais desde 1977. A Europa criou uma diretiva para proteção de dados em 1995, harmonizando a figura das “autoridades garantidoras”. O Reino Unido regulamenta a proteção de dados pessoais desde 1998. No Brasil, mal conseguimos discutir um anteprojeto de lei, que está parado no Executivo desde 2011. O único avanço nessa esfera se deu com a aprovação da Lei 12.965/2014, que contém princípios para proteção de dados pessoais e privacidade dos usuários de internet. Esse “vazio regulatório” é uma anomalia que deixa o Brasil em situação de completo atraso.

Além do atraso regulatório, existe o problema do distanciamento dos juristas com relação a esse tema – tido como “técnico” ou “não jurídico”. A impressão que se tem é que a atual geração de juristas e magistrados brasileiros desconhece a discussão global sobre os limites do uso de dados pessoais e os direitos do cidadão em ter um tratamento legítimo de tais dados por empresas e governos. Como consequência, não há pressão sobre o Legislativo para a criação de um modelo regulatório adequado no país.

Todo esse contexto leva ao Judiciário casos cuja resolução depende de uma compreensão profunda sobre as formas de coleta e tratamento de dados pessoais para finalidades diversas. No caso do uso legítimo do sistema de “scoring”, o remédio prescrito pelo STJ foi a realização de uma audiência pública, mas o resultado parece ser ineficaz. O problema brasileiro é maior que esse caso específico.

******

Rafael A. F. Zanatta é pesquisador das FGV Direito SP e do NDIS-USP; Rubens Glezer é coordenador do Supremo em Pauta da FGV Direito SP