• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Artigo

A LGPD impactará quem cede e quem pede empréstimos?

A nova lei, ao garantir ao cidadão amplo acesso aos dados, e o direito de revisar decisões de crédito automatizadas, impõe às empresas mais cautela ao aprovarem ou negarem um crédito, o que não poderá mais ser definido com base em dados discriminatórios ou em dados sensíveis. É o que explica Vitor Amorim, advogado especializado em proteção de dados pessoais

Ilustração com uma mão dando uma bóia para outra mão, de uma pessoa se "afogando" num mar de moedas (dívidas)

 

22/8/2019

Prevista para entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) vem sendo fortemente debatida, pelos mais diversos setores da economia e ramos de atividade profissionais, por conta do grande impacto que trará na forma como as empresas tratam dados pessoais e, também, na forma como os titulares dos dados comportam-se perante a disponibilização e o uso de seus dados pelas empresas.

A sociedade contemporânea é movida a dados pessoais, e sem eles é praticamente impossível qualquer tipo de empresa desenvolver-se e obter lucro. Fato é que para algumas organizações os dados pessoais são mais estratégicos e tratados em maior volume e intensidade do que em outras. No entanto, seja em maior ou menor grau, todas serão afetadas pelas novas disposições legais.

Se hoje há um uso praticamente indiscriminado dos dados dos cidadãos, com a entrada em vigor da LGPD espera-se que haja maior transparência, possibilitando ao titular “tomar as rédeas” de seus próprios dados e saber por onde eles andam e o que é feito com eles. Confirmação da existência do tratamento, acesso aos dados, correção de dados incompletos, eliminação de dados desnecessários ou tratados em desconformidade com a LGPD, portabilidade de dados a outro fornecedor, eliminação de dados pessoais, informação sobre compartilhamentos, informação sobre a possibilidade de não fornecer consentimento e as consequências dessa negativa, revogação do consentimento. Esses são direitos assegurados pelo artigo 18 da LGPD.

Em contrapartida, as empresas passam a ter que imprimir um maior rigor ao tratamento dos dados com os quais lida, adequando-os a uma finalidade legítima, específica e a uma base legal apropriada e que justifique o tratamento. Isto significa dizer que as organizações não poderão mais coletar o que quiserem: precisarão ter uma justificativa que valide o tratamento e encontrar uma base legal (o que não se limita ao consentimento) para legitimar esse tratamento. Além disso, precisarão garantir a implementação de mecanismos para assegurar a integridade e a proteção dos dados em seus sistemas e arquivos, para evitar acessos indesejados, vazamentos, sequestros de dados e outros incidentes de segurança. A norma é de aplicação ampla, adequação complexa, multidisciplinar e as penalidades pelo descumprimento são pesadas e podem chegar a R$ 50 milhões.

Vale destacar que, mesmo antes da entrada em vigor da LGPD, já é perceptível a movimentação do Ministério Público em torno da privacidade e da proteção de dados, citando-se como exemplo a solicitação de explicações endereçada pelo Ministério Público do Distrito Federal e Territórios (MPDFT), já requisitando a uma operadora de telefonia a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, e que, recentemente, desdobrou-se em uma Ação Civil Pública na qual busca-se a suspensão da disponibilização e venda de um serviço que, de acordo com o MPDFT, “não vem obedecendo à legislação regente, no que toca à forma de utilização dos dados pessoais de seus clientes”.

Nota-se, portanto, que a adequação das empresas ao texto normativo é medida imperiosa, e muitos setores e ramos de atuação profissional precisarão rever processos e em alguns casos extremos até repensar completamente o seu modelo de negócio.

E no setor de créditos?

"Se  hoje  os  critérios  de  composição  do  score  de  crédito  não  são  questionados  -  embora  em  muitos  casos  sejam  questionáveis  -,   a   LGPD   pode  trazer  a  discussão  à  tona  e  impor  às  empresas  a  adoção  de  critérios  mais  claros,  objetivos  e  isonômicos,  coibindo  decisões  baseadas  em  critérios  discriminatórios  e  nebulosos"

Não é diferente com a análise de crédito, rotina já tão fortemente incorporada aos processos que antecedem a formalização de contratos em diversas empresas. No modelo hoje em vigor (antes da vigência da LGPD), as organizações utilizam as mais diferentes bases de dados para consolidar informações e auxiliar na tomada de decisão sobre a concessão ou não de crédito. Em alguns casos, um tanto quanto inusitados, até mesmo o signo da pessoa é um dado considerado nesta composição.

Como em outras situações, aqui também se observa um tratamento exagerado de dados, muitas vezes com critérios duvidosos, imprecisos, subjetivos e discriminatórios.
Vale mencionar que uma das bases legais para o tratamento de dados é justamente a proteção de crédito. Entretanto, isto não quer dizer que tal finalidade tem um salvo conduto para que uma análise de crédito seja baseada em qualquer tipo de dado, coletado em qualquer base, criando um credit score com critérios aleatórios e conforme a vontade do fornecedor de produtos ou serviços.

O sistema de pontuação de crédito, que lastreia muitos processos de análise, baseia-se, grosso modo, em uma classificação do consumidor de acordo com sua maior ou menor propensão de se tornar inadimplente. Para definir tal pontuação, adotam-se diversos dados que irão classificar comportamentos e características e concluir, com base em estatísticas, que tal comportamento ou característica representa maior ou menor chance de que a pessoa analisada torne-se devedora. Algumas empresas utilizam um score próprio; outras optam por utilizar o score de modelos estatísticos já consolidados, existentes no mercado.

A questão que se impõe é: como ficará a composição do score de crédito e, consequentemente, a análise de crédito, após a vigência da LGPD?

Um dos princípios assegurados no artigo 6º da Lei Geral de Proteção de Dados Pessoais é o da não discriminação, que garante a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”. Por conseguinte, o artigo 5º define que o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural é considerado dado pessoal sensível, tendo tratamento especial pela lei e dependendo de consentimento expresso do titular, ressalvadas algumas hipóteses específicas elencadas nos artigos 11 a 13. Há ainda o artigo 20 que dá ao titular do dado pessoal o direito a solicitar a revisão de decisões de crédito e de consumo tomadas com base em “tratamento automatizado de dados pessoais”.

Em suma, ao garantir ao cidadão amplo acesso aos dados, e o direito de revisão de decisões de crédito automatizadas, a LGPD impõe às empresas um maior rigor e cautela em seu processo de análise de crédito e formação de credit score, que não poderá mais ser definido com base em dados de cunho discriminatório e nem com base em dados pessoais sensíveis.

Um conceito com lacunas

Fica a dúvida sobre o conceito de “fins discriminatórios ilícitos ou abusivos”. Atualmente uma boa parte dos sistemas de pontuação de crédito tem como um de se seus critérios de formação, por exemplo, o endereço do consumidor analisado. A negativa de crédito pelo simples fato de uma pessoa residir em determinado bairro ou endereço pode ser considerada discriminatória? Há quem defenda que não, haja vista que com base em estudos estatísticos pode-se concluir que determinada região concentra maior número de inadimplentes do que outras. Contudo, um contraponto é o entendimento de que uma empresa não pode tratar de forma diversa uma pessoa pelo simples fato de que ela reside em um endereço em área considerada de “risco de crédito”. Ao assim proceder, o analista estaria incluindo o titular dos dados - a meu ver de forma indevida - em um critério que não está relacionado a uma característica pessoal, ou a sua própria capacidade de pagamento, já que ele estaria sendo julgado com base em comportamentos de terceiros.

O mesmo questionamento se impõe a outros critérios de composição de score que levam em conta comportamentos de grupos e não da pessoa individualizada, como a idade. Não estaríamos aí diante de uma decisão com finalidade discriminatória tomada com base em dados pessoais?

Vale ressaltar que o artigo 3º da Constituição Federal, define no inciso IV como um dos objetivos fundamentais da República Federativa do Brasil, a promoção do bem de todos “sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação”.

Se hoje os critérios de composição do score de crédito não são questionados - embora em muitos casos sejam questionáveis-, a LGPD pode trazer a discussão à tona e impor às empresas a adoção de critérios mais claros, objetivos e isonômicos, coibindo decisões baseadas em critérios discriminatórios e nebulosos.

Daí a importância de se preparar para a entrada em vigor da norma, revendo todo o processo de tratamento de dados, as bases de coleta e adequando-os de acordo com os princípios e as disposições da nova Lei Geral de Proteção de Dados Pessoais.

É advogado, com MBA em Direito Tributário pela Fundação Getúlio Vargas (FGV), pós-graduando em Direito Digital e Compliance pelo Instituto IBMEC de Direito. Possui certificado em Privacidade e Proteção de Dados pela Exin, e curso de extensão em Privacidade e Proteção de Dados pelo Data Privacy Brasil. É palestrante e instrutor de cursos sob a temática da Lei Geral de Proteção de Dados Pessoais. É membro da Comissão de Tecnologia e Inovação da OAB/MG (43ª Subseção). Atua há mais de 9 anos como diretor jurídico da Cartão Bigcard, tendo assumido recentemente o cargo de Encarregado de Proteção de Dados Pessoais na mesma empresa.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal