Só empresa com patrimônio de R$ 100 milhões poderá gerir dados do Cadastro Positivo
O governo publicou hoje, 25, o decreto 9.936, que regulamenta a Lei Cadastro Positivo no Brasil. O texto traz as regras para formação e consulta aos bancos de dados contendo as informações de adimplemento de empresas e cidadãos brasileiros que serão usadas para a formação de histórico de crédito.
O decreto estabelece que apenas empresa com patrimônio líquido de ao menos R$ 100 milhões poderão ser gestoras de banco de dados – contando o patrimônio líquido dos controladores. Em 2020, o patrimônio dos controladores no cálculo do patrimônio da empresa deverá ser de 60%. Valor que cairá paulatinamente até atingir 10% em 2026.
As gestoras dos bancos de dados deverão também obter certificação técnica, renovada a cada três anos e revisada anualmente, de uma empresa independente. A certificação deverá atestar a segurança da plataforma tecnológica usada para preservar a integridade e o sigilo dos dados armazenados.
Terão, ainda, de ter certificação técnica que ateste a política de criação, guarda, uso e descarte de informações, a transferência e utilização a outras empresas prestadoras de serviços. E uma certificação a respeito da “adequabilidade” da política de responsabilidade quanto a quebras de sigilo e privacidade dos clientes, prevenção e tratamento de fraudes.
As empresas deverão ter um programa de gestão de vulnerabilidades, de prevenção de vazamentos de dados e controles de acesso privilegiado. Além disso, será obrigatório realizar testes periódicos de firewalls de vulnerabilidade e penetração por entidade independente.
Os fornecedores das empresas de tratamento de dados deverão ainda ser classificados conforme sua criticidade e atender a regras de verificação de acordo com sua relevância.
As empresas terão também de disponibilizar, todo mês, dados econômico-financeiros, quantitativo das operações registradas, de consultar realizadas, de cadastrados, de consulentes, de fontes ativas, relatório de erros ocorridos, de ocorrências no atendimento ao consumidor, e ter uma ouvidoria.
Outras obrigações consistem em manter site na internet onde o cadastrado pode consultar suas próprias informações pessoais e solicitar cancelamento do registro de informações ou mudanças de dados que estejam errados. Isso deverá ser gratuito. As empresas também ficam obrigadas a, gratuitamente, explicar aos usuários que questionarem quais elementos e critérios foram usados para a composição da pontuação de crédito.
O decreto diz ainda que os dados só poderão ser consultados pode outras empresas (“consulentes”) caso haja autorização prévia do cadastrado. Essa autorização poderá ser dada diretamente ao gestor do bando de dados ou ao próprio consulente. E terá efeito para cada consulta ou por prazo específico de três meses para pessoa física, e 12 meses para pessoa jurídica. Para bancos, a autorização terá prazo indeterminado.
Vazamentos
No caso de vazamentos de dados, a Autoridade Nacional de Proteção de Dados (ANPD), o Banco Central e a Senacom do Ministério da Justiça e Segurança Pública deverão ser comunicados em até dois dias úteis após o conhecimento do incidente.
A gestora do banco de dados deverá informar que tipos de dados vazaram, os dados que vazaram, que medidas de segurança estava tomando, os riscos que o vazamento ocasiona e que medidas estão sendo tomadas para mitigar os prejuízos.
Também é obrigatória a comunicação imediata do vazamento aos cadastrados afetados.
Restam dúvidas
Para o advogado do Idec – Instituto Brasileiro de Defesa do Consumidor, Diogo Moyses, o regulamento é razoável, mas ainda não esclarece pontos relevantes para o consumidor. Há a seu ver pelo menos três questões que deviam ter sido detalhadas.
“A primeira é deixa o consumidor saber exatamente quais as fontes de dados e quais os dados que vão ser usados para compor o score. Nosso temor é que as empresas coletem não só dados permitidos, mas também dados que não sejam expressamente vedados”, diz.
Além disso, a lei diz que o segredo industrial prevalece, impedindo o detalhamento dos dados e fontes. “Nós consideramos que o direito do consumidor está acima de qualquer segredo industrial”, completa Moyses.
Por fim, o Idec considera que o decreto de regulamentação não evita que o score passe a ser usado para relações comerciais de qualquer tipo, e não apenas na tomada de crédito. “O cadastro positivo foi pensado para balizar operações de tomada de crédito ou transações financeiras de risco. Contudo, poderia ser usado em relações econômicas de outra espécia. Uma operadora poderia recusar a venda de um plano pós-pago a um consumidor por entender que seu score permite apenas a contratação de pré-pago”, exemplifica.