A Central de Risco de Crédito do Banco Central – considerações sobre sua natureza
e os riscos à proteção dos dados pessoais dos clientes bancários
Demócrito Reinaldo Filho
Juiz de Direito em Recife-PE
1. Introdução
As instituições financeiras utilizam-se de bancos de dados, públicos e privados, para a avaliação do risco de crédito, ou seja, da probabilidade de recebimento do montante emprestado ao cliente (consumidor de serviços bancários). De acordo com a avaliação que é feita pelo banco, acessando esses cadastros, estabelece-se a taxa de juros a ser cobrada em um negócio bancário específico ou mesmo o banco pode deixar de conceder o empréstimo. As informações são obtidas junto a empresas e organizações que mantêm esses bancos de dados informacionais. Em sua maioria, esses bancos de dados possuem apenas informações negativas, relativas à inadimplência de dívidas, a exemplo do SERASA e do SPC. Mas outros existem que, ao invés de somente compilar informação negativa, também armazenam dados positivos, relativos ao histórico de adimplência dos clientes e tomadores de empréstimos bancários, disponibilizando as operações por ele contratadas (incluindo prazo e forma de pagamento das prestações). A experiência demonstra que os bancos de dados múltiplos, capazes de armazenar os dois tipos de informações, são os mais eficientes.
A Central de Risco de Crédito do Banco Central do Brasil pode ser enquadrada nessa segunda categoria, pois é alimentada por informações múltiplas (positivas e negativas). Ela engloba não somente dados referentes a financiamentos e operações de crédito (em dia ou atrasadas), mas também a arrendamento mercantil e outras operações com características de concessão de crédito, bem assim garantias como avais, fianças e coobrigações prestadas pelas instituições financeiras a seus clientes. Embora tenha esse espectro bem mais amplo, não surgiu com a finalidade primordial de servir às instituições bancárias, integrantes do Sistema Financeiro Nacional, por meio da disponibilização de informações para uso no processo de tomada de decisões para a concessão de crédito (ao cliente). Sua inspiração inicial foi de servir na tarefa do Banco Central de supervisão da atividade bancária no país, visando ao aumento da capacidade de monitoramento e prevenção de crises. O sistema foi criado tendo como principal objetivo fornecer informações consolidadas dos passivos bancários, de forma a auxiliar na fiscalização e supervisão do mercado, reduzindo os riscos de insolvência do Sistema Financeiro e, ainda, o de formar uma base de dados disponível para formulação de políticas e diretrizes para o mercado de crédito. Com apoio nas informações constantes da base de dados, a supervisão bancária pode identificar com maior precisão as instituições com problemas de crédito. A par de realizar esse objetivo prioritário, permitindo o desenvolvimento de ferramentas que ajudem a supervisão bancária a identificar instituições com potenciais problemas, o sistema da Central de Risco de Crédito do Bacen também cumpre outra finalidade, que é a de auxiliar as instituições bancárias na gestão de suas carteiras de crédito. Como já anotamos acima, a inadimplência é um custo implícito no preço do crédito e, quanto menor a certeza do pagamento, maior a taxa cobrada do tomador final. Ao conhecer melhor o potencial do tomador do crédito, através do recurso aos registros de suas atividades bancárias prévias que integram a base de dados, os bancos podem oferecer taxas menores àqueles com bom histórico de pagamento. A partir de 17 de agosto de 1998, os dados e informações constantes da CRC tornaram-se acessíveis às instituições financeiras(1), fazendo com que a base de dados fosse utilizada para mais um tipo de finalidade. A Central de Risco de Crédito tem, pois, dupla finalidade: a) uma primeira e originariamente prioritária, de facilitar a supervisão bancária pelo Banco Central, ao identificar com precisão as instituições financeiras com problemas em suas carteiras de crédito; b) uma segunda e não menos importante, que é a de registrar informações para auxiliar as instituições bancárias no processo de avaliação da concessão de crédito a seus clientes.
O banco de dados que compõe a Central de Risco de Crédito é alimentado por arquivos enviados mensalmente pelas instituições financeiras(2), retratando suas carteiras de crédito. O Banco Central é o gestor do sistema, sendo responsável por armazenar as informações, mas somente as instituições integrantes do Sistema Financeiro Nacional(3) podem incluí-las na CRC(4). Elas devem informar todas as operações de crédito acima de R$ 5mil(5). Para viabilizar um sistema mais moderno e mais amplo, desde 1999 equipes do Banco Central trabalham no aperfeiçoamento da Central de Risco de Crédito, através da implantação de um novo software(6) que permite ferramentas mais abrangentes de análise e consulta(7).
O grande número de instituições que são obrigadas a alimentar a CRC com informações variadas aliado ao aperfeiçoamento tecnológico do sistema faz dela a maior base de dados eletrônica sobre operações financeiras existente no país. A imensa gama de informações que devem ser (e estão sendo) carreadas para ela revela que sua “implantação criará um banco de dados sem precedentes, com a capacidade de fornecer informações muito superior a qualquer central já instalada”, na medida em que contém “as mais diversas e heterogêneas informações acerca do tomador [de crédito], como um verdadeiro cérebro de todas as operações bancárias e financeiras do país”(8). A amplidão desse sistema eletrônico desperta preocupação do mesmo porte em relação aos riscos à proteção dos dados pessoais dos clientes bancários. A questão tem a ver com a privacidade informacional das pessoas que têm seus dados e informes pessoais recolhidos e armazenados nessa gigantesca base de dados. A capacidade de coletar, utilizar e distribuir informação alheia revela um poder de controle do operador do sistema e, quer seja ele uma corporação empresarial, um órgão do governo ou mesmo uma pessoa física, não pode exercê-lo livremente, sem qualquer limite. O direito de controle sobre a informação e a forma de exercê-lo é questão que importa para o Direito, em atenção à privacidade humana. A Central de Risco de Crédito do Bacen não fica de fora dessa regra.
2. A CRC e o sigilo bancário
Há quem alegue que a transferência, pelas instituições bancárias, dos dados pessoais de seus clientes para alimentar a CRC fere o sigilo bancário assegurado constitucionalmente. Como se sabe, a Constituição Federal em seu art. 5o., X, assegura a inviolabilidade da intimidade, da vida privada, da honra e imagem das pessoas. O direito fundamental à intimidade e privacidade inclui, em seu núcleo essencial, a esfera econômica individual. A privacidade nos assuntos econômicos impede que outras pessoas, sejam elas privadas ou públicas, tenham acesso às informações do indivíduo. O direito ao sigilo bancário, portanto, deriva dessa proteção constitucional, sendo indiscutível que o cidadão deve ser garantido contra invasões à sua privacidade no que tange às suas operações bancárias e financeiras, direito esse fundamental e que somente sofre limitações quando presentes situações de interesse público (para fins de investigação de ilícitos administrativos e penais, de supervisão do sistema financeiro, de atuação fiscal, dentre outras). As limitações ao direito individual justificam o conhecimento do Estado sobre seus dados econômicos, mas essa interferência sempre deve ser realizada de forma proporcional, pelos meios necessários, adequados e que produzam a menor lesão a esse direito fundamental. O regime de exceções e limitações a esses direitos (intimidade e privacidade) é geralmente amplo e enfático quando se refere a assuntos de segurança e defesa públicas. Razões de segurança e defesa do Estado em regra justificam e legitimam as exceções mais abrangentes ao direito à privacidade dos dados econômicos pessoais(9).
A criação e utilização da base de dados instituída com a CRC, entretanto, não parece em princípio configurar violação ao sigilo bancário individual. A Lei Complementar 105, de 10 de janeiro de 2001, que dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências, previu em seu artigo 1º, § 3º, inc. I, que não constitui violação do dever de sigilo das instituições financeiras a troca de informações entre elas para fins cadastrais, inclusive por intermédio de centrais de risco, desde que observadas as normas baixadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil. A princípio, como se disse, a simples existência da base de dados da Central de Risco de Crédito, envolvendo trocas de informações cadastrais dos clientes (consumidores de serviços bancários) e sobre operações financeiras entre o Banco Central e os bancos privados, não fere diretamente a garantia constitucional à privacidade (sigilo bancário), em face da permissão expressa da Lei Complementar n. 105/01. Uma vez que ela regulamentou a garantia do sigilo bancário, o exercício desse direito deve ser pautado pela observância dos seus dispositivos. Em face do princípio da presunção de constitucionalidade das leis, a sua obrigatoriedade somente cederia em face de decisão judicial superveniente, que determinasse a suspensão de sua execução ao fundamento de inconstitucionalidade.
A violação à privacidade garantida pelo sigilo bancário pode resultar de eventual disfunção que se fizer do sistema, alienando a diretriz de interesse público que deve sempre nortear o controle e uso das informações pessoais contidas nessa ou em qualquer outra base de dados gerida pelo Poder Público. A utilização indevida das informações, fora dos casos previstos em lei ou norma regulamentar do CMN ou do Banco Central – o princípio da presunção da constitucionalidade das leis se estende aos atos normativos do Poder Executivo -, é que pode resultar em violação ao sigilo bancário.
A instituição da CRC atendeu ao interesse público de disponibilizar uma ferramenta tecnológica informacional para auxiliar o Banco Central na tarefa de supervisão do mercado financeiro, que de outro modo não poderia ser atendido. Sem a criação dessa base de dados, os poderes de supervisão do Banco Central na atualidade ficariam comprometidos, com probabilidade de riscos sistêmicos do mercado financeiro e prejuízos para toda a sociedade brasileira, como já aconteceu em outros momentos da história do país. Mesmo a utilização lateral da CRC pelas instituições financeiras também interessa ao conjunto da sociedade, e não apenas a essas entidades privadas integrantes do Sistema Financeiro Nacional. Não se pode dizer que não exista uma finalidade pública no ato de criar uma base de dados que auxilie os bancos na tarefa de avaliar e classificar empréstimos e financiamentos efetuados por pessoas físicas e jurídicas. Isso porque tal medida não somente favorece os bancos, evitando o comprometimento das carteiras de empréstimo, mas também resulta em benefícios aos próprios consumidores de serviços bancários, certo que o uso das ferramentas informacionais ajuda a diminuir o spread bancário, o que implica em ganho para todo o organismo social.
Realmente, a concepção de que a privacidade alheia deve limitar a atividade dos controladores e administradores de bancos de dados não é oposta ao desenvolvimento tecnológico (dos sistemas informáticos de coleta e armazenamento de dados). Os enormes benefícios que proporcionam não podem ser obscurecidos pela necessidade de regulamentação do uso de dados pessoais. Informação é um bem indispensável para a tomada de decisões. Além disso, exceções ao direito à privacidade podem ser ditadas por interesses outros, de caráter coletivo.
O que se deve buscar é um justo balanceamento entre o tratamento da informação e a preservação da privacidade individual. Aos poderes constituídos competirá orientarem-se no caminho do equilíbrio que deve sempre nortear o conflito entre a garantia individual à privacidade, de um lado, e o interesse público em conferir ao Banco Central uma ferramenta eficaz para a atividade de supervisão do sistema financeiro, de outro, evitando fraudes e má gestão de recursos. Como salientou Priscila Cunha Lima, nas conclusões de seu trabalho sobre a CRC, “trata-se, mais uma vez, de aplicar-se o princípio da proporcionalidade perante o conflito de interesses: de um lado o direito individual ao sigilo bancário e do outro o interesse público, representado pela pretensão do Poder Público de averiguar a solidez, a segurança e o grau de solvência e de risco das instituições financeiras. Deve-se, portanto, adequar este relevante interesse em controlar a atividade das instituições financeiras à garantia de intimidade do particular, tendo em vista a relevância econômica da questão”(10).
3. A CRC e o Código de Defesa do Consumidor
Aqui se coloca a questão das fontes da proteção legal à pessoa cujos dados são armazenados na CRC do Banco Central. Como se sabe, o Código de Defesa do Consumidor (Lei 8.078/90) contém dispositivo destinado a condicionar o exercício das atividades dos arquivos de restrição ao crédito. A função primordial do seu art. 43 é a de impor limites à atuação dos administradores de cadastros de inadimplentes e operadores de bancos de proteção ao crédito. Ele estabelece, em seus diversos parágrafos, garantias ao consumidor tais como o direito de ser comunicado (§ 2o.) quanto ao armazenamento (negativação) de suas informações pessoais, o direito de acesso (caput) aos dados registrados(11) e o direito de retificação (§ 3o.) desses dados (em caso de registro incorreto das informações pessoais). Além disso, impõe limitações temporais à permanência dos registros informacionais nos cadastros e bancos de dados de proteção ao crédito, estabelecendo o prazo de cinco anos ou a data da prescrição da dívida (§ 1º combinado com o § 5º) como termo obrigatório para a eliminação deles(12). A dúvida está em saber se esses dispositivos se estendem às “centrais de risco de crédito” e em que proporção.
Efetivamente, o art. 43 e seus parágrafos constituem o marco regulatório da atividade dos bancos de dados e cadastros de proteção ao crédito em nosso país. Mas sua aplicação se destina aos conhecidos cadastros de inadimplentes e serviços de proteção ao crédito, bancos de dados que têm a finalidade exclusiva de armazenar informações acerca de consumidores com dívidas não adimplidas, que não satisfazem obrigações contratuais ou que respondem a processos de execução, ou seja, que reúnem sempre registros pessoais negativos. O legislador não divisou a realidade dos “cadastros positivos”, que engloba informações diversas sobre o perfil de endividamento do consumidor, mesmo quando não haja qualquer parcela em atraso das obrigações assumidas.
A Central de Risco de Crédito do Banco Central, um sistema que mapeia todos os financiamentos dos clientes bancários (imobiliários, aquisição de veículos, consórcios, limites de cheque especial, crédito pré-aprovado e outras modalidades), mesmo que não haja qualquer parcela em atraso, está mais para o conceito de “cadastro positivo”, até porque sua finalidade não se resume a diminuir o risco dos fornecedores de crédito, mas também serve como ferramenta da atividade de supervisão bancária. Ao contrário dos típicos cadastros negativos de consumo, seus usuários não são exclusivamente pessoas jurídicas que decidem a respeito da concessão de crédito a partir das informações contidas na base de dados. Dela se servem primordialmente auditores do Banco Central. Sua regulamentação é feita por normas expedidas pelo Conselho Monetário Nacional e pelo próprio Banco Central.
Essas especificidades do sistema da Central de Risco de Crédito levam à conclusão de que o conjunto de normas predispostas no CDC somente se lhe aplica no que couber. Algumas partes do art. 43 do CDC representam emanações de direitos garantidos constitucionalmente, relativos à proteção de dados pessoais, e, portanto, se aplicam indistintamente à CRC ou a qualquer outra base de dados (eletrônica ou não) que contenha informações pessoais. A nossa Constituição elegeu como garantias fundamentais do indivíduo certos direitos relativos à privacidade e proteção de dados pessoais (art. 5o., incisos. X, XII e LXXII). Naquilo que o Código do Consumidor representar simples repetição e esclarecimento desses princípios fundamentais ele vai se impor como limite à atividade de coleta, armazenamento e utilização de dados pessoais, ainda que realizada por pessoa jurídica de direito público. As demais disposições identificadas como específicas da regulação de castrados de inadimplentes têm aplicação restrita ao âmbito dessa atividade.
Nesse sentido, podemos apontar algumas disposições que se referem exclusivamente a bancos de dados que têm natureza de “cadastro negativo”. Uma delas é a que estabelece limites temporais de permanência das informações nos arquivos ou para sua transferência a terceiros. O prazo de cinco anos como termo para eliminação dos registros informacionais, previsto no parágrafo 1o. do art. 43, somente se refere às “informações negativas” relativas ao consumidor, numa clara demonstração da especificidade dessa regra. Da mesma forma, o parágrafo 5o. do mencionado artigo, ao referir-se à consumação do prazo da “prescrição relativa à cobrança dos débitos” como fator impeditivo à prestação de “quaisquer informações que possam impedir ou dificultar novo acesso ao crédito”, deixa transparecer sua aplicação específica a registros negativos contidos em cadastros de inadimplentes. Esses limites temporais, como se disse, não se estendem às bases de dados de outra natureza, a exemplo da CRC do Banco Central. Suas finalidades institucionais e peculiaridades (qualidade dos informes que recolhe e política de acesso diferenciada) poderiam justificar (em razão do interesse público) a necessidade de permanência dos registros em arquivo por tempo mais largo(13).
Já o direito de acesso às informações pessoais contidas em banco de dados e o direito de correção são garantias de origem constitucional. Estão presentes no art. 5o., incisos X, XII e LXXII, da CF, como iremos ver mais detalhadamente adiante. Embora se possa dizer que o caput e o parágrafo 3o. do art. 43 do CDC, onde estão incluídos esses direitos na disciplina da proteção ao consumidor, aplicam-se por extensão aos cadastros “positivos” ou a qualquer outra base de dados que recolha e armazene dados pessoais, eles têm fonte constitucional e a ela deve recorrer o interessado na defesa deles quando ameaçados de violação.
4. A proteção constitucional dos dados pessoais
A proteção dos dados pessoais tem previsão constitucional no nosso país, na medida em que a Carta Política assegura que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas” (art. 5o., X). Garantindo expressamente a inviolabilidade da intimidade e vida privada do indivíduo, a Constituição lhe confere o direito de exigir ou de determinar como, quando e em que extensão seus dados pessoais podem ser comunicados a outros. Trata-se da expressão de uma faceta do direito à privacidade que está ameaçada cada vez mais na contemporaneidade – inclusive pelo avanço das bases de dados eletrônicas -, que é a chamada privacidade informacional. Essa modalidade de privacidade consiste basicamente no reconhecimento, ao “proprietário dos dados” (o sujeito a quem eles se referem), de um direito de acesso à base em que estejam contidos os seus dados pessoais, bem como de exigir sua retificação, atualização ou eliminação, quando estes resultem incompletos, inexatos ou equivocados.
Embora muitos autores brasileiros não vislumbrem os direitos individuais de acesso, comunicação e retificação dos dados pessoais como incluídos nesse dispositivo constitucional (inc. X do art. 5o.), a fonte primordial deles está mesmo aí localizada. Embora não seja tão expresso como ocorre em constituições de outros países, que colocam no nível das garantias fundamentais o direito à autodeterminação informacional (a exemplo da Constituição da Alemanha e da Constituição de Portugal) – que significa em essência que o indivíduo tem o direito de saber quem sabe o quê sobre ele -, esse direito individual sobre as informações pessoais (que como qualquer outro direito não é ilimitado) deriva e é uma das facetas do direito à privacidade. Ruy Rosado de Aguiar, Ministro do Superior Tribunal de Justiça (hoje aposentado), detecta essa fonte constitucional ao lecionar sobre a proteção contra cadastros e bancos de dados que contenham informações pessoais:
“A inserção de dados pessoais do cidadão em bancos de informações tem se constituído em uma das preocupações do Estado moderno, onde o uso da informática e a possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permite o conhecimento de sua conduta pública e privada, até nos mínimos detalhes, podendo chegar à devassa de atos pessoais, invadindo área que deveria ficar restrita à sua intimidade; ao mesmo tempo, o cidadão objeto dessa indiscriminada colheita de informações, muitas vezes, sequer sabe da existência de tal atividade, ou não dispõe de eficazes meios para conhecer o seu resultado, retificá-lo ou cancelá-lo. E assim como o conjunto dessas informações pode ser usado para fins lícitos, públicos ou privados, na prevenção ou repressão de delitos, ou habilitando o particular a celebrar contratos com pleno conhecimento de causa, também pode servir, ao Estado ou ao particular, para alcançar fins contrários à moral ou ao Direito, como instrumento de perseguição política ou opressão econômica.
A importância do tema cresce de ponto quando se observa o número imenso de atos da vida humana praticados através da mídia eletrônica ou registrados nos disquetes de computador.
Nos países mais adiantados, algumas providências já foram adotadas. Na Alemanha, por exemplo, a questão está posta no nível das garantias fundamentais, com o direito de autodeterminação informacional (o cidadão tem o direito de saber quem sabe o que sobre ele), além da instituição de órgãos independentes, à semelhança do ombudsman, com poderes para fiscalizar o registro de dados informatizados, pelos órgãos públicos e privados, para garantia dos limites permitidos na legislação (Hassemer, “Proteção de Dados”, palestra proferida na Faculdade de Direito da UFRGS, 22.11.93). No Brasil, a regra do art. 5º , inc. X, da Constituição de 1988, é um avanço significativo: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”(14) (grifo nosso).
O direito à proteção de dados pessoais vem complementado por outros dispositivos constitucionais (do mesmo art. 5o.), a exemplo do inc. XII, que regula outra faceta da privacidade humana, quando se refere ao sigilo das comunicações (postal, telegráfica, de dados e telefônica)(15). Ao estabelecer limites à invasão da comunicação privada, o legislador constituinte colocou de forma mais clara aquilo que se falou sobre a privacidade informacional do indivíduo, caracterizada juridicamente pela proteção de seus dados pessoais. A comunicação entre pessoas, feita de forma privada por qualquer meio (através de correspondência postal, telegráfica, por meios informáticos ou por telefone), envolve a transferência entre elas de informações pessoais e, por isso, não pode ser invadida (salvo nos casos previstos na própria Constituição(16)), em atenção à privacidade individual. A garantia constitucional do sigilo das correspondências e troca de informações entre pessoas, feita de forma privada por qualquer meio de comunicação, também delineia os limites e dá conformação à privacidade informacional como direito fundamental do cidadão.
A esses dispositivos já citados (incisos X e XII do art. 5o.) se soma outro inciso do mesmo art. 5o. – o inc. LXXII -, que confere o instrumento processual (o habeas data) para a pessoa exercer o seu direito de acesso a dados pessoais armazenados em bancos de dados governamentais e de caráter público, bem como o direito de retificação desses mesmos dados(17). Toda pessoa pode interpor ação para tomar conhecimento das informações a ela referentes, que constem de banco de dados e, em caso de falsidade ou erro, exigir sua retificação ou atualização.
Conjugados, esses três dispositivos constitucionais fornecem o framework básico para a proteção de dados pessoais contra a intromissão das atividades de operadores de bases de dados, em proteção à privacidade individual. O direito à privacidade informacional (ou direito de autodeterminação informacional como preferem alguns), que de uma maneira simplista pode ser representado na expressão de que o cidadão tem “o direito de saber quem sabe o quê sobre ele”, tem proteção constitucional e, portanto, qualquer um que sofra violação ou se sinta ameaçado, em razão da atuação de bases de dados que recolham seus dados e informes pessoais, pode invocar sua aplicação.
Nesse sentido, mesmo que se entenda que determinada base de dados ou cadastro de informações pessoais não está alcançada pela disciplina do Código de Defesa do Consumidor (Lei 8.078/90), o direito de conhecimento e retificação dos dados pessoais tem origem constitucional, significando que o cidadão não fica desprotegido. Esses direitos podem ser alcançados não pela via da aplicação direta do art. 43 do Código de Defesa do Consumidor, mas no recurso a outras fontes jurídicas. Eles podem ser alcançados por ter base constitucional – art. 5o., incs. X, XII e LXXII. Assim, mesmo que se considere que eventual parte do art. 43 não tem aplicação às “centrais de risco de crédito”, os direitos de acesso, de comunicação e de retificação continuam garantidos à pessoa que tem dados pessoais coletados e armazenados nessas bases de dados. Com apoio nesses dispositivos constitucionais, o consumidor de serviços bancários possui respaldo para se proteger contra a atuação abusiva das instituições bancárias e dos responsáveis pela operação da CRC. Estes devem orientar suas atividades a partir da observação dessas regras, sem pôr em risco o direito à privacidade informacional dos consumidores.
É importante ressaltar que esse conjunto de direitos garante o indivíduo contra a atuação de controladores de bases de dados informatizadas ou não. O direito que todo cidadão tem de ter acesso à informação pessoal, de conhecê-la e solicitar, se for o caso, sua atualização ou retificação, refere-se tanto aos dados processados mecanicamente (por via oral, de escrituração ou impressa) quanto àqueles obtidos por meio de procedimentos automatizados, através da utilização de equipamentos computacionais, informáticos ou telemáticos, e armazenados em dispositivos eletromagnéticos (como discos rígidos ou removíveis, CD-ROM ou DVD). Embora a nossa Constituição não tenha utilizado a mesma técnica de outros textos constitucionais – a exemplo da Constituição portuguesa de 1976 (no art. 35)(18) e da Constituição espanhola (no art. 18-4)(19), que regularam a atividade informática impondo limites que deve observar com respeito aos direitos fundamentais e demais liberdades constitucionais -, ao constitucionalizar o remédio do habeas data e garantir proteção aos dados pessoais (por meio do resguardo da intimidade e vida privada), pode-se deduzir que ela assegurou o indivíduo contra o tratamento automatizado de dados. Não é sem sentido afirmar que a nossa Constituição consagra um novo direito, o “direito de autodeterminação informativa ou informática”, como componente do direito ao habeas data e da garantia da privacidade individual, podendo ser conceituado como a atribuição que tem toda pessoa para controlar a informação concernente a si mesma, quando seus dados pessoais hajam sido submetidos a um tratamento informatizado(20)
5. Do dano decorrente da inserção de dados pessoais na CRC
Em relação aos convencionais cadastros de inadimplentes e de proteção ao crédito, a simples inclusão de dados financeiros pessoais tem sido considerada como lesiva aos direitos da personalidade (honra e privacidade) do consumidor. Isso se explica porque “a idoneidade financeira é o principal elemento individualizador do consumidor no contexto da sociedade de consumo massificado. Ademais, os serviços prestados pelos bancos de dados de proteção ao crédito se revestem de caráter extremamente invasivo, uma vez que reúnem e disponibilizam ao público(21) dados pessoais acerca do consumidor, mais precisamente sobre sua solvência, que, sem dúvida, é um dos elementos de sua honra objetiva”. Portanto, “em se tratando de indenização decorrente da inscrição irregular no cadastro de inadimplentes, a exigência de prova de dano moral (extrapatrimonial) se satisfaz com a demonstração da existência da inscrição irregular nesse cadastro”(22). Aliás, a jurisprudência do STJ vem ressaltando que não apenas a inserção dos dados (negativação) em banco de dados importa na presunção do dano moral, mas também a simples ausência de comunicação prévia do registro ao consumidor é causa suficiente para o dano e a obrigação de repará-lo(23)
A mesma lógica não se aplica aos bancos de dados múltiplos, aos chamados “cadastros positivos” ou a qualquer outra base de dados pública que não tenha a finalidade exclusiva de servir como cadastro de consumidores inadimplentes. É o caso da Central de Risco de Crédito do Banco Central, que possui características que a difere dos típicos bancos de dados e cadastros de consumo. Por exemplo, as informações que alimentam o sistema são prestadas de forma compulsória, isto é, as instituições bancárias são obrigadas a prestar informações sobre o montante dos débitos e responsabilidades por garantias de seus clientes, por força de norma regulamentar expedida pelo próprio Banco Central(24). Não tem, pois, a facultatividade que costuma caracterizar os bancos de dados e cadastros de consumo, em que as informações negativas são transmitidas voluntariamente ao administrador do sistema. Além disso, tem uma política de acesso diferenciada, pois somente podem consultar suas informações: a) analistas do Banco Central, na realização de tarefa de supervisão das instituições bancárias ou a pedido de clientes; b) os clientes dos bancos (pessoa jurídica ou física) que tenham dados na CRC, mediante apresentação de documentação exigida; e c) instituições financeiras que participam do sistema, desde que tenham autorização específica do cliente(25). Mesmo a pessoa jurídica interessada na realização do negócio jurídico com o consumidor (cliente de serviços bancários) cujos dados encontram-se registrados, não pode fazer consulta sem que este último autorize expressamente. Além da restrição do acesso ao sistema, as pessoas autorizadas têm níveis diferenciados de consulta às informações. As pessoas físicas ou jurídicas cujos nomes constam na CRC e os analistas do Banco Central podem realizar consultas mais detalhadas que as instituições financeiras.
Em função da natureza diferenciada e da restrição do acesso à base de dados da CRC, a simples inclusão de dados pessoais não resulta em presunção de prejuízo para o cliente bancário. Mesmo havendo inserção momentânea de dados incorretos, o prejuízo não é automático e não se presume, dada a política diferenciada do acesso à base de dados. Nos cadastros de inadimplentes, a simples inclusão do nome de alguém já é suficiente para causar danos. Esses cadastros são espécie de “listas negras” do mercado de consumo e basta a simples presença do nome de determinado consumidor numa delas para causar-lhe restrição ao crédito. São acessados de forma livre por associados e contratantes do serviço de informações prestado pelo operador da base de dados. Assim, é lógico presumir o dano como decorrente da simples inserção de informações pessoais em cadastros e bases de dados dessa natureza. O mesmo não se pode dizer das “centrais de risco de crédito”, pelas características diferenciadas da qualidade dos dados que integram sua base de informações e da restrita política de acesso. Nelas, os dados são armazenados para fins diversos, não se prestando à exclusiva finalidade de registrar os nomes de devedores inadimplentes. Além disso, a restrita política de acesso não permite que as informações se disseminem e cheguem a outras pessoas que não os operadores e auditores do sistema.
Tenha-se, portanto, que da maneira como a CRC foi normativamente concebida, a simples inserção de informações financeiras pessoais em seu sistema (base de dados) não gera automaticamente dano para o sujeito (a quem elas se referem). Nem mesmo quando os dados tenham natureza negativa (quando relacionados com a insolvência de dívidas) o dano se presume; a eles em princípio não têm acesso terceiros outros, ficando preservada a confidencialidade e eliminada a potencialidade danosa aos direitos da personalidade tão comum aos cadastros de inadimplentes e serviços de proteção ao crédito. A limitação do acesso às informações nela armazenadas impede a consumação do dano.
É certo que pode haver vazamento de informações, transferência não autorizada ou qualquer forma ou uso irregular da base de dados, mas tais situações precisam ser investigadas no caso concreto, com recurso ao Judiciário, se for o caso. O que não se pode é dispensar às bases de dados públicas de caráter múltiplo o mesmo tratamento jurídico previsto para os “cadastros de inadimplentes”. O dano que decorre da simples inclusão de dados pessoais nesses últimos, não se configura quando a mesma operação é feita na CRC(26).
6. Conclusões:
1- A simples existência e funcionamento da base de dados da Central de Risco de Crédito, envolvendo trocas de informações cadastrais dos clientes (consumidores de serviços bancários) e sobre operações financeiras entre o Banco Central e os bancos privados, não fere diretamente a garantia constitucional à privacidade (sigilo bancário), em face da permissão expressa da Lei Complementar n. 105, de 10 de janeiro de 2001.
2- A violação à privacidade garantida pelo sigilo bancário pode resultar de eventual disfunção que se fizer do sistema, através da utilização indevida das informações, fora dos casos previstos em lei ou norma regulamentar do Conselho Monetário Nacional, alienando-se a diretriz de interesse público que deve sempre nortear o controle e uso das informações pessoais contidas na CRC ou em qualquer outra base de dados gerida pelo Poder Público.
3- O conjunto de normas do CDC (art. 43 e seus incisos) somente se aplica à Central de Risco de Crédito no que couber. Naquilo que representar emanações de direitos garantidos constitucionalmente, relativos à proteção de dados pessoais (art. 5o., incisos. X, XII e LXXII), aplicam-se indistintamente à CRC ou a qualquer outra base de dados (eletrônica ou não) que contenha informações pessoais). As demais disposições identificadas como específicas da regulação de castrados de inadimplentes têm aplicação restrita ao âmbito dessa atividade.
4- Os direitos de acesso, de comunicação e de retificação de dados pessoais são garantidos à pessoa que tem dados pessoais coletados e armazenados em “centrais de risco de crédito” ou qualquer outra base gerida pelo Poder Público, já que têm base constitucional – art. 5o., incs. X, XII e LXXII, da CF.
5- Esse conjunto de direitos garante o indivíduo contra a atuação de controladores de bases de dados informatizadas ou não. O direito que todo cidadão tem de ter acesso à informação pessoal, de conhecê-la e solicitar, se for o caso, sua atualização ou retificação, refere-se tanto aos dados processados mecanicamente quanto àqueles obtidos por meio de procedimentos automatizados, através da utilização de equipamentos computacionais. Embora a nossa Constituição não tenha utilizado a mesma técnica de outros textos constitucionais, ao constitucionalizar o remédio do habeas data e garantir proteção aos dados pessoais (por meio do resguardo da intimidade e vida privada), pode-se deduzir que ela consagrou o “direito de autodeterminação informativa ou informática”.
6- Em função da natureza diferenciada e da restrição do acesso à base de dados da CRC, a simples inclusão de dados pessoais não resulta em presunção de prejuízo para o cliente bancário. Mesmo havendo inserção momentânea de dados incorretos, o prejuízo não é automático e não se presume, diferentemente do que ocorre em relação aos cadastros de inadimplentes e de proteção ao crédito.
Notas:
1- Para realizar consultas sobre o montante das operações de crédito existentes a partir de janeiro de 1998. Atualmente, só é possível às instituições financeiras consultarem dados relativos aos últimos 12 meses.
2- A Carta-Circular n. 002909, de 26 de abril de 2000 esclareceu procedimentos a serem observados para a remessa mensal de informações relativas a clientes, no âmbito do sistema da Central de Risco de Crédito.
3- Bancos múltiplos, comerciais, caixas econômicas, bancos de investimento, bancos de desenvolvimento, sociedades de crédito imobiliário, sociedades de crédito, financiamento e investimento, companhias hipotecárias, agências de fomento ou de desenvolvimento, sociedades de arrendamento mercantil, cooperativas de crédito e sociedades de crédito ao microempreendedor. Mas segundo informa Priscila Cunha Lima (em seu artigo Central de Risco de Crédito do Banco Central do Brasil e o sigilo bancário, artigo publicado no site JusNavigandi, endereço: www.jus.com.br, visitado em 12.07.04), outros órgãos e instituições também deverão alimentar a base de dados, conforme planejado para a sua reformulação já em andamento, a exemplo da Secretaria da Receita Federal (SRF), das Câmaras de Compensação, Liquidação e Custódia, do Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), do Departamento de Capitais Estrangeiros e Câmbio (Decec), do Departamento de Supervisão Direta (Desup), do Departamento de Supervisão Indireta (Desin), do sistema de Balancetes Cosif, do Cadastro de Emitentes de Cheques sem Fundo (CCF), do sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad) e outras instituições financeiras e assemelhadas.
4- Segundo o art. 2o., II, da Res. n. 2724, de 31 de maio de 2000, do Banco Central, as informações que alimentam a base de dados da CRC são de exclusiva responsabilidade das instituições integrantes do SFN, “inclusive no que diz respeito às respectivas inclusões, atualizações ou exclusões do sistema”.
5- Circular n. 002999, de 24 de agosto de 2000, da Diretoria Colegiada do Banco Central do Brasil, alterou para 5 (cinco) mil reais o valor relativo a operações, de responsabilidade de clientes, que devem ser informadas ao Banco Central. De agosto de 1998 até outubro de 1999, o limite era de R$ 50.000,00; de novembro de 1999 a dezembro de 2000, o limite era de R$ 20.000,00; e de janeiro de 2001 até hoje, o limite é de R$ 5.000,00.
6- O novo software, conhecido abreviadamente por SCR, estava previsto para ser implantado em julho de 2003.
7- Para a supervisão bancária foram aperfeiçoadas as verificações do nível geral de inadimplência dos clientes e do volume de crédito utilizado pelos diversos tipos de tomadores. As instituições financeiras também foram beneficiadas com a facilitação do acesso ao histórico de dados do tomador (do crédito) em ambiente web.
8- Nas palavras de Priscila Cunha Lima, artigo citado.
9- A Diretiva Européia de proteção de dados pessoais 95/46/CE segue essa orientação, ao estabelecer exceções amplas à atividade estatal relativa a assuntos de segurança pública, de defesa do Estado e de suas atividades de investigação (art. 13 e 26).
10- Central de Risco de Crédito do Banco Central do Brasil e o sigilo bancário, artigo publicado no site JusNavigandi (endereço: www.jus.com.br), visitado em 12.07.04.
11- O direito de acesso aos dados sobre ele armazenados sem o seu conhecimento confere também ao consumidor o direito de acesso às fontes em que foram coletadas as informações.
12- Esse limite temporal de permanência de dados relativos a dívidas inadimplidas nos bancos de dados de consumo “impede a aplicação de pena de caráter perpétuo, vedada pela Constituição da República (art. 5º, XLVII, b) e uniformiza o tratamento da matéria ao impedir efeitos extrajudiciais da dívida prescrita e não permitir que esta perturbe eternamente a vida do consumidor, cassando-lhe o crédito e a possibilidade de reabilitação” (João Batista de Almeida, citado por Antônio Herman Vasconcellos e Benjamin, , .p. 381).
13- Parece não existir norma que limite a permanência dos registros informacionais na CRC. No entanto, as instituições bancárias, quando autorizadas pelo cliente, só têm acesso às informações sobre ele registradas nos últimos 12 meses.
14- Trecho de voto, citado em artigo de Jonair Nogueira Martins – A Serasa, o Banco Central do Brasil e o Desrespeito à Constituição Federal.
15- Com uma diferença em relação a outras situações pertinentes à proteção da privacidade individual: está limitada pela própria Constituição, que excepciona essa garantia, ao prever a possibilidade de quebra por ordem judicial para fins de investigação criminal ou instrução processual (art. 5o., XII). Como nenhuma liberdade constitucional é absoluta, no caso das correspondências e comunicações (telegráficas, de dados e telefônicas) o próprio texto constitucional cuidou de excepcioná-las, na medida em que admite a interceptação dentro de certos parâmetros.
16- O inc. XII do art. 5o. da CF dispõe “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;”
17- LXXII – conceder-se-á “habeas-data”:
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;
18- Artigo 35.º da Constituição Portuguesa (Utilização da informática):
1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei.
2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa independente.
3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.
5. É proibida a atribuição de um número nacional único aos cidadãos.
6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional.
7. Os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei.
19- Artículo 18 de La Constitución Española:
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
20- O direito de autoderminação informativa ou informática tem sido considerado, pela doutrina constitucional espanhola, na categoria dos “derechos constitucionales nuevos”. Destaque para o jusfilósofo Pérez Luño, com a chamada “Libertad informática”, vislumbrada a partir do art. 18-4 da Constituição espanhola, que regula a informática estabelecendo como limites o exercício dos direitos fundamentais (como a intimidade, a honra e a imagem).
21- Na verdade, devido ao caráter pessoal e à potencialidade lesiva dos dados registrados, os bancos de dados de proteção ao crédito procuram não disponibilizar as informações constantes de seus arquivos ao público em geral. Apenas aqueles que possuem contrato com essas entidades (bancos, comerciantes, entre outros) ou são a elas associados podem ter acesso aos dados armazenados.
22- STJ-4ª Turma. RESP 165.727/DF. Relator: Sálvio de Figueiredo Teixeira. Data do julgamento: 16.06.1998. DJ 21.09.1998, p. 196.
23- Nesse sentido a ementa a seguir transcrita:
“Direito do consumidor. Inscrição indevida no SPC. Furto do cartão de crédito. Dano moral. Prova. Desnecessidade. Comunicação ao consumidor de sua inscrição. Obrigatoriedade. Lei 8078/90, art. 43, § 2º. Doutrina. Indenização devida. Fixação. Precedentes. Recurso parcialmente provido.
II. De acordo com o art. 43, § 2º do Código de Defesa do Consumidor, e com a doutrina, obrigatória é a comunicação ao consumidor de sua inscrição no cadastro de proteção ao crédito, sendo, na ausência da comunicação, reparável o dano oriundo da inclusão indevida (STJ-4ª Turma. RESP 165.727/DF. Relator: Sálvio de Figueiredo Teixeira. Data do julgamento: 16.06.1998. DJ 21.09.1998, p. 196.
24- A regulamentação do sistema da Central de Risco de Crédito do Banco Central foi inicialmente efetuada através da Resolução n. 2.390, de 22 de maio de 1997, substituída posteriormente pela Resolução 2.724, de 31 de maio de 2000, ambas emitidas pelo Conselho Monetário Nacional (CMN). Tanto a primeira (revogada) como a que a revogou estabeleceram a obrigatoriedade, pelas instituições financeiras, de prestar informações sobre o montante dos débitos e responsabilidades por garantias dos seus clientes (consumidores de serviços bancários). Essa obrigação constava do art. 1o. da Res. 2.390/97 e está prevista no art. 1o. da Res. 2.724/00.
25- É o que dispõe o art. 3º da Res. n. 2724, de 31 de maio de 2000, do Banco Central.
26- O seu sistema foi tecnicamente construído para que informações incorretas (relativas às pessoas físicas ou jurídicas clientes dos bancos) possam ser retificadas ou excluídas pela instituição financeira responsável pela inclusão. Tal previsão está expressa no art. 2o., II, da Res. n. 2724, de 31 de maio de 2000, do Banco Central.