Cadastro (Im)positivo: Banco Central vai compartilhar seus dados com birôs de crédito

imagem: Mufid Majnun / Unsplash

O Banco Central do Brasil (BCB) publicou nesta segunda-feira no Diário Oficial da União extratos de acordos de cooperação com cinco grandes birôs de crédito para compartilhar dados sobre clientes brasileiros do sistema financeiro:

Os termos dos acordos afirmam que devem entrar em vigor imediatamente após essa publicação (que ocorreu em 4 de setembro de 2023) e também assevera que devem vigorar por prazo indeterminado.

Os acordos haviam sido anunciados em março pelo BCB em uma publicação em seu site, sem muito alarde, e sem nenhuma repercussão efetiva, considerando que não consegui encontrar uma única notícia que os mencionasse.

A existência de tais acordos de compartilhamento de dados com birôs de crédito havia sido prevista em uma norma de 2022, a Resolução CMN n.º 5.037:

Art. 10. O Banco Central do Brasil poderá tornar disponíveis aos gestores de bancos de dados registrados nos termos do art. 12 da Lei nº 12.414, de 9 de junho de 2011, as informações do SCR sobre operações de crédito adimplidas ou em andamento dos cadastrados naqueles bancos de dados, respeitadas as regras estabelecidas nesta Resolução e em regulamentação complementar editada pelo Banco Central do Brasil.

(…)

§ 3º A disponibilização das informações referidas no caput fica condicionada à celebração de convênio entre o gestor de bancos de dados e o Banco Central do Brasil.

§ 4º O convênio de que trata o § 3º deste artigo estabelecerá a forma como se dará o intercâmbio de informações entre as partes.

Todavia, somente alguém que estivesse acompanhando muito de perto os regulamentos do Banco Central nesse setor provavelmente seria capaz de antever isso. Quando se compara com o amplo efeito de rede de vigilância acarretado por esses acordos, que irá afetar a maioria dos brasileiros, pode-se facilmente argumentar que muita gente será pega de surpresa.

Que dados serão compartilhados?

O BCB compartilhará com os birôs de crédito os dados contidos no Sistema de Informações de Créditos (SCR). A norma que regulamenta o sistema, a Resolução CMN n.º 5.037, de 2022, contém uma não exaustiva do que considera como operações de crédito, que devem ser incluídas no sistema. A lista é longa e de difícil compreensão para qualquer pessoa que não seja versada no jargão do setor financeiro. Mas parece incluir, mas não estar limitada a empréstimos, parcelamentos, penhores e outras modalidades de financiamento.

De acordo com a descrição do sistema pelo BCB, eles recebem esses dados mensalmente das instituições financeiras (bancos públicos e privados) para supervisionar operações financeiras e prevenir crises. Eles também afirmam que isso não viola o sigilo bancário e que a privacidade do cliente é preservada,

pois exige que a instituição financeira possua autorização expressa do cliente para consultar as informações que lhe dizem respeito.

Isso pode muito bem se aplicar ao caso em que alguém está solicitando um empréstimo e o banco se oferece para acessar o SCR para poder avaliar o risco e para isso obtém uma autorização expressa diretamente com o cliente. Contudo, isso não parece ser o caso com o compartilhamento de dados com os birô de crédito propiciado por esses novos acordos, já que não parece plausível que o birô fosse obter uma autorização expressa de cada uma das pessoas que há no cadastro antes de receber os dados do SCR.

Atualizaão: veja este artigo posterior para informações mais precisas sobre que tipo de dados está sendo compartilhado.

Com quem os dados serão compartilhados?

Os birôs de crédito são data brokers privados que coletam dados cadastrais e financeiros sobre pessoas e empresas, mantendo grandes bancos de dados de informações financeiras e calculam scores de crédito baseados nesses dados. Então eles vendem acesso aos scores de crédito e histórico de pagamentos para terceiros interessados nesses dados.

A Lei Geral de Proteção de Dados (LGPD) não exige que os birôs de crédito obtenham o consentimento das pessoas para poder usar os seus dados (art. 7º, inciso X). Apenas isso já significa que os cidadãos recebem proteções mais fracas no uso que esses data brokers fazem dos seus dados pessoais, desde que eles aleguem que os dados são necessários para a proteção do crédito.

Além disso, em 2019 a Lei Complementar n.º 166 trouxe a inclusão automática de todos os cidadãos brasileiros no Cadastro (Im)positivo, sob um regime de opt-out. Isto significa que, a menos que alguém notifique explicitamente os birôs de crédito de que deseja ser excluído do cadastro, seus dados serão incluídos nessa rede de arrasto de vigilância financeira. Para exercer o seu direito de saída, entretanto, muitas vezes é exigido que se forneça ainda mais dados pessoais, como o CPF, nome completo, data de nascimento, endereço residencial, e-mail, número de telefone e algumas vezes até mesmo uma selfie. Pelo menos a lei estabelece que, assim que excluído do cadastro em qualquer um dos birôs de crédito, todos os outros também devem respeitar a decisão e remover essa pessoa também de seus cadastros.

Informações no Cadastro (Im)positivo incluem todos os tipos de pagamentos e empréstimos. Até mesmo concessionárias públicas, tais como empresas de fornecimento de eletricidade, de água e saneamento e de gás são obrigadas a enviar dados pessoais e financeiros sobre os seus clientes aos birôs de crédito.

Os supostos benefícios do Cadastro (Im)positivo

No momento em que a lei foi promulgada, alguns especialistas em privacidade e organizações de ativismo pela proteção do consumidor criticaram a inclusão obrigatória e automática. Parte da imprensa também parecia cética quanto à alegação de que a medida fosse reduzir o custo do crédito: só porque as instituições financeiras seriam capazes de avaliar o risco com mais precisão não significa automaticamente que elas iriam reduzir as taxas de juros.

Por outro lado, outra parte da imprensa simplesmente repetia os mesmos argumentos apresentados pelos lobistas dessas empresas: que ter todas as pessoas automaticamente incluídas no Cadastro (Im)positivo melhoraria os scores de crédito de todo mundo e baixar o spread bancário, que é a diferença entre a taxa básica de juros paga em títulos públicos (SELIC) e as taxas de juros praticadas pelos bancos aos seus clientes.

Aquele argumento a favor da lei se baseia em diversas premissas falsas: que todo mundo está interessado em trocar sua privacidade por aumento do crédito, valorizando este muito mais que aquela. Que todo mundo está interessado em tomar crédito o tempo todo, em vez de em pontos bastante específicos em suas vidas, tais como ao adquirir a casa própria. Ou mesmo que as pessoas hoje em dia já compartilham de qualquer forma tudo sobre si mesmas e suas vidas nas redes sociais e não estão interessadas em sua própria privacidade.

Mesmo se, por uma questão retórica, supuséssemos como verdadeira essa proposição, um relatório publicado pelo próprio BCB em 2021 constatou que, como efeito da inclusão automática de todos no Cadastro (Im)positivo,

41% das pessoas naturais cadastradas para faixas que indicam menor risco. Cerca de 33% das pessoas naturais cadastradas se mantiveram na faixa de risco original, ao passo que os outros 26% migraram para faixas que denotam maior risco de crédito.

Embora algumas pessoas (41%) tenham recebido melhoras em suas avaliações de crédito em razão do uso desses dados, uma proporção muito maior (59%) ou permaneceram com a mesma avaliação ou tiveram uma piora de categoria de crédito. Isso não parece ser uma troca vantajosa para a maioria das pessoas, se isso significa que elas têm que abrir mão da privacidade dos seus dados pessoais e financeiros.

Sobre o spread bancário,

verificou-se que, em comparação aos novos tomadores que não possuíam pontuações baseadas no Cadastro Positivo, aqueles que as possuíam tiveram uma redução média de 10,4% dos spreads de operações de crédito pessoal não consignado. Esta queda equivale a 31 p.p., quando considerada a taxa de juros média de 299% ao ano observada nessa amostra de operações.

Os bancos têm oferecido empréstimos, de acordo com esse estudo empírico, durante aquele período de tempo, com um “desconto” de apenas 31 pontos percentuais em relação à escorchante taxa média de juros de 299% ao ano. Isso parece ser pouco demais, especialmente considerando que o período mensurado havia sido muito atípico em relação às taxas de juros no Brasil. Em 2020 e 2021, sob um argumento de que era necessário estimular a economia, o Conselho de Política Monetária havia reduzido a SELIC a um mínimo histórico de menos de 2% ao ano. Essa taxa é mais baixa ainda que a inflação medida no período, contando como uma taxa efetiva negativa pela primeira vez, em décadas, quiçá na história. O relatório nem mesmo leva em consideração esse fato extraordinário e apresenta esse resultado pífio como se fosse um efeito positivo da obrigatoriedade da inclusão automática no cadastro.

Podemos afirmar seguramente que, 4 anos após a lei, poucas pessoas se beneficiaram da inclusão automática no cadastro (o regime de opt-out) que não os próprios birôs de crédito.

Risco de vazamentos de dados

Mais um motivo para se preocupar com o compartilhamento de dados pessoais e financeiros com os birôs de crédito é o risco de que essa imensa massa de dados vaze e vá parar nas mãos de criminosos.

Esse tipo de data broker tem aparecido no noticiário como suspeito de ser a fonte de um vazamento massivo da dados em 2021 de mais de 223 milhões de brasileiros. Os dados incluem nome, CPF, data de nascimento, endereço residencial, telefone, foto de rosto, grau de instrução, status de beneficiário do INSS, declaração de imposto de renda e score de crédito. O número de pessoas excede a população total do Brasil, calculada em 203 milhões de pessoas no censo oficial de 2022, porque supostamente incluiria também os dados de pessoas falecidas.

Organizações da sociedade civil que advogam pela proteção do consumidor, como o IDEC, levantaram preocupações sérias sobre o Cadastro (Im)positivo e sobre milhões de pessoas terem sido colocadas em risco de se tornarem alvo de criminosos em razão desse vazamento de dados. A Autoridade Nacional de Proteção de Dados (ANPD) declarou, na época, que investigaria o vazamento de dados. Todavia, mais de 2 anos depois, ainda não se vê qualquer consequência divulgada como resultado daquela investigação.

Os próprios data brokers negaram ter sido a fonte do vazamento de dados. Alguns até mesmo aproveitaram a oportunidade para oferecer um serviço pago para que as pessoas verifiquem com eles se os seus dados pessoais foram encontrados em vazamentos de dados na “dark web”. Essa medida é tão irônica que alguém poderia facilmente apontá-los como caso emblemático do termo “privacy washing” – usado para indicar quando uma empresa tenta se mostrar ao público como se fosse consciente quanto à privacidade, quando na prática interna tem o comportamento oposto.

Como evitar que os meus dados sejam compartilhados?

A única maneira de impedir que os seus dados do sistema SCR sejam compartilhados com os birôs de crédito é manifestar o seu direito ao opt-out do Cadastro (Im)positivo. Isto está claro na Resolução CMN n.º 5.037, art. 10, parágrafo 2º:

§ 2º É vedada a disponibilização das informações de que trata o caput dos cadastrados que optarem pelo cancelamento de que trata o inciso I do art. 5º da Lei nº 12.414, de 2011.

O cancelamento pode ser feito em qualquer dos birôs de crédito for formulário online, por telefone, por carta ou supostamente até mesmo pessoalmente em alguns pontos de atendimento, dependendo de a qual birô você solicitar. A pegadinha é que, qualquer que seja o meio de solicitação, eles provavelmente tentarão pegar o máximo possível de informações pessoais suas, com a desculpa de que é para “verificação de identidade”, para garantir que realmente é você quem está solicitando a exclusão. O desafio é encontrar aquele que peça menos dados em troca do “favor”.