Oferta ativa de serviços de crédito - Crônica de uma infração anunciada
ANPD investiga compartilhamento de dados do INSS por IFs e Corbans, motivado por mais de 300 reclamações sobre contatos não solicitados para oferta de crédito.
segunda-feira, 26 de fevereiro de 2024
Atualizado em 23 de fevereiro de 2024 15:02
Para quem milita no tema da proteção de dados e privacidade há muitos anos, não é uma surpresa a Nota Técnica 2/24/FIS/CGF/ANPD, divulgada pela Autoridade Nacional de Proteção de Dados - ANPD no início de fevereiro de 2024, referente ao Processo de Fiscalização instaurado pela Coordenação-Geral de Fiscalização - CGF da ANPD para investigar o compartilhamento de dados pessoais dos beneficiários do INSS por Instituições Financeiras - IFs e Correspondentes Bancários - Corbans, com foco na oferta ativa e indesejada de empréstimo consignado e outros serviços de crédito.
De fato, o incômodo dos titulares com os contatos feitos via SMS, ligações telefônicas ou mensagens no WhatsApp, muitas vezes com os atendentes demonstrando conhecimento sobre informações pessoais dos beneficiários do INSS, não é de hoje. O processo instaurado pela ANPD foi motivado por mais de 300 reclamações, recebidas entre 2021 e 2022, sobre contatos não solicitados promovidos por IFs e Corbans, oferecendo empréstimos consignados, cartões de crédito, renegociação ou liberação de margem do INSS, entre outros serviços de crédito, sem suas autorizações prévias ou hipótese legal que autorizasse tais contatos.
Primeiro ato: A visão míope dos envolvidos
Em que pese a Lei Geral de Proteção de Dados - LGPD ser de 2018, tendo concedido cerca de 2 anos para as empresas se adaptarem, e muitas delas terem propagado aos quatro ventos que estariam completamente regulares com a LGPD, os procedimentos investigados sobre as práticas de IFs de renome, mostram que a visão de criar um programa efetivo de governança em privacidade ainda está longe de ser uma realidade, mesmo em grandes empresas.
As IFs e seus Corbans estão sendo investigadas pela ANPD sobre práticas de tratamento de dados pessoais sem atender ao preceito básico da LGPD, que é ter a devida base legal para tratamento de dados pessoais, especificamente na oferta ativa de empréstimos consignados e outros serviços de crédito.
As investigações da ANPD se depararam com a prática do empurra-empurra de responsabilidades entre IFs e Corbans, que não reconheceram a responsabilidade conjunta e solidária, em adotar medidas de avaliação de bases de dados adequadas, para realizarem o tratamento de dados para finalidades comuns ou complementares, como a oferta de crédito consignado. De qualquer modo, seja por meio da própria LGPD, seja pelas regulamentações regulatórias do setor financeiro, a ANPD aponta que as IFs seriam controladoras dos dados pessoais utilizados na oferta ativa irregular e os Corbans seriam operadores desses dados, ou na pior das hipóteses, seriam controladores conjuntos, com responsabilidade solidária pela prática irregular.
Pergunto agora, mas essas organizações não fizeram o mapeamento de suas atividades de tratamento de dados, não atribuíram as bases legais, não elaboraram um plano de ações para mitigar eventuais riscos? É nesse momento que você, que está conduzindo seu programa de governança em privacidade com responsabilidade, entende a importância de uma metodologia de implantação e o monitoramento contínuo do seu programa de privacidade, para não cair em cilada.
Segundo ato: A infração anunciada é investigada
Em 2022, quatro anos após a publicação da LGPD, a ANPD iniciou procedimento de fiscalização das denúncias recebidas de titulares relatando situações de contato não solicitado, devido ao compartilhamento indevido de dados pessoais, e eventual acesso indevido a dados pessoais relativos a dados de beneficiários do INSS.
O INSS informou que, após a concessão de benefícios, os dados dos beneficiários são enviados para pagamento à instituição financeira escolhida, sob a premissa de que os dados pessoais do beneficiário para checagem das condições do empréstimo consignado são acessados apenas após autorização do titular. O INSS também destacou que os dados que poderiam viabilizar o assédio ou contato direto não estão disponíveis para consignação de benefício, nem pertencem à base do sistema.
Apesar disso, o processo de fiscalização constatou que a oferta ativa e indesejada de empréstimos consignados persistia, evidenciando uma complexidade na oferta dessa modalidade de empréstimo, envolvendo diversos agentes responsáveis pelo tratamento de dados pessoais. A ANPD identificou que, embora o compartilhamento de dados dos beneficiários ocorra de maneira regulada, conforme descrito nos procedimentos estabelecidos pelo INSS e pelas instruções normativas que regulamentam o processo de concessão e a operacionalização dos empréstimos consignados, existem casos de oferta ativa de serviços de crédito que independem de solicitação do titular, indicando potenciais infrações à LGPD, devido ao compartilhamento indevido de dados e a oferta não solicitada de crédito.
Terceiro ato: As infrações são desnudadas
A investigação da ANPD indica, até o momento, que o uso de dados pessoais dos beneficiários do INSS para ofertar serviços de crédito estaria sendo realizada sem uma base legal válida, em flagrante infração à LGPD, que estabelece que o tratamento de dados pessoais deve ser realizado mediante hipóteses especificas do artigo 7º ou 11º da LGPD, a depender se são dados pessoais ou dados pessoais sensíveis, o que não estaria sendo observado nessas situações.
A investigação da ANPD indica que as bases legais utilizadas como alegação pelas IFs e Corbans seriam o consentimento, a execução de contrato ou o legítimo interesse, mas que nenhuma delas de fato teria sido evidenciada adequadamente no processo.
A principal questão se refere a realização da oferta de crédito aos beneficiários do INSS, antes dos infratores possuírem uma base legal que pudesse fundamentar adequadamente o tratamento, ou seja, os contatos dos titulares utilizados para fazer o contato ativo da oferta do crédito estariam viciados e não amparados por uma hipótese legal - a devida base legal prevista na LGPD. Tenho dito desde 2018, que a LGPD se aplica aos dados anteriores à lei ou mesmo dados públicos dos titulares, assim processos de enriquecimento de dados, que nada mais é que um tratamento, só poderiam ser realizados mediante uma hipótese legal de sustentação.
A atribuição da base legal requer uma técnica apurada e não é uma mera formalidade de preenchimento de formulário, necessita de uma avalição crítica do tratamento em questão, inclusive apontando eventuais medidas mitigatórias de correção da empresa, ou, no extremo, até a mesmo a recomendação de interrupção do tratamento, que não possa depois ser devidamente sustentado com base na LGPD.
Em relação à justificativa do tratamento de dados pessoais dos beneficiários do INSS ter sido realizado mediante o consentimento, a investigação da ANPD não identificou esse consentimento explícito e informado dos titulares dos dados pelas IFs e Corbans, como exigido pela LGPD, que exige uma base legal clara e consentimento específico para eventual tratamento dos dados do titular para realizar a oferta dos serviços de crédito, antes da abordagem do titular.
A utilização da hipótese legal da execução de contrato foi afastada de plano na investigação, pois esta base somente poderia ser utilizada caso o titular fosse parte do contrato ou quando necessário para a execução do contrato, quando o tratamento dos dados tivesse relacionado com alguma correção de serviços, aprimoramento e personalização da prestação, o que não é o caso. Isso porque, os dados para acesso ativo são tratados antes da execução do contrato, devendo esse tratamento anterior possuir alguma base legal, o que não foi constatado pela ANPD.
Por fim, a análise mais profunda realizada pela ANPD foi sobre o legítimo interesse, que justificasse o tratamento pelas IFs e Corbans sem prejudicar os direitos dos titulares, que é a base legal mais flexível, mas que ao mesmo tempo exige maior ônus do controlador em realizar o teste do legitimo interesse, conhecido como LIA - Legitimate Interest Assessment. Aqui você, que sempre achou que seu consultor em privacidade estava sendo exagerado na governança das bases legais ao aplicar o LIA, pensa: ainda bem que apliquei os testes de LIA recomendados.
A investigação realizada pela ANPD aplicou o LIA e não identificou que o tratamento teria sido realizado para atividade legítima de interesse do controlador dos dados pessoais, nem que teria atendido ao princípio da necessidade, que limita o tratamento ao mínimo necessário para alcançar suas finalidades, pois os dados pessoais estariam sendo usados de forma excessiva ou para finalidades além daquelas para as quais foram coletados. Tampouco identificou a transparência adequada com os titulares dos dados, pois os beneficiários do INSS não são devidamente informados sobre como, por que, e por quem seus dados estão sendo tratados, incluindo a não divulgação da finalidade específica do tratamento dos dados e de como os titulares podem exercer seus direitos previstos pela LGPD.
Assim, a ANPD não pode identificar, até o momento, quais seriam as devidas hipótese legais para amparar o acesso ativo pelas IFs e Corbans aos beneficiários do INSS na oferta de serviços de crédito.
Quarto ato: Caem as cortinas
Deste modo, a investigação da ANPD não encontrou sustentação legal para o acesso ativo aos beneficiários do INSS na oferta de serviços de crédito pelas IFs e Corbans, pois as hipóteses legais utilizadas para amparar tal tratamento de dados, que seriam consentimento, execução de contrato e legítimo interesse, não puderam ser evidenciadas.
A primeira recomendação da CGF para adoção pela ANPD para futuros encaminhamentos é a instauração de processos de fiscalização específicos direcionados às quatro IFs que foram mais requeridas pelos titulares dos dados e denunciantes. Esses processos têm como objetivo instruir os casos de forma autônoma, permitindo uma análise detalhada das práticas de cada instituição no que diz respeito ao tratamento de dados pessoais.
A segunda medida recomendada pela CGF para adoção pela ANPD, que independe do seguimento das fiscalizações específicas, é a expedição de solicitação de regularização para que as IFs mais requeridas apresentem, dentro de um prazo de 20 dias, uma base legal válida que justifique o tratamento de dados pessoais na oferta ativa de serviços de crédito aos beneficiários do INSS. Esta medida visa assegurar que as práticas das IFs estejam em conformidade com as exigências da LGPD, especialmente em relação à obtenção do consentimento dos titulares dos dados ou à aplicação de outra base legal apropriada para o tratamento de dados.
A CGF ainda recomendou que a ANPD oficie a SENACON, para que as práticas acima mencionadas sejam avaliadas sob o prisma de eventuais violações de regras consumeristas, em infração ao CDC, que é uma competência apartada e avaliada de maneira independente.
As demais instituições financeiras, que não foram especificamente mencionadas na sugestão de instauração de processos de fiscalização, permanecerão sob observação para avaliações futuras, indicando que a ANPD pode vir a adotar medidas semelhantes contra outras IFs conforme as investigações prossigam e novas evidências sejam coletadas.
Embora não mencionados pela ANPD, os Corbans, peça chave nessa complexa engrenagem de acesso ativo nas ofertas de crédito, também possuem sua parcela de responsabilidade que poderá ser oportunamente avaliada e penalizada pela ANPD. Nunca é demais lembrar que os operadores, no caso os Corbans, também estão sujeitos a cumprir a LGPD, respondendo solidariamente pelos danos causados pelo tratamento, quando descumprirem as obrigações da legislação de proteção de dados, nos termos do artigo 42, § 1º, I da LGPD.
Os próximos capítulos podem mudar o jogo, a ANPD está diante de uma oportunidade ímpar de mostrar para toda a sociedade brasileira o valor das leis de proteção de dados, a importância de avaliar suas bases legais adequadamente, assim como implementar uma governança em privacidade robusta, com técnicas de privacy by design para mitigar o risco da adoção de antigas práticas de enriquecimento de bases de dados sem a devida base legal, para ações comerciais não amparadas na LGPD.
O caminho será árduo, quem não se lembra dos longos anos que as IFs postergaram a aplicação do CDC ao setor bancário, mediante recursos judiciais, que mantiveram o CDC inaplicável ao setor bancário por alguns anos. Vamos acompanhar se a ANPD terá a resiliência e fibra necessárias para seguir nessa cruzada, assegurando a preservação de nossa autodeterminação, cuja falta de aplicação será sempre lembrada a cada ligação recebida de uma oferta de crédito indesejada.
Helio Ferreira Moraes
Conselheiro do M133. Sócio do PK - Pinhão & Koiffman Advogados.