A legalidade do cadastro de passagem e o sigilo dos dados pessoais

Cadastro de passagem ou "cadastro de consultas anteriores" consiste em um banco de dados mantido por fornecedores no qual registram informações sobre os consumidores que realizaram, em algum momento, pesquisa de preço ou solicitaram informações sobre condições de financiamento e crediário. Além de tais informações, o cadastro também armazena as negociações que os consumidores tiveram com os fornecedores, independentemente da celebração final do negócio.

A tese se fundamentou no artigo 43, § 1º, do Código de Defesa do Consumidor ao dizer que: "O consumidor, sem prejuízo do que diz o art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1º. Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos".

Outro ponto levantado na ação se refere à ilegalidade dos dados obtidos para cadastro sem prévia comunicação e consentimento dos consumidores, que nesses casos, teriam sido privados do direito de exigir a correção de inexatidão ou equívoco neles contidos. Nesse sentido, preceitua o CDC, artigo 43, §§ 2º e 3º: "§ 2º. A abertura de cadastro, ficha, registro de dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3º O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas".

Ainda de acordo com o Ministério Público da Bahia, inúmeros consumidores tiveram negativa de crédito em função de apresentarem "excesso de passagens", informando que teriam realizado consultas e negociações em outros estabelecimentos comerciais, pleiteando, assim, sua proibição.

Ao analisar a questão, o Superior Tribunal de Justiça negou que os cadastros de passagem sejam necessariamente ilegais, pontuando diferenciações entre cadastro de devedor, cadastro positivo e cadastro de passagem. O cadastro de devedor, de natureza negativa, é aquele que registra os consumidores que estão inadimplentes. O cadastro positivo, por sua vez, é aquele que registra as situações em que a pessoa foi adimplente, tendo como finalidade precípua a constituição de um histórico afirmativo de crédito (Lei nº 12.414/11). Por fim, o cadastro de passagem, fundamentalmente de caráter neutro, registra se outros fornecedores já fizeram pesquisa a respeito do histórico de crédito de um determinado consumidor.

Concluiu a corte que, assim como em todo e qualquer banco de dados ou cadastro para o mercado de consumo, o de passagem deverá obedecer aos ditames contidos no CDC, artigo 43 e não agride o conteúdo do § 1º. Além do CPF ou CNPJ consultados, registram-se as datas de realização da pesquisa e o nome dos fornecedores, demonstrando, portanto, sua natureza objetiva de forma clara e de fácil compreensão.

Apontou, ainda, pela necessidade de observância do § 2º, tendo em vista que a criação da ficha, cadastro ou registro de dados pessoais do consumidor deve ser previamente comunicada por escrito. Fundado sob tais premissas, assim lançou seu entendimento a ministra Nancy Andrighi:

"O cadastro de passagem ou cadastro de consultas anteriores é um banco de dados de consumo no qual os comerciantes registram consultas feitas a respeito do histórico de crédito de consumidores que com eles tenham realizado tratativas ou solicitado informações gerais sobre condições de financiamento ou crediário. É lícita a manutenção do cadastro de passagem, ou seja, ele pode existir. No entanto, assim como ocorre como todo e qualquer banco de dados ou cadastro de consumo, o cadastro de passagem deve cumprir as exigências previstas no art. 43 do CDC. Assim, somente poderão constar no cadastro de passagem informações dos consumidores se essa inclusão tiver sido previamente comunicada ao respectivo consumidor. A inserção de informações dos consumidores no cadastro de passagem sem prévia comunicação é prática ilícita. Vale ressaltar, no entanto, que a prática é que é ilícita, não é o cadastro em si" [1].

Faz-se necessário dizer que, além dos dispositivos legais do Código de Defesa do Consumidor, a Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/18 — trouxe ainda mais robustez ao direito do cidadão, consumidor e titular de dados, de ser previamente avisado acerca da coleta de seus dados pessoais, bem como sua forma de armazenamento e uso. Servindo como aparato legal complementar ao CDC, a LGPD inaugurou o princípio que deverá regrar todas as relações de consumo: a inviolabilidade de dados. Tem-se, como regra, que os dados pessoais são invioláveis, excepcionando-se as hipóteses autorizadoras do artigo 7º, LGPD.

A referida lei expande a garantia de sigilo ao tratamento de dados para além do âmbito das relações de consumo. Conforme artigo 5º, I, LGPD, dado pessoal é qualquer informação relacionada a pessoa identificada ou identificável, dando especial proteção aos dados pessoais sensíveis, aqueles relacionados a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou vida sexual, genético ou biométrico (artigo 5º, II, LGPD).

Uma das hipóteses autorizadoras (bases legais) para o tratamento de dados do consumidor é o seu consentimento, consistente na "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica" (artigo 5º, XII, LGPD). O consentimento deverá ser expresso, mediante fornecimento por escrito ou por outro meio que demonstre a manifestação da vontade do titular de dados (artigo 8º, "Caput", LGPD); específico, se referindo a finalidades determinadas e tornando nulas as autorizações genéricas (arts. 8º, § 4º e 11, I, LGPD) e informado, impondo ao agente de tratamento de dados o dever de cientificar o titular quanto aos seus direitos e finalidades pretendidas, bem como o processo técnico e os sujeitos envolvidos no tratamento (artigo 9º, LGPD).

Na esteira do que já previa o CDC, artigo 43, a LGPD, o artigo 5º, X, expandiu a aplicação da legislação de dados para além das relações de consumo, devendo ser observada para qualquer tipo de tratamento de dados, definindo-o como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".

Para tornar clara a objetividade das informações tratada no § 1º, artigo 43, CDC, a Lei nº 13.709/18 determinou que todo tratamento de dados, nos quais se inclui a criação de fichas, cadastros e banco de dados, deverá estar ancorado sob o tripé: finalidade, necessidade e adequação.

Finalidade é a exigência pela qual o de tratamento deverá ser realizado para fins específicos e determinados, tornando nulas as autorizações genéricas ou abstratas. Necessidade se refere à política de redução de coleta e movimentação de dados pessoais dos titulares, preservando e permitindo o tratamento apenas dos dados imprescindíveis (artigo 6º, III, LGPD). Adequação é a utilização da forma de tratamento de dados correspondente ao fim que se destina.

A proteção dos dados pessoais dos consumidores encontrava fundamento constitucional indireto no artigo 5º, X e XI, que prevê como invioláveis a intimidade, vida privada, honra e a imagem das pessoas, assegurando o direito à indenização pelo dano moral ou material decorrente de sua violação. Contudo, com a aprovação da Emenda Constitucional 115/22, já promulgada e em vigência, passou a ser direito e garantia constitucional explicito, conforme texto do artigo 5º, LXXIX: "É assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais". Adicionou, ainda, o inciso XXVI ao artigo 21, estabelecendo a competência da União para organizar e fiscalizar a proteção e o tratamento de dados pessoais, e o inciso XXX ao artigo 22, acerca da competência para legislar sobre a matéria.