Se você nunca teve problemas de crédito, provavelmente jamais entrou em contato com a Serasa. Mesmo assim, é bastante provável que ela tenha informações sobre você em seu banco de dados — mesmo sem você saber.

Isso porque instituições que fazem transações financeiras (bancos, lojas e outros) informam a Serasa sobre como seus clientes lidam com pagamentos. E esse material pode ser comprado por qualquer interessado. A lógica é simples: para proteger seus negócios, estabelecimentos que têm interesse em dados sobre crédito vendem informações para a Serasa.

Ela, então, oferece um portfólio de soluções de crédito que usam os dados sociodemográficos dos consumidores. “São informações organizadas em conjuntos. Assim, é possível saber quando alguém pertence a um grupo que tende a ter um determinado comportamento”, explica Leila Martins, diretora de Operações de Dados da Serasa Experian.

Embora muitos nem saibam que ela existe, essa venda de dados é legal. “A Serasa é classificada como uma empresa de caráter público, porque exerce uma atividade representativa para gestão do risco de crédito”, conta. “Por isso, esse mercado é extremamente regulado.”

Leila explica que, como o trabalho da Serasa afeta diretamente o consumidor, a instituição tem muito cuidado com o tratamento das informações. “Nossa premissa fundamental é que as soluções de crédito que oferecemos atendam a todos os critérios legais”, reforça.

Marco Aurelio Orosz, head da área de Compliance do Finocchio & Ustra Sociedade de Advogados, confirma que a legislação permite a venda de dados relacionados a crédito. “Isso ajuda quem compra essa informação a fazer uma melhor análise de negócios”, comenta.

Orosz faz um paralelo com o mercado financeiro, em que se examinam as opções para obter mais liquidez. “Basicamente, empresas como a Serasa usam dados de crédito de consumidores para oferecer soluções que ajudam a melhorar decisões de negócios”, esclarece.

Legislação é genérica

Um dos grandes medos do cidadão na sociedade moderna é ter seus dados expostos. E isso inclui de números de documentos pessoais a declarações polêmicas, passando por fotos e informações sobre comportamento de consumo.

É comum parar para pensar sobre como o Facebook, por exemplo, sabe o que conversamos o tempo todo e nos apresenta anúncios de produtos em que supostamente temos interesse. Quando o assunto é a proteção de dados, hoje ainda seguem-se regras genéricas — especialmente a Constituição Federal (CF).

Desde 2014, o Marco Civil da Internet regula esses aspectos de modo mais preciso. “Desde então, as empresas têm de informar que os dados são coletados e justificar a finalidade de fazê-lo”, explica Gustavo Quedevez, especialista em Direito Digital e Contratos e sócio do BVA Advogados.

Apesar disso, o Marco Civil não estabelece penalidades específicas. “De acordo com ele, é preciso analisar a natureza da violação e acionar o órgão específico para avaliá-la. Assim, a responsabilidade é de cada entidade e a legislação não é objetiva quando se trata de proibir uma conduta”, analisa. “Quem se sente lesado, então, tem de buscar reparação judicial.”

A partir de agosto de 2020, quando a Lei Geral de Proteção de Dados Pessoais (LGPDP) entrar em vigor, o uso dessas informações vai ser mais controlado. “Sempre que uma empresa repassar dados a outra, terá de saber como eles vão ser usados”, explica Quedevez.

Orosz ressalta, entretanto, que, mesmo com a LGPDP, quando o tema é a proteção de crédito não há necessidade de autorização específica para usá-los. “Está no Art. 7º, Inciso X. Além disso, há outras situações em que os dados podem ser usados, como a informada no Inciso I que abrange o fornecimento de consentimento pelo titular”, comenta.

Isso não deve afetar, portanto, o cadastro positivo — que se tornou automático e passou a utilizar o modelo opt-out, em que o consumidor que não quiser que seus dados constem na lista deve pedir para que eles sejam retirados. Clientes que pagam suas contas de serviços públicos em dia, por exemplo, têm seus dados enviados para lá. E os que não pagam, também.

Leila, da Serasa, conta que os dados do cadastro positivo só podem ser oferecidos aos interessados em formato de score. “Não podemos enviar um relatório analítico, por exemplo. A não ser que o consumidor autorize o lojista a receber os dados dessa forma.” Quando se trata de inadimplência, porém, estão liberados tanto o score quanto os relatórios de crédito.

Dados estão em toda parte

As ferramentas do nosso dia a dia captam dados o tempo todo. Então, uma exposição indevida nunca está descartada. “Isso é uma grande preocupação”, diz Orosz. “Especialmente quando os dados são obtidos de maneira disfarçada — ou seja, coletados com um objetivo e usados para outras situações — ou roubados, por exemplo.”

Já o uso legal de informações deve ser mais bem monitorado com a chegada da LGPDP. “As empresas vão ter de se adaptar e ser mais claras. O cliente deverá ser informado sobre o que será feito com seus dados quando aceitar os termos de serviço. Além disso, é importante que ele possa pedir a exclusão de um cadastro desse tipo facilmente”, lembra Quedevez.