A imprensa noticiou uma modalidade inusitada de garantia de empréstimo para microcrédito: o bloqueio do celular do cliente, em caso de inadimplemento . A oferta tem em mira uma camada da população que tem dificuldade de acesso ao crédito junto aos grandes bancos: o interessado apresenta, como garantia, a possibilidade da fintech bloquear o seu acesso ao seu próprio telefone pessoal e aos dados que nele estiverem contidos. Uma vez efetivado o bloqueio, o titular somente consegue contactar a fintech e realizar chamadas de emergência.
Além de desafiar as disposições do Código de Defesa do Consumidor, a medida também é questionável face ao direito fundamental de proteção de dados pessoais e ao regime jurídico da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Ao instalar o aplicativo da fintech para obter e gerenciar o empréstimo tomado, o consumidor concede uma série de permissões de acesso a dados pessoais. A empresa analisa as fotos e os contatos do cliente, além de outros dados, para “avaliar os riscos e formular uma proposta de valor, prazo e modalidade de crédito”.
A questão é mais grave do que aparenta. O Supremo Tribunal Federal já alertou que o número do celular hoje não é só um número de telefone, mas uma chave de identificação e acesso a várias plataformas como bancos, supermercados, serviços públicos, redes sociais e outras.
É importante lembrar que o consentimento do titular dos dados não legitima qualquer operação de tratamento que, para ser legal, deve cumprir as exigências da LGPD, inclusive aquelas relativas aos requisitos para validade do próprio consentimento.
O agente de tratamento de dados deve ser capaz de demonstrar que o titular dos dados tinha plena consciência de como os seus dados seriam usados e dos efeitos. A LGPD fulmina com a nulidade o consentimento dado mediante informações que contenham conteúdo enganoso ou abusivo ou que não tenham sido apresentadas previamente com transparência e de forma clara e inequívoca.
A finalidade do tratamento deve ser legítima e os dados devem ser adequados e necessários para alcançá-la. Isto significa conseguir responder positivamente às seguintes questões: a) analisar fotos do cliente é o meio adequado para avaliação de risco do empréstimo?; b) É necessário?; c) Não é possível alcançar o objetivo de outro modo, menos invasivo?
Observa-se que, numa realidade em que as pessoas têm o controle de praticamente toda a sua vida num dispositivo celular, a financeira tem acesso a TODOS os dados do cliente - o que contraria o princípio da minimização de dados - e os acessa antes mesmo de firmado o contrato de empréstimo, o que indica uma considerável desproporcionalidade na relação entre agente de tratamento e titular dos dados, o que também desrespeita o regime jurídico da proteção de dados pessoais.
A LGPD ainda veda a utilização dos dados do cliente para fim incompatível com aquele que ensejou o tratamento dos dados: garantia do empréstimo.
Ressalta-se que mesmo estando o celular bloqueado, permanecem incólumes os direitos de acesso do titular aos seus dados pessoais, de modo que pode requerer da fintech declaração completa do tratamento dos dados, ou mesmo cópia eletrônica integral dos dados tratados, respeitados os segredos comerciais. E o sistema utilizado deve ser auditável, não deve ser passível de alteração voluntária dos registros de acesso e uso dos dados, sob pena da empresa violar a LGPD.
O consentimento do titular, mesmo na hipótese de ser válido, não dispensa a implementação dos princípios da proteção de dados e dos direitos do titular, tampouco o cumprimento dos parâmetros de segurança a serem observados no tratamento dos dados.
A legalidade do tratamento dos dados depende também da legalidade do contrato firmado, sendo inválido o tratamento se o contrato desrespeitar o Código de Defesa do Consumidor.
Deve ser questionada ainda a juridicidade do bloqueio do acesso do titular aos seus próprios dados pessoais, uma vez que o direito à proteção de dados tutela a autodeterminação informativa, os direitos da personalidade e as liberdades do indivíduo.
Receio não ser admissível em Direito que um indivíduo abra mão do acesso aos seus dados pessoais numa relação jurídica desnivelada, estabelecida a partir da sua situação de vulnerabilidade.