Parecer ADM n° 0030/2021 - Portal da Câmara Municipal de São Paulo

TID 19011935

Ref.: Requerimento xxxxxxxxxxxxx – E-mail de 07/07/2020

Interessado: SGA

Assunto: Segundo pedido de reconsideração – Crédito consignado xxxxxxxxxxxxx – Requerimento de aditamento contratual para fornecimento de dados de servidores (CPF, RG, data de admissão e margem consignável) – Inovação na alegação de existência de base legal no art. 7º, incs. IX e X, da LGPD (legítimo interesse e proteção do crédito).

Parecer ADM n° 0030/2021

INSTITUIÇÃO BANCÁRIA RESPONSÁVEL PELA FOLHA DE PAGAMENTO – PEDIDO DE ADITAMENTO CONTRATUAL PARA FORNECIMENTO DE MARGEM CONSIGNÁVEL DOS SALÁRIOS DOS SERVIDORES – CRÉDITO CONSIGNADO DIGITAL – Segundo pedido de reconsideração – Alegação de existência de base legal para tratamento dos dados – Legítimo interesse e proteção do crédito – Impossibilidade.

Sra. Procuradora Legislativa Supervisora,

Trata-se de solicitação da Chefia desta Procuradoria de nova análise e parecer acerca de correspondência recebida do xxxxxxxxxxxxx, que formula segundo pedido de reconsideração sobre a possibilidade de aditamento do contrato de gerenciamento da folha de pagamentos da Edilidade para previsão de fornecimento de margem consignável dos servidores da Casa para fins de fornecimento de empréstimo consignado de forma digital.

Inicialmente, a pretensão foi submetida à análise desta Procuradoria, que concluiu, por meio do Parecer ADM nº 0069/2020, que não é juridicamente possível atender ao pleito do requerente, uma vez que o empréstimo consignado é forma facultativa de consignação em folha, que depende da manifestação de vontade pelo servidor; que somente mediante manifestação expressa dos servidores poderão seus dados pessoais serem fornecidos para fins como o pretendido; e que, a despeito da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) se encontrar (à época) em período de vacatio legis, a proteção à intimidade das pessoas é cláusula pétrea (art. 5º, inc. X, CF) garantida na Constituição Federal de 1988.

O banco requerente lançou nova manifestação, à guisa de pedido de reconsideração, sustentando a segurança do processo de operações de empréstimos consignados no modelo digital e ressaltando que os dados são acessíveis pelos colaboradores do banco somente após solicitação específica do servidor, com sua autorização antecedente ao ato de contratação.

Em análise foi emitido o Parecer ADM nº 0083/2020, que manteve a conclusão pela impossibilidade de atendimento do pleito, notadamente em face da entrada em vigor da LGPD.

Ora o banco solicitante apresenta novo pedido de reconsideração, alegando, em suma, que já possui contrato para processamento de folha de pagamento dos servidores da Casa, que é credenciado junto a este órgão como entidade consignatária para concessão de crédito consignado, que o banco necessita da informação sobre a margem consignável do servidores para oferta de empréstimo consignado, e que a obtenção de tal informação enquadra-se no legítimo interesse e na proteção do crédito, conforme art. 7º, inc. IX, c.c. art. 10, e art. 7º, inc. X, todos da LGPD.

É o relatório. Passa-se a opinar.

Primeiramente, tendo sido encaminhado o expediente TID 19011935 a esta Procuradoria a pedido, recomenda-se seja nele juntada a correspondência recebida do xxxxxxxxxxxxx, datada de 22/03/2021, para regular instrução e concatenação dos atos.

Quanto ao novo pedido de reconsideração formulado, nota-se que a maior parte dos pontos já foram devidamente apreciados nos Pareceres ADM nº 0069/2020 e ADM nº 0083/2020, como se reitera a seguir.

Das alegações reiteradas pela solicitante:

Tanto a alegação de ser o xxxxxxxxxxxxx instituição bancária credenciada junto à Edilidade para efetivação de consignações em folha de pagamento, como a alegação sobre a segurança no tratamento dos dados foram objeto de análise por esta Procuradoria.

Constou do Parecer ADM nº 0083/2020, citando o Parecer nº 0069/2020:

Assim, a existência de mecanismos de alto grau de segurança no tratamento dos dados pelo banco requerente não suprime a necessidade de prévio consentimento dos servidores públicos para o compartilhamento de seus dados pessoais.

Da mesma forma, o fato de os colaboradores da instituição financeira não acessarem os dados até que haja a solicitação do serviço e o consentimento pelos servidores não altera a conclusão lançada no Parecer ADM nº 0069/2020, uma vez que o que se requer é o compartilhamento prévio dos dados pessoais dos servidores, que passariam a constar do sistema do banco, ainda que o acesso seja condicionado ao consentimento prévio.

Como bem pontuou referido parecer:

Destarte, o crédito consignado fornecido por instituições bancárias caracteriza-se como uma forma de consignação facultativa, já que não decorre de obrigação legal nem de decisão judicial.

Posto isto, o fornecimento de dados pessoais à instituição financeira requerente para a realização de empréstimo consignado, seria uma forma de fornecimento de dados pessoais para o desempenho de uma atividade facultativa, de âmbito eminentemente privado, sem a função de cumprir finalidade pública.

Tomando-se essa premissa, e por analogia, podemos mencionar que a Procuradoria desta Casa já se manifestou anteriormente sobre o fornecimento de dados pessoais de servidores não relacionados à Lei de Acesso à Informação. No Parecer nº 272/2016, que tratou de consulta formulada pelo Sindicato dos Servidores da Câmara Municipal e do Tribunal de Contas do Município de São Paulo – SINDILEX, este requereu nome e endereço eletrônico de todos os servidores ativos e aposentados da Câmara Municipal. Naquela oportunidade, entendeu-se que se tratava de fornecimento de dados pessoais dos servidores, que somente poderiam ser cedidos com a autorização expressa dos titulares.

Sendo assim, adotando-se a mesma lógica, somente mediante o consentimento expresso dos servidores poderia ser cedido algum dado pessoal à instituição financeira por parte da Edilidade, não podendo ser realizado de forma automática em relação a todos os servidores indistintamente.

Isso porque os dados requeridos pelo xxxxxxxxxxxxx não se referem a informações necessárias ao cumprimento de políticas públicas (art. 7º, incisos II e III, da Lei 13.709/2018), nem são necessárias para a garantia de transparência e do acesso à informação, já que são dados estritamente pessoais e o objetivo do requerimento formulado é de natureza meramente privada, voltado à contratação de crédito consignado digital, de modo que não vislumbramos a possibilidade de que sejam cedidos à instituição financeira sem o consentimento expresso de seus titulares.

Sendo facultativo o crédito consignado, a Câmara Municipal não deve realizar procedimentos prévios à realização da consignação, consistentes em fornecer dados pessoais dos servidores, porventura sequer interessados na proposta, antes de obter autorização dos que venham a ser interessados.

Assim, o fornecimento de dados pessoais para uma atividade facultativa, de âmbito eminentemente privado, sem a função de cumprir finalidade pública, e que pode vir a nem ser gozado pelo servidor objeto da cessão de dados, não pode ser feito sem o seu consentimento.

Ademais, as informações relativas à margem consignável são protegidas pelo sigilo financeiro, garantido constitucionalmente (art. 5º, inciso X), inserido na seara da proteção à intimidade das pessoas.

A corroborar essa proteção aos dados pessoais, tais como os mencionados acima (CPF, número de matrícula, data de admissão ao serviço público e margem consignável) a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018), à qual faz menção a minuta de termo aditivo (Primeiro Termo Aditivo ao Termo de Regularidade), acostada a estes autos, em sua cláusula primeira, conferiu proteção especial a eles.

Devemos admitir, inicialmente, que a aplicabilidade da lei ainda está suspensa, nos termos de seu art. 65 […]

O dispositivo deixa claro que a lei em comento está em período de vacatio legis, de modo que sua obrigatoriedade está suspensa por enquanto. Vale destacar que o início de vigência da parte da LGPD relativa às normas que deverão ser observadas pela Administração Pública encontra-se, atualmente, previsto para 3 de maio de 2021, nos termos da Medida Provisória nº 959/2020. Porém somente a partir de 1º de agosto de 2021 estará em vigor a fiscalização do cumprimento da lei, de modo que a partir desta data, a lei apresentará vigência integral. No entanto, a partir de 3 maio de 2021, as disposições da lei já serão obrigatórias, apenas não caberá punição pela sua inobservância.

Nesse sentido, aliás, há de se considerar que, por ocasião da votação da Medida Provisória nº 959, de 2020 pelo Congresso Nacional, foi excluída norma que prorrogava a vacatio legis da maioria dos artigos da Lei Geral de Proteção de Dados – Lei Federal nº 13.709, de 14 de agosto de 2018 (LGPD), restando postergada apenas a vigência dos artigos que estabelecem sanções pelo seu descumprimento.

Portanto, as exigências da LGPD aplicam-se plenamente ao caso concreto.

De acordo com o artigo 5º, inc. X, da LGPD, considera-se

[…] tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, a simples disponibilização dos dados pessoais dos servidores ao banco, ainda que somente possam ser acessados após solicitação e anuência dos servidores, é forma de tratamento de dados não obrigatória por lei ou por contrato, para a qual é indispensável o prévio consentimento do titular.

Nesse sentido, é aplicável ao caso o disposto no artigo 7º, incs. I e V, da LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

[…]

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

Acrescente-se ao exposto que, se o simples fato de ser instituição credenciada para efetivação de consignações em folha autorizasse a solicitante a receber previamente os dados relacionados à margem consignável dos servidores da Edilidade, a mesma autorização imediatamente atingiria toda e qualquer instituição financeira credenciada junto à Edilidade, o que não se mostra razoável, tampouco condizente com os requisitos legais que tratam das consignações em folha de pagamento de servidores efetivos e celetistas. Vejamos.

Dispõe o art. 19 do Decreto Municipal nº 58.890, de 30 de julho de 2019, que regulamenta o art. 98[1] do Estatuto dos Funcionários Públicos do Município de São Paulo – Lei Municipal nº 8.989, de 30 de outubro de 1979, e é aplicado no âmbito da Edilidade por força do art. 1º, caput,[2] do Ato da Mesa nº 1.168, de 03 de outubro de 2011:

Art. 19. As consignações facultativas somente serão admitidas com autorização expressa por escrito, por meio telefônico com gravação de voz ou por meio eletrônico com uso de senha pessoal e intransferível do consignado perante a consignatária ou, ainda, por outros meios desenvolvidos pelas consignatárias que garantam a segurança da operação realizada pelo servidor, o sigilo dos seus dados cadastrais e a comprovação da sua aceitação, podendo o Departamento de Recursos Humanos – DRH, da Coordenadoria de Gestão de Pessoas – COGEP, da Secretaria Municipal de Gestão, requisitar da entidade, a qualquer momento:

I – a comprovação da autorização de desconto;

II – a ratificação da autorização de desconto, a ser providenciada pela entidade no prazo de 15 (quinze) dias, sempre que houver dúvida quanto à manifestação de vontade do consignado ou na ausência do documento de autorização.

1º A entidade consignatária deverá conservar em seu poder, pelo prazo de 5 (cinco) anos, a contar da data do término da consignação, a prova do ajuste celebrado com o consignado, em meio físico, no caso de documento assinado, ou digital, conforme o caso, para atendimento do disposto no “caput” deste artigo.
2º A Secretaria Municipal de Gestão poderá expedir normas complementares definindo os critérios relativos aos meios de autorização expressa referidos no “caput” deste artigo.
3º Quando houver aumento, em assembleia, do valor das parcelas ou mensalidades, as consignatárias caracterizadas como entidades sindicais ou representativas de classe de servidores deverão apresentar a ata respectiva. (destaques nossos)

De igual forma as consignações em folha de pagamento de celetistas encontram-se disciplinadas na Lei Federal nº 10.820, de 17 de dezembro de 2003, que assim estabelece:

Art. 2º (…)

1º Para os fins desta Lei, são consideradas consignações voluntárias as autorizadas pelo empregado.
2º No momento da contratação da operação, a autorização para a efetivação dos descontos permitidos nesta Lei observará, para cada mutuário, os seguintes limites:

I – a soma dos descontos referidos no art. 1o não poderá exceder a 35% (trinta e cinco por cento) da remuneração disponível, conforme definido em regulamento, sendo 5% (cinco por cento) destinados exclusivamente para:

a) a amortização de despesas contraídas por meio de cartão de crédito; ou
b) a utilização com a finalidade de saque por meio do cartão de crédito; e

II – o total das consignações voluntárias, incluindo as referidas no art. 1º, não poderá exceder a quarenta por cento da remuneração disponível, conforme definida em regulamento.

Art. 3º Para os fins desta Lei, são obrigações do empregador:

I – prestar ao empregado e à instituição consignatária, mediante solicitação formal do primeiro, as informações necessárias para a contratação da operação de crédito ou arrendamento mercantil;

(…) (destaques nossos)

Como se vê, o regramento específico das consignações em folha de pagamento vincula tanto a efetivação do desconto como a prestação das informações necessárias à contratação da operação de crédito à solicitação formal do consignado, não podendo o consignante realizar procedimentos prévios à contratação.

Tal premissa é de suma importância para a análise que se fará a seguir acerca das únicas alegações inovadoras do banco solicitante para embasar seu pleito: o legítimo interesse e a proteção do crédito.

Das novas alegações da solicitante:

O banco solicitante inova em suas considerações apenas ao fundamentar a pretensão de tratar dados dos servidores, sem necessidade de seu prévio consentimento, no legítimo interesse (art. 7º, inc. IX, c.c. art. 10, LGPD) e na proteção do crédito (art. 7º, inc. X, LGPD). Vejamos.

2.1. Do legítimo interesse:

Estabelecem os dispositivos legais da LGPD acerca do legítimo interesse:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

(…)

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Acerca da hipótese do inc. IX do art. 7º da LGPD manifesta-se a Doutrina na obra “LGPD Lei Geral de Proteção de Dados Comentada”[3]:

Para aprofundamento do conceito de interesses legítimos, fazemos referência aos comentários ao artigo 10. Nesse momento, importante destacar que no inciso IX supra há referência à possibilidade de atendimento de interesses legítimos do controlador “ou de terceiro”, ao passo em que no artigo 10, que se dedica ao tratamento do tema com maiores detalhes, há referência tão somente a interesses legítimos do controlador.

Interpretações mais cautelosas tenderão a seguir no sentido de que a previsão deste inciso IX se trata de equívoco do legislador, e que deve prevalecer o disposto no artigo 10, não havendo possibilidade do uso dessa base por terceiros, ficando restrita diretamente ao controlador. Por outro lado, pode haver o entendimento de que, na verdade, as restrições previstas no artigo 10 não se aplicam aos terceiros, no que esses teriam ainda mais liberdade para tratamento dos dados com fundamento nessa base, do que os próprios controladores.

Diante disso, deve ser observado com cautela o uso de interesses legítimos como base legal para o tratamento de dados a ser realizado por terceiros, que não diretamente o controlador, diante dessa indefinição que existe na legislação, a qual deve ser solucionada com o tempo de aplicação prática da norma.

Até o presente momento, considerando as demais disposições acerca do tema, bem como o próprio GDPR, tem prevalecido o entendimento no sentido de que terceiros poderão se valer dessa base legal para o tratamento dos dados, de acordo com o disposto no artigo 10 (…) (destacamos)

A esclarecer o posicionamento exposto, transcreve-se o que dispõe a General Data Protection Regulation[4] (GDPR) sobre o tema, em seu Artigo 6º – Licitude do tratamento[5]:

O tratamento só é lícito se e na medida em que se verifique pelos menos uma das seguintes situações:

(…)

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

(…)

Tal entendimento é corroborado pelo disposto no Considerando nº 47 do GDPR: “Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável”.

Acerca do art. 10 da Lei a mesma obra pondera[6]:

O legislador optou por não trazer conceito específico de “interesse legítimo”, limitando-se a identificar duas situações, dentre várias outras, em que ele possa ser identificado – assim, os dois incisos a seguir tratam de algumas das possíveis situações, estando-se diante de rol exemplificativo. A intenção foi deixar o conceito aberto, de tal forma que ele consiga se amoldar à diversidade de situações que possam existir na prática, não restringindo o entendimento sobre o instituto, que foi mantido bastante aberto e flexível.

Isso não significa que ele é completamente livre e pode se aplicar a qualquer situação. É importante observar que se pretende realizar o tratamento de dados com base no legítimo interesse, quais sejam:

finalidades legítimas: nos termos do disposto no art. 6º, I, somente propósitos legítimos (e também específicos, explícitos e informados ao titular) justificarão o fundamento do interesse legítimo; e
existência de situação concreta: o titular deve ter a efetiva expectativa de que seus dados serão tratados, em decorrência de relação prévia que exista entre ele e o controlador dos dados. Assim, necessária e obrigatoriamente, deve o titular ter passado por alguma situação real e concreta com o controlador de dados, sendo insuficiente a mera expectativa de que venha a existir algum relacionamento dentre ambos.

Nesse sentido, pois, os controladores que objetivarem se utilizar dessa possibilidade devem ter evidências armazenadas de que atendem a ambos os requisitos anteriores, especialmente diante do fato de que a Autoridade Nacional de Proteção de Dados pode solicitar a elaboração de Relatório de Impacto a Proteção de Dados (…)

Antes de adentrar especificamente nos exemplos trazidos nesta Lei, importante reiterar o que já foi mencionado nos comentários ao inciso IX do artigo 7º, no sentido de que as previsões constantes neste artigo podem ser entendidas como também extensíveis a terceiros, devendo tal ausência de referência ser suprida diante da interpretação global da norma, até mesmo com fundamento no GDPR, o qual expressamente segue nessa direção.

Especificamente na situação de terceiros, é importante haver expressa confirmação de que: i) o tratamento se dará, de fato, por interesse legítimo de terceiro; ii) o tratamento é necessário para atingir a finalidade que se almeja; e iii) estarão respeitados os direitos e garantias dos titulares. Tais premissas são relevantes também quando o controlador faz o tratamento com esse fundamento, mas ainda mais importantes quando levados a efeito por terceiro.

(…)

Reiterando o disposto nos princípios da adequação e necessidade (artigo 6º, II e III), apenas os dados que sejam compatíveis e efetivamente necessários para o atingimento das finalidades objetivadas poderão ser objeto de tratamento.

Surge como ainda mais relevante, pois, a realização do teste de necessidade v. proporcionalidade, sendo importante que haja evidência desse estudo por parte do controlador, a fim de possuir todas as comprovações, quando houver eventual necessidade de demonstração para as autoridades competentes.

(…)

O tratamento de dados com base no legítimo interesse deve ser realizado com ainda mais transparência perante o titular, o que reforça a necessidade de que somente seja levado a efeito diante de efetivas “situações concretas”, havendo concreta expectativa do titular de que seus dados sejam tratados para a finalidade específica. (destacamos)

Sendo assim, o legítimo interesse de terceiro, que seria a base legal invocada pelo banco solicitante, teria que estar respaldado na existência de finalidades específicas e situações concretas.

In casu, parece não se enquadrar em uma situação concreta a mera expectativa de que os servidores da Casa venham a solicitar empréstimo consignado junto ao xxxxxxxxxxxxx. Até mesmo porque, diante do direito de portabilidade do salário[7], nem todos os servidores mantém junto à instituição bancária conta corrente apta ao usufruto de serviços bancários como o crédito consignado, sendo certo que a obrigatoriedade que se impõe aos servidores para o recebimento de suas remunerações é apenas a de conta-salário[8].

Por outro lado, a equação necessidade-proporcionalidade também não parece atendida na pretensão.

Não se trata de decidir se o banco solicitante tem ou não tem o direito de obter as informações sobre a margem consignável dos servidores da Edilidade, mas, sim, de concedê-las à instituição no momento e na forma por ela solicitados.

Veja-se que se a LGPD exige, mesmo no exercício do legítimo interesse, que apenas os dados que sejam compatíveis e efetivamente necessários para o atingimento das finalidades almejadas sejam objeto de tratamento.

Nesse sentido, não se mostra necessário que a instituição financeira trate os dados relativos à margem consignável dos servidores antes mesmo que eles manifestem interesse na contratação da operação de crédito. Não se trata de necessidade, mas mera comodidade para o banco que intenta fornecer o serviço de forma digital e automática

Outrossim, o serviço de empréstimo não deixará de ser prestado pela instituição por não ter em seu banco de dados de antemão a margem consignável de todos os servidores da Casa, apenas, na pior das hipóteses, manterá o serviço nos moldes já prestados, sem prejuízo, é claro, que institua procedimento mais célere e desburocratizado que não implique na supressão da autorização prévia do servidor interessado em seus serviços.

Ainda sobre o legítimo interesse, COTS e OLIVEIRA, na obra “Lei Geral de Proteção de Dados Pessoais Comentada”[9], assim expõem:

O legítimo interesse é uma das bases legais para tratamento de dados, ao lado de outras, como o consentimento, a tutela da saúde, a proteção da vida, entre outras.

Por seu grau de subjetividade, o legítimo interesse talvez seja a base legal que gerará mais discussão, mas sua criação era medida essencial para que o empreendedorismo e a inovação não sofressem ainda mais os impactos da nova lei, especialmente quanto aos dados pessoais tratados antes que a LGPD regulasse o tema. Isso porque existem bancos de dados extremamente amplos e férteis, do ponto de vista de negócio, que poderiam ser inúteis por não se encaixarem em nenhuma outra base legal de tratamento e não serem passivos de regularização, como seria o caso, por exemplo, da coleta do consentimento dos titulares.

Assim, o legislador criou a possibilidade de tratamento de dados pessoais independentemente do encaixe em outra base legal, o que inclui o consentimento.

Não há definição no artigo 5º sobre o que seria o legítimo interesse, motivo pelo qual se deve tomar as palavras por seu sentido literal. Podemos tomar “interesse” como aquilo que é importante para alguém e “legítimo” como justificado ou amparado pelo bom senso. Assim, o início da reflexão parte da pergunta se o tratamento dos dados pessoais pretendidos é importante e se justifica, em relação ao controlador, a ponto de ele não ser obrigado a coletar o consentimento dos titulares.

(…)

Todavia, há que se convir que a liberação do tratamento de dados por legítimo interesse, sem regra suplementar, retiraria da LGPD grande parte de sua eficácia, pois estariam justificados muitos tipos de tratamento que o legislador tencionou evitar, ao mesmo tempo em que a privacidade e intimidade voltam a ser ameaçadas.

Dessa forma, a LGPD estabeleceu três pilares para que o tratamento se dê por legítimo interesse do controlador: (i) o legítimo interesse não poderá ser exercido no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos seus dados; (ii) que as finalidades sejam legítimas; e (iii) seja baseado em situações concretas.

Sobre o primeiro pilar, trata-se de preferência legal pelo bem da vida mais importante no caso de conflito, pois, ainda que se reconheça o interesse público sobre a livre iniciativa, prevalece os direitos fundamentais como a vida, liberdade, saúde etc. Por outro lado, só podemos falar em conflito e na preferência destes últimos se a solução da questão depender de proteção de dados pessoais.

O segundo pilar remete à própria definição do legítimo interesse, pois volta-se a refletir a legitimidade dos fins que se deseja alcançar. Contudo, é importante que se frise que tratamento com finalidades ilícitas, imorais, vexatórias etc. não poderá ser inserido no conceito de finalidade legítima.

Por fim, o terceiro pilar se refere a situações concretas, ou seja, afasta-se situações hipotéticas ou indeterminadas. Diante de tal regra é possível armazenar dados pessoais, sob o argumento do legítimo interesse, sem que se tenha sido determinada a finalidade do tratamento? Não, não é possível, pois o legítimo interesse exige uma situação concreta.

(…)

Ora, por todas as considerações expostas acima, há de concluir que nenhuma interpretação da LGPD pode levar ao esvaziamento da proteção do bem jurídico por ela tutelado.

Sendo assim, não há como se interpretar o legítimo interesse do próprio controlador ou de terceiro como um salvo conduto para retirar o manto protetor do consentimento do titular para qualquer tratamento de dados.

Outrossim, como exposto anteriormente, o regramento especial das consignações em folhas de pagamento (Lei Municipal nº 8.989, de 1979; Decreto Municipal nº 58.890, de 2019; Ato da Mesa nº 1.169, de 2011; e Lei Federal nº 10.820, de 2003) norteia-se pela solicitação formal do consignado, de modo que a norma geral sobre proteção de dados não deve ser interpretada de forma sobreposta à norma especial, segundo a máxima jurídica lex speciallis derogat legi generali (art. 2º, §2º, do Decreto-Lei nº 4.657, de 4 de setembro de 1942 – Lei de Introdução às Normas do Direito Brasileiro – LINDB[10]).

São as razões pelas quais se entende que o legítimo interesse não constitui base legal para o deferimento do pleito do banco solicitante.

2.2. Da proteção do crédito:

Assim dispõe a LGPD sobre a proteção do crédito:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Em relação à hipótese do inc. X do art. 7º da LGPD, também invocada pela solicitante, a obra já citada “LGPD Lei Geral de Proteção de Dados Comentada”[11] tece o seguinte comentário:

Informações sobre adimplência e inadimplência sobre determinado titular poderão ser utilizadas, a fim de se tomar decisão acerca da concessão ou não de crédito. Nesse ponto, importante observar a menção à legislação pertinente, a qual contempla a Lei do Cadastro Positivo (Lei 12.414, de 9 de junho de 2011), bem como o Código de Proteção e Defesa do Consumidor (lei 8.078, de 11 de setembro de 1990), cujas disposições também devem ser observadas, quando houver o uso de tal base legal para fundamentar o tratamento de dados.

COTS e OLIVEIRA[12] também elucidam o assunto:

O Código de Defesa do Consumidor (CDC), em seu art. 43, previu expressamente a possibilidade de formação de bancos de dados por parte dos serviços de proteção ao crédito.

(…)

Nesse sentido, a Lei 14.414/2011 criou o chamado “cadastro positivo”, por meio do qual há a criação de banco de dados de adimplentes, ou seja, quanto mais uma pessoa fosse assídua no pagamento pontual de suas dívidas, melhor classificação teria, fazendo com que o risco pelo oferecimento de crédito a si fosse menor do que para pessoas que não constavam em tal cadastro.

No mesmo sentido, o blog do Instituto LGPD – Legal Grounds for Privacy Design[13] explana a respeito da hipótese de tratamento de dados para a proteção ao crédito:

Um dos elementos inovadores da Lei Geral Proteção de Dados foi a inclusão da proteção ao crédito (art. 7º, X) como uma hipótese legítima e independente para a proteção de dados pessoais. Tal inclusão — diferente, por exemplo, do que ocorre no Regulamento Geral de Proteção de Dados (RGPD) da União Europeia — tem consequências para o tratamento de dados pessoais por bureaus de crédito e outros atores financeiros.

Um dos principais usos de dados pessoais na proteção ao crédito é o chamado credit scoring, isto é, a atribuição de pontuação a indivíduos com base no risco envolvido na concessão de créditos. As técnicas utilizadas para a geração de tais pontuações são baseadas em substanciais volumes de informação sobre particulares. Para algumas categorias de dados, o uso é explicitamente autorizado ou vedado — seja pela Lei Geral de Proteção de Dados, seja pela Lei do Cadastro Positivo (Lei 12.414/2011) —, mas em outros casos, como o uso de informação a respeito dos hábitos de consumo, o emprego dos dados será válido ou não, a depender de uma ponderação dos valores jurídicos em jogo na situação concreta.

A produção da pontuação a partir dos dados disponíveis envolve o uso de técnicas matemáticas e computacionais sofisticadas, incluindo estágios destinados a construir perfis de indivíduos (profiling). O emprego destas técnicas, por sua vez, atrai a aplicação de regras específicas, como aquelas que governam o uso de decisões automatizadas (artigo 20 da LGPD) na formação dos perfis ou no emprego destes. E, uma vez gerados, tanto os dados de base do credit scoring quanto os seus resultados estão sujeitos a condições específicas para a sua circulação. Há, pois, uma série de questões relativas ao uso de dados pessoais na proteção ao crédito que precisam de maior especificação, em nome da segurança jurídica e dos direitos de todos os envolvidos.

Como se observa, a hipótese legal trazida no inc. X do art. 7º da LGPD remete à Lei do Cadastro Positivo, Lei Federal nº 12.414, de 9 de junho de 2011, que assim dispõe:

Art. 1º Esta Lei disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito, sem prejuízo do disposto na Lei nº 8.078, de 11 de setembro de 1990 – Código de Proteção e Defesa do Consumidor.

Parágrafo único. Os bancos de dados instituídos ou mantidos por pessoas jurídicas de direito público interno serão regidos por legislação específica.

Assim, os bancos de dados mantidos pela Edilidade não se enquadram na Lei do Cadastro Positivo que se aplica apenas aos gestores, pessoas jurídicas credenciadas junto ao Banco Central responsáveis pela formação, guarda e organização de dados relativos à nota de crédito para efeito de concessão de crédito, como o são empresas como Serasa, Quod, Boa Vista e SPC Brasil[14].

Ainda que se aplicasse à Edilidade, a Lei do Cadastro Positivo foi regulamentada pelo Decreto Federal nº 9.936, de 24 de julho de 2019, que dispõe em seu art. 3º que “o histórico de crédito do cadastrado é composto pelo conjunto de dados financeiros e de pagamentos relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento realizadas por pessoa natural ou jurídica”, não incluída, portanto, margem consignável nos salários.

Ademais, em seu art. 7º estabelece que “a disponibilização a consulentes do histórico de crédito do cadastrado, pelo gestor de banco de dados, fica condicionada à autorização, prévia e específica, do cadastrado” e, em seu art. 9º, caput e parágrafo único, que “as informações sobre o cadastrado constantes dos bancos de dados somente poderão ser acessadas por consulentes que com mantiverem ou pretenderem manter relação comercial ou creditícia” e que “o gestor do banco de dados manterá políticas e controles para garantir que as informações sobre o cadastrado sejam acessadas somente por consulente que atender ao disposto neste artigo”.

Dessa forma, a base legal de tratamento de dados pessoais para a proteção do crédito também não se enquadra na hipótese sustentada pelo banco solicitante para atendimento de seu pleito.

Do interesse público:

Sem prejuízo dos dispositivos da LGPD já analisados acima, a Lei, ao disciplinar especificamente o tratamento de dados pessoais pelo Poder Público, no qual se inclui o compartilhamento, também estabelece:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (…)

Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);

II – (VETADO);

III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.

Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:

I – nas hipóteses de dispensa de consentimento previstas nesta Lei;

II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou

III – nas exceções constantes do § 1º do art. 26 desta Lei.

Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.

Observa-se que, mesmo que contemple exceções à necessidade de consentimento do titular de dados, a atuação do Poder Público no tratamento de dados pessoais deve pautar-se sempre pelo interesse público.

Assim, como já abordado nos pareceres anteriormente emitidos por esta Procuradoria, o interesse envolvido no pleito do xxxxxxxxxxxxx não se reveste de caráter público, mas se cinge à relação prestador de serviço-cliente, atuando a Edilidade como mero colaborador tão-somente quando instado pelo servidor público interessado.

Convém recordar a informação já exposta no Parecer ADM nº 0083/2020 de que, visando tais premissas e considerando o fato de que a margem consignável configura informação sigilosa, a Prefeitura do Município de São Paulo desenvolveu o “Portal do Consignado”, regulado pela Portaria Secretaria Municipal de Gestão – SG nº 94 de 4 de outubro de 2019[15], pelo qual se assegura exclusivamente ao servidor público o gerenciamento de sua margem consignável.

Assim estabelece a Portaria em alguns de seus dispositivos (destaques nossos):

Art. 12. A aferição da margem consignável é de inteira responsabilidade da consignatária, não se responsabilizando a Prefeitura do Município de São Paulo pelos riscos advindos da não efetivação do desconto.

Parágrafo único. Caberá à consignatária, sempre que entender pertinente, solicitar ao futuro consignado demonstrativo de pagamento e outros documentos que julgar necessários para a efetivação da análise da viabilidade da consignação.

[…]

Art. 14. O Sistema Eletrônico de Consignações rege a troca de informações entre a Secretaria Municipal de Gestão, órgão gestor, e as consignatárias.

1º O Sistema Eletrônico registra a efetivação da consignação em folha de pagamento, sendo vedada sua utilização para registros provisórios e simulações futuras.
2º O uso indevido do sistema sujeitará a consignatária às penalidades descritas nos artigos 26 e 29 do Decreto n° 58.890, de 2019.
3º Será considerada como não averbada a consignação realizada sem o devido registro no Sistema Eletrônico de Consignações.
4º A visualização da margem consignável no Sistema Eletrônico de Consignações poderá ser efetuada pelo servidor no ‘Portal do Consignado’, mediante prévio cadastro de senha, podendo o servidor autorizar a visualização do valor da margem pelas entidades consignatárias.
5º A margem consignável informada pelo Sistema Eletrônico de Consignações tem por base o pagamento do mês imediatamente anterior, podendo sofrer variação em decorrência da incidência de consignações compulsórias e ocorrências de folha.

Na ocasião, ressaltou-se dois aspectos importantes do regramento:

O interesse e a responsabilidade pela aferição da margem passível de consignação em folha de pagamento são inteiramente da instituição bancária credenciada;
O acesso a qualquer documento ou informação necessária à análise da viabilidade da consignação deve ser consentido pelo servidor público, como resta expresso tanto no parágrafo único do artigo 12, como no §4º do artigo 14 da Portaria, atribuindo-se o gerenciamento da margem consignável exclusivamente ao servidor, mediante senha no “Portal do Consignado”.

O procedimento adotado pelo Executivo Municipal parece ser o que melhor atende a equação necessidade-proporcionalidade, sem que o poder público atue como agente diretamente interessado na operação, uma vez que ausente, no caso, o interesse público direto.

Por fim, não é demais se atentar para o fato de que o compartilhamento de dados para fins de empréstimo consignado há muito é motivo de debates e alegações de violação aos direitos dos titulares dos dados e dos consumidores.

As reclamações intensificaram-se nos últimos meses após o aumento da margem consignável de aposentados, por conta da crise causada pela pandemia.

Nesse sentido, podem ser citadas as seguintes notícias:

Reclamações sobre consignado do INSS dobram após aumento da margem[16]

(…)

No ranking do Banco Central, houve aumento de 56% nos registros de “oferta ou informação de forma inadequada”. “Os consumidores dizem: ‘Eu não fiz contrato nenhum e alguém teve acesso ao meu benefício’. Depois do aumento da margem, abriu-se uma disputa entre correspondentes bancários. Para bater metas e ganhar comissões, fazem reservas de crédito em nome dos aposentados, o que configura fraude e quebra de sigilo”, diz a economista do Idec, Ione Amorim.

(…)

Reclamações sobre consignado do INSS mais que dobram após aumento da margem; veja o que fazer se for vítima de fraude[17]

(…)

Para ele [Diego Cherulli], a resolução passa pelo aumento da fiscalização das instituições financeiras:

— Sem regras para os bancos e fiscalização, o aumento da margem acaba gerando mais problemas que benefícios. Muitas fraudes ocorrem quando cai o dinheiro na conta do aposentado, ou fazem um refinanciamento da dívida. Embora haja uma lei em vigor, os aposentados não têm sigilo bancário nenhum.

(…)

Justiça proíbe banco de conceder empréstimo consignado sem permissão[18]

A Agência de Proteção e Defesa do Consumidor de Juiz de Fora (Procon/JF) registrou, entre 1º de agosto de 2020 até 23 de abril de 2021, 207 atendimentos relativos a práticas abusivas que teriam sido cometidas pelo Banco C6 Consignado S.A, relacionadas a empréstimos consignados concedidos sem requerimento ou autorização prévia dos consumidores. Em razão do elevado número de reclamações, o Procon/JF propôs uma ação coletiva de consumo. O órgão obteve decisão liminar que proíbe a instituição financeira a formalizar contratos de crédito sem que haja expressa vontade do contratante.

De acordo com o Procon, há casos de consumidores que alegam que nem tiveram contato com o banco. Portanto, não sabem como a instituição financeira conseguiu esses dados. Dessa maneira, ainda em cumprimento da decisão judicial, ficou estabelecido que a instituição financeira deverá apresentar, em condição de sigilo, a autorização dos consumidores para abertura de cadastro no banco, no prazo de 15 dias. A decisão foi deferida pela 2ª Vara da Fazenda Pública e Autarquias Municipais da Comarca de Juiz de Fora.

Destaque-se a última notícia que contempla decisão judicial em ação coletiva, pela qual se determinou à instituição financeira a apresentação de autorização dos consumidores inclusive para a abertura de cadastro no banco.

É mais uma razão pela qual a Edilidade deve manter-se cautelosa na análise de pedidos de compartilhamento de dados pessoais constantes de seu banco de dados.

Conclusão:

Por todo o exposto e reiterando-se integralmente os termos dos Pareceres ADM nº 0069/2020 e nº 0083/2020, ainda que consideradas as alegações complementares apresentadas, tal e como requerido pelo xxxxxxxxxxxxx, não há amparo jurídico para atendimento do pleito de compartilhamento prévio de dados visando à implantação do Consignado xxxxxxxxxxxxx, sendo certo que qualquer disponibilização não obrigatória de dados pessoais dos servidores públicos pela Edilidade ao banco deve ser precedida de consentimento específico, não bastando para tanto a anuência efetivada no momento da solicitação do serviço de empréstimo.

É a manifestação que se submete à elevada apreciação de V. Sa.

São Paulo, 26 de abril de 2021.

Djenane Ferreira Cardoso Zanlochi

Procuradora Legislativa

OAB/SP nº 218.877

[1] Art. 98 – As consignações em folha, para efeito de desconto de vencimentos, serão disciplinadas em decreto.

[2] Art. 1º As consignações em folha de pagamento previstas no art. 98 da Lei nº 8.989/79, são disciplinadas na Câmara Municipal por este Ato e, no que couber, pelas normas expedidas pelo Executivo Municipal.

[3] NÓBREGA MALDONADO, Viviane; OPICE BLUM, Renato (coordenadores). LGPD Lei Geral de Proteção de Dados Comentada, 1 ed., Revista dos Tribunais, comentários sobre o artigo 7º, inc. IX, sem paginação.

[4] Trata-se do Regulamento (EU) 2016/679 – Regulamentação Geral de Proteção de Dados na União Europeia, que disciplina a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados.

[5]Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e2468-1-1. Acesso em 20/04/2021.

[6] Op. cit., comentários ao art. 10, sem paginação.

[7] “A portabilidade de salário possibilita aos funcionários de empresas privadas e de órgãos públicos a escolha do banco pelo qual desejam receber seus salários, proventos, ou similares, sem custos adicionais para isso. Assim, se o funcionário optar por receber seu salário em outro banco e não no banco com o qual sua empresa mantém contrato de folha de pagamento e no qual o funcionário tem uma conta-salário (aberta pelo empregador para o depósito dos salários, proventos, soldos, vencimentos, aposentadorias, pensões), deve ir uma única vez ao banco de relacionamento da empresa e informar (por escrito ou por meio eletrônico legalmente aceito) a instituição financeira de sua preferencia para o recebimento de seu salário. A instituição é obrigada a executar a alteração no prazo máximo de cinco dias úteis, contados da data do recebimento da comunicação. A partir de então, o banco deverá realizar a transferência do salário para a nova conta indicada, no mesmo dia em que os créditos forem efetuados, até as 12 horas. Normas relacionadas: Resolução CMN nº 3.402, de 2006 (sobre serviços sem cobrança de tarifas), Circular BCB nº 3.336, de 2006 (sobre as transferências interbancárias de recursos) e Circular BCB nº 3.338, de 2006 (sobre condições adicionais para o funcionamento das contas).”. Disponível em Portabilidade (bcb.gov.br). Acesso em 26/04/2021.

[8] “A conta-salário é aberta por iniciativa do empregador, responsável pela identificação do beneficiário (o titular da conta). A empresa ou órgão público fornecerá os dados e os documentos necessários ao banco. Não se admite outro tipo de depósito além dos salários depositados pelo empregador. Essa conta não é movimentável por cheques. (…) É um direito do empregado transferir o seu salário para outra conta no mesmo banco ou em outro banco diferente, sem precisar pagar tarifa. (…)”. Disponível em https://www.bcb.gov.br/pre/pef/port/folder_serie_I_conta_salario_abertura.pdf. Acesso em 26/04/2021.

[9] COTS, Márcio; OLIVEIRA, Ricardo. “Lei Geral de Proteção de Dados Pessoais Comentada”. 2 ed., Revista dos Tribunais, comentários ao art. 10, item 2, sem paginação.

[10] Art. 2º (…)