Avaliação da solvabilidade

O caso Schufa: credit scoring como decisão automatizada baseada no processamento de dados pessoais

Doutrina

No último texto, escrevi um texto introdutório sobre a avaliação da solvabilidade (credit scoring) na Diretiva 2025/2223, realçando que o regime se centra no interesse do consumidor.

A credit scoring também é, no entanto, uma atividade de tratamento de dados pessoais, o que torna aplicável o Regulamento Geral de Proteção de Dados (RGPD). Se a credit scoring for realizada através de ferramentas de IA, a classificação de crédito será uma decisão total ou parcialmente automatizada e, portanto, serão igualmente aplicáveis as disposições do artigo 22.º do RGPD. Além disso, e de um modo geral, qualquer atividade de tratamento de dados deve respeitar o princípio da privacidade desde a conceção (art. 25.º do RGPD), de acordo com o qual as empresas/organizações são incentivadas a implementar medidas técnicas e organizacionais, nas fases iniciais da conceção das operações de tratamento, de forma a salvaguardar os princípios da privacidade e da proteção de dados desde o início.

A avaliação da solvabilidade vista pelo RGPD tem três aspetos importantes: (1) quem é responsável pelo tratamento de dados quando a credit scoring é externalizada; (2) como distinguimos uma classificação totalmente automatizada de outra que não o é; (3) que informações devemos utilizar (e quais não devemos utilizar) para realizar a avaliação da solvabilidade.

As duas primeiras questões foram resolvidas ou esclarecidas pela conhecida Sentença Schufa do TJUE. A Sentença Schufa é a primeira sentença do TJUE que interpreta o art. 22.º do RGPD. Fá-lo num caso de crédito ao consumo, mas as suas considerações estendem-se a qualquer decisão total ou parcialmente automatizada. O conflito é fácil de explicar: um requerente de crédito junto de um banco médio na Alemanha vê o seu pedido recusado e, quando pede explicações ao banco, este escuda-se no facto de a Schufa (entidade de avaliação de crédito) lhe ter enviado uma pontuaçãonegativa; quando recorre à Schufa, esta escuda-se no facto de ter sido o banco a decidir recusar o crédito e de o seu algoritmo ser um segredo comercial que não tem a obrigação de partilhar.

Deste caso, podem extrair-se várias conclusões claras: em primeiro lugar, tanto a entidade credora como a entidade avaliadora são responsáveis pelo tratamento das atividades de tratamento que cada uma realiza. Consequentemente, devem responder ao requerente de crédito sem se escudarem na proteção de segredos comerciais, uma vez que uma explicação compreensível não tem de ser exaustiva nem pôr em risco o segredo algorítmico. Em segundo lugar, o TJUE reforça a ideia já exposta pelo Grupo de Trabalho do Artigo 29.º sobre as decisões automatizadas: se a intervenção humana é meramente simbólica, estamos perante uma decisão totalmente automatizada, na medida em que não há uma intervenção humana significativa. No entanto, reforça ainda mais este último critério: poderíamos dizer que, para evitar a qualificação de decisão automatizada, deve haver uma intervenção humana «verdadeiramente significativa» (Cotino Hueso). Por último, recorda o tribunal, embora isso já seja feito pelo próprio artigo 22.º do RGPD (com uma técnica melhorável), que uma decisão totalmente automatizada que viole os direitos e liberdades do titular dos dados pessoais não será conforme com o RGPD, por mais que sejam formalmente cumpridos os requisitos estabelecidos por essa disposição.

Quando é que uma intervenção humana é «verdadeiramente significativa»? Tendo em conta tanto o acórdão Schufa como as Orientações do Grupo de Trabalho do artigo 29.º e certos aspetos do Regulamento da IA, proponho a seguinte check-list para que um consumidor que solicita crédito possa avaliar se a decisão de crédito (e também a classificação de crédito) é uma decisão totalmente automatizada ou não:

– A pessoa que intervém no processo (por exemplo, o operador do banco) tem formação suficiente na matéria sobre a qual deve decidir?

– A pessoa envolvida no processo tem formação suficiente em IA (AI Literacy)? O artigo 4.º do Regulamento Inteligência Artifical (RIA) refere-se à formação em IA; este requisito não deve ser entendido como sinónimo de conhecimentos de programação, mas como conhecimentos suficientes para poder avaliar criticamente (e, se for caso disso, contradizer) as sugestões da IA. Portanto, isso irá variar de acordo com as circunstâncias: o operador do banco não deve ter o mesmo nível de formação em IA que o consumidor, por exemplo.

– A classificação de crédito é acompanhada de argumentos suficientes e compreensíveis? A transparência e a explicabilidade são um binómio muito interessante: a IA deve ser transparente, mas também compreensível. De nada serve fornecer o código-fonte de um programa a uma pessoa que não sabe programar. Este binómio permite traçar uma gama de informações: suficiente, e não excessiva; para que o destinatário possa compreendê-la sem grandes esforços ou conhecimentos especializados. No direito do consumo, as condições gerais devem ser transparentes e compreensíveis; e também pode ser considerado falta de transparência causar indigestão ou «intoxicação» ao consumidor, ou esconder entre uma longa lista de condições gerais aspetos essenciais do contrato.

– A pessoa tem autoridade formal e capacidade material (tempo disponível) para questionar e, se necessário, contradizer as sugestões da IA? É importante detectar o risco de preconceitos acomodatícios nas pessoas que lidam com essas sugestões automatizadas. Se elas podem intervir, mas não o fazem por preguiça ou sobrecarga de trabalho, é como se não interviessem.

– A empresa ou instituição está a tomar medidas formativas para que o seu pessoal tenha formação em IA e para prevenir preconceitos?

– O nível de seguimento das sugestões automatizadas por parte do pessoal é verificado periodicamente?

A última das questões indicada também é interessante em relação à evolução tecnológica: o que é informação relevante para avaliar a fiabilidade do requerente de crédito? Acima, mencionou-se como se passou da utilização de informação negativa de solvência (ficheiros de maus pagadores) para a utilização de informação tanto positiva como negativa (ficheiros mistos). No entanto, a crescente produção de dados pessoais, aliada à também crescente capacidade de análise de dados por parte dos sistemas de IA, permite que, através de técnicas de perfilagem e microsegmentação, se obtenha informação inferencial suficientemente fiável sobre o comportamento presumido ou futuro de um indivíduo. Isto permite que, hoje em dia, qualquer dado pessoal possa ser um dado relevante para a credit scoring (all data is credit data). Esta realidade obriga a uma interpretação restritiva do que entendemos por informação «relevante», pois, caso contrário, poderia ser admitida a utilização de dados de utilização de contas de plataformas (Netflix, Spotify e outras), o tempo de leitura das condições gerais online ou a rapidez com que os cookies são aceites como dados relevantes para introduzir numa ferramenta de IA para a pontuação de crédito. Não será considerada informação «relevante» a obtida a partir de redes sociais, nem as categorias especiais de dados do art. 9.º do RGPD, uma vez que o art. 18.3 DCCC/2023 proíbe o seu tratamento para efeitos de credit scoring. Serão considerados relevantes dados como os rendimentos e as despesas do consumidor e outras circunstâncias financeiras e económicas que sejam necessárias e proporcionais à natureza, à duração, ao valor e ao risco do crédito para o consumidor (art. 18.3 DCCC/2023).

O facto de todos os dados poderem ser potencialmente relevantes para a credit scoring representa um problema de privacidade coletiva: a nossa responsabilidade individual ao navegar, rejeitando cookies de navegação (ou superando a fadiga da «gestão de opções»), já não é tão determinante para nos proteger de eventuais invasões da nossa privacidade, na medida em que deve partilhar protagonismo com o perfil sintético e a microsegmentação a partir de metadados ou características externas da população. Imaginemos uma pessoa muito consciente da proteção da sua privacidade digital: rejeita cookies ou «gere opções» sempre que pode, não ativa a Internet nem a geolocalização no seu telemóvel, a menos que precise de fazer consultas pontuais, não descarrega aplicações desnecessárias… Mesmo assim, a contaminação de dados que milhares de pessoas semelhantes a essa pessoa realizam permite que uma ferramenta de IA de perfilagem infira como o requerente do crédito se comportará. Como salienta Diogo Morgado Rebelo, a padronização de padrões e hábitos de consumo levaria à imposição indireta de identidades heteroconstruídas ou expropriadas aos requerentes de crédito.Perante esta situação, podem ocorrer situações de discriminação indireta (ou discriminação proxy), que não só seriam contrárias ao direito à igualdade e à não discriminação, como também podem comprometer o acesso à habitação, por exemplo. Mencionei situações de discriminação proxy e de discriminação indireta. Não são exatamente a mesma coisa. Falamos de discriminação indireta quando uma norma (ou um critério de política de crédito) formalmente neutra acaba prejudicando sistematicamente grupos específicos da população. Não é uma situação nova nem associada à inovação tecnológica: nos testes de acesso à polícia ou ao corpo de bombeiros, as notas para homens e mulheres não são idênticas, assim como nas competições desportivas, precisamente para evitar situações de discriminação indireta. Um exemplo relacionado com algoritmos foi o tratado pelo Tribunal Ordinário de Bolonha na sua sentença de 27 de novembro de 2020, em relação ao algoritmo da Glovo para a pontuação dos entregadores, onde recordou que «una differenza di trattamento può consistere nell’effetto sproporzionatamente pregiudizievole di una politica o di una misura generale che, mesmo que formulada em termos neutros, produz uma discriminação em relação a um determinado grupo», utilizando jurisprudência do Tribunal Europeu dos Direitos Humanos (Acórdão de 13 de novembro de 2007, D.H. e a. c. República Checa [GC] (n.º 57325/00), ponto 184; Acórdão de 9 de junho de 2009, Opuz c. Turquia (n.º 33401/02), ponto 183. Acórdão de 20 de junho de 2006, Zarb Adami c. Malta (n.º 17209/02), ponto 80).

A discriminação proxy é uma forma de discriminação indireta, mas que tem alguns elementos diferenciadores: utiliza dados como proxy no âmbito de atividades de perfilagem algorítmica com a intenção sub-reptícia de avaliar negativamente ou excluir certos grupos populacionais ou indivíduos com características determinadas. Trata-se, portanto, de uma forma de discriminação próxima da fraude, na medida em que utiliza determinados dados como «dados de cobertura» (dados de cobertura ou proxy) para atingir fins não pretendidos ou mesmo proibidos pela atividade de tratamento de dados que está a ser realizada. Todo o tratamento de dados deve ser realizado com uma finalidade (art. 5.º-1-b) RGPD), e a expressão e descrição da finalidade do tratamento condiciona os restantes princípios do tratamento de dados do art. 5 RGPD. A finalidade do tratamento de dados para avaliação de solvabilidade consiste em determinar as capacidades de cumprimento do contrato de crédito do potencial mutuário, não excluir certos requerentes por razões alheias à sua capacidade de cumprimento. Por outro lado, a partir de 20 de novembro de 2026, a avaliação deverá ser realizada «no interesse do consumidor», e não parece que excluir certos consumidores do acesso ao mercado de crédito por razões diferentes das da sua capacidade de cumprimento favoreça «o interesse do consumidor».

Vejamos agora um exemplo de discriminação proxy, recordando um post de há pouco mais de um ano sobre o direito ao esquecimento oncológico: o Parlamento Europeu solicitou aos Estados-Membros que adotassem medidas tendentes a evitar a discriminação sofrida por doentes com cancro que tinham sobrevivido à doença no acesso aos mercados de crédito e de seguros. Estas medidas foram adotadas por vários países, entre os quais Portugal e Espanha, que foram dos primeiros a fazê-lo. Se uma entidade credora desejasse evadir a proibição desta norma, poderia sentir-se tentada a pontuar negativamente conjuntos de dados em princípio neutros, mas que permitissem inferir que o requerente do crédito tinha sofrido de cancro.

A melhor forma de prevenir situações de discriminação indireta e discriminação por procuração é promover uma formação adequada em IA, tanto do pessoal que trabalha nas instituições de crédito como dos requerentes de crédito, bem como a necessária transparência e explicabilidade das ferramentas de IA de credit scoring, em três momentos igualmente importantes: (1) a sua conceção e melhoria; (2) a sua aplicação; e (3) a explicação posterior que deve ser dada ao requerente, especialmente se o crédito lhe for recusado. Este último ponto é obrigatório nos termos do artigo 18.º-8 DCCC/2023 e poderá tornar-se um exemplo prático do efeito direto da norma se não for transposto atempadamente e as instituições de crédito não ajustarem a sua política interna a essa exigência.

Credit scoring na Diretiva 2025/2223 e o interesse do consumidor

Doutrina

1. O que é e para que serve a avaliação da solvabilidade

A avaliação da solvabilidade (que pode ser designada, em inglês, por credit scoring) é uma análise que o credor, num contrato de crédito, realiza ao potencial mutuário para estimar a sua capacidade de cumprimento das obrigações decorrentes do contrato de crédito (ver, por exemplo, o artigo 4.º, n.º 1-c), do Decreto-Lei 74-A/2017).

Um contrato de crédito é um contrato duradouro. As obrigações do mutuário não se reduzem ao pagamento, embora, evidentemente, a obrigação de pagamento seja fundamental. O mutuário também deve fornecer informações suficientes sobre a sua situação financeira e fazê-lo de forma honesta.

Do ponto de vista da sua execução, as técnicas de avaliação da solvabilidade podem ser divididas em tradicionais (baseadas em julgamentos relacionais) ou automatizadas (utilizando técnicas de tratamento automatizado da informação, juntamente com «algoritmos», no sentido mais amplo do termo). Em qualquer uma das modalidades, é composta por três fases: (1) recolha de informações; (2) tratamento ou processamento de informações; e (3) classificação de crédito. As técnicas tradicionais baseiam-se no conhecimento subjetivo do pessoal da entidade (relacional) sobre as características do requerente. Estão sujeitas a preconceitos, enviesamentos ou informação incompleta. A utilização de algoritmos objetivou, na maioria das vezes, a avaliação da solvabilidade, embora noutras tenha provocado uma padronização dos preconceitos ou enviesamentos de quem concebe o algoritmo.

A classificação de crédito indica se o requerente do crédito é fiável, de risco médio ou de alto risco. Isto permite decidir sobre a concessão (ou não) do crédito ou se se fixa uma taxa de juro mais elevada ou garantias adicionais de pagamento.

Como se pode imaginar, todas as partes envolvidas na celebração e execução de um contrato de crédito estão interessadas no bom andamento do contrato. Os interesses de cada parte são, no entanto, diferentes, e convém ter isso em mente, pois em situações específicas eles podem ser excludentes e sobrepor-se.

As instituições de crédito estão interessadas na viabilidade do contrato, no reembolso do capital mutuado e no pagamento dos juros acordados.

O mercado de crédito está igualmente interessado na viabilidade do contrato, mas não tanto de forma singular, como o banco, mas no sentido de evitar uma acumulação excessiva de ativos tóxicos que possa gerar uma crise de confiança como a que se viveu após 2008.

O Estado está igualmente interessado na viabilidade do contrato, embora para evitar que uma eventual crise de confiança no mercado de crédito leve a uma crise da dívida. Esta situação também a vivemos na UE após a crise de 2008.

Last, but not least, o interesse do consumidor na viabilidade do contrato reside em prevenir o seu próprio sobreendividamento. Como bem afirma Leonor Gomes Martins, «o crédito ao consumo passou a ser visto como uma ferramenta quase inevitável para gerir a vida financeira diária das famílias, e não apenas associado à compra de bens mais valiosos, pois muitas destas encontram-se numa situação em que o seu rendimento não é suficiente para cobrir as despesas correntes». Esta realidade não se limita a Portugal e parece estar a aumentar nos últimos anos, o que é preocupante.

À luz do exposto, parece lógico que a avaliação da solvabilidade seja uma atividade inerente à prática bancária, apesar de só recentemente ter sido introduzida como obrigação nas normas relativas ao crédito ao consumo. No entanto, a partir da crise de 2008, tornou-se evidente que era necessário introduzir normas relativas à avaliação da solvência creditícia dos requerentes de crédito no âmbito da promoção dos chamados empréstimos responsáveis.

2. Breve cronologia normativa da credit scoring na UE e situação atual em Espanha e em Portugal

A promoção dos empréstimos responsáveis foi tentada com pouco sucesso na Proposta de Diretiva relativa aos Contratos de Crédito ao Consumo de 2002, como explica com grande clareza Esther Arroyo. A Diretiva relativa aos Contratos de Crédito ao Consumo de 2008 (DCCC/2008) não incorpora a noção de crédito responsável, mas introduz os primeiros critérios relativos à avaliação da solvabilidade creditícia no artigo 8.º, n.º 1, segundo o qual: «Os Estados-Membros devem assegurar que, antes da celebração do contrato de crédito, o mutuante avalie a solvabilidade do consumidor com base em informações suficientes, se for caso disso obtidas do consumidor e, se necessário, com base na consulta da base de dados relevante». Esta disposição foi transposta nos diferentes Estados-Membros da UE com uma redação semelhante. Em Portugal, o artigo 10.º do Decreto-Lei n.º 133/2009, de 2 de junho; em Espanha, o artigo 14.º da Lei n.º 16/2011, de 24 de junho.

Em 2014, foi publicada a Diretiva UE 2014/17, de 4 de fevereiro, relativa aos contratos de crédito aos consumidores para imóveis de habitação, que regula a obrigação de avaliação da solvabilidade no seu artigo 18.º, n.º 1, segundo o qual: «Os Estados-Membros asseguram que, antes da celebração do contrato de crédito, o mutuante proceda a uma rigorosa avaliação da solvabilidade do consumidor. A avaliação deve ter devidamente em conta os fatores relevantes para verificar a probabilidade de o consumidor cumprir as obrigações decorrentes do contrato de crédito». Esta norma foi adaptada às legislações nacionais. No caso de Portugal, através do Decreto-Lei 74-A/2017, de 23 de junho, no seu artigo 16.º; no caso de Espanha, na Lei 5/2019, de 14 de março, no seu artigo 11.º.

À margem dos detalhes regulamentares nas diferentes normas de transposição nacional, pode-se apreciar no sublinhado de ambas as diretivas o efeito da crise económica de 2008, provocada, entre outras razões, por uma política de crédito pouco responsável. De acordo com a DCCI/2014, a avaliação da solvabilidade deve ser «rigorosa» (não teria já de o ser anteriormente?) e deve ter em conta «fatores relevantes» para verificar a probabilidade de o consumidor cumprir as obrigações do contrato de crédito.

A expressão «fatores relevantes» (em contraste com «informações suficientes», que é a expressão de 2008) faz referência indireta a um debate interessante sobre quais as informações que devem ser tidas em conta na avaliação da solvência creditícia: (1) apenas informações negativas, como incumprimentos, atrasos, falências, etc., contidas em ficheiros de incumpridores; ou, (2) juntamente com as anteriores, informações positivas de solvência, como nível de rendimentos, poupanças, estabilidade laboral ou património? Os chamados ficheiros mistos de solvabilidade (ou seja, aqueles que incorporam informações positivas e negativas) oferecem uma imagem mais completa do requerente de crédito, evitando que requerentes fiáveis sejam excluídos do acesso ao crédito por uma entrada nos ficheiros de incumpridores.

O panorama normativo em matéria de credit scoring na UE é completado pela Diretiva UE 2023/2225, de 18 de outubro, relativa aos contratos de crédito aos consumidores (DCCC/2023), e pelo Regulamento UE 2024/1689, de 13 de junho, relativo à Inteligência Artificial (Regulamento IA). A DCCC/2023, que revoga a DCCC/2008, regula novamente a avaliação da solvabilidade no artigo 18.º, segundo o qual: «Os Estados-Membros devem exigir que, antes da celebração de um contrato de crédito, o mutuante proceda a uma avaliação rigorosa da solvabilidade do consumidor. Essa avaliação deve ser efetuada no interesse do consumidor, a fim de evitar práticas de concessão de empréstimos irresponsáveis e o sobreendividamento, e deve ter devidamente em conta os fatores relevantes para verificar a probabilidade de o consumidor cumprir as suas obrigações decorrentes do contrato de crédito».

O artigo 18.º do DCCC/2023 é muito mais extenso, mas o texto em negrito permite-nos perceber que a UE tomou partido a favor do interesse do consumidor ao obrigar a realização de avaliações de solvência. Se a proteção do interesse do consumidor na avaliação da solvabilidade for incompatível com a dos outros três interesses concorrentes, o interesse do consumidor deve prevalecer sobre os demais. É importante ter este aspeto em conta em futuros projetos de transposição normativa. Por enquanto, nem Espanha nem Portugal publicaram propostas de transposição, apesar de a norma dever ser transposta para os ordenamentos jurídicos nacionais até 20 de novembro de 2025, o mais tardar. O prazo máximo para transposição é 20 de novembro de 2025; as medidas da DCCC/2023 serão aplicáveis a partir de 20 de novembro de 2026 (art. 48.1). A partir dessa data (26 novembro 2026), a DCCC/2023 terá efeito direto, ou seja, os consumidores poderiam invocá-la como norma diretamente aplicável (TJUE Caso Van Gend en Loos). A proximidade do prazo de transposição e a ausência de propostas normativas nacionais em Espanha e Portugal tornam também aconselhável que as entidades credoras adaptem a sua política de crédito a esta norma, a fim de prevenir possíveis reclamações dos consumidores.

Por fim, o Regulamento IA considera que os sistemas de IA de alto risco são aqueles destinados a ser utilizados para avaliar a solvência de pessoas singulares ou estabelecer a sua notação de crédito (Anexo III.5.a). Isto implica que deverão cumprir requisitos de comercialização na UE mais rigorosos, previstos no Capítulo III.

Crédito ao consumo, avaliação da solvabilidade e esquecimento oncológico à luz da Diretiva 2225/2023

Doutrina

No dia 18 de outubro de 2023, foi adotada a nova Diretiva 2225/2023 relativa aos Contratos de Crédito aos Consumidores (DCCC). O diploma é o resultado de um debate no seio das instituições europeias para atualizar a anterior Diretiva do Crédito aos Consumidores (de 2008), que resultou na publicação, em 2021, da Proposta de Diretiva relativa aos Contratos de Crédito aos Consumidores.

A avaliação da solvabilidade (ou credit scoring) pode ser definida como o tratamento de dados sobre o potencial consumidor pelo credor no contexto de um contrato de crédito, a fim de avaliar a sua solvabilidade e quantificar o risco de crédito. Por outras palavras, o risco de não pagamento por parte do consumidor devido à sua falta de solvabilidade antes da concessão do crédito ou durante a sua vigência.

Antes de entrarmos na avaliação da solvabilidade tal como regulada no DCCC, convém recordar que estamos perante uma Diretiva, ainda que de harmonização total. De acordo com o artigo 48.º do DCCC, o prazo para a transposição desta Diretiva é 20 de novembro de 2025, sendo as regras nacionais de transposição aplicáveis a partir de 20 de novembro de 2026. Só se não for transposto para o direito nacional é que o texto em apreço produzirá efeitos diretos. Tudo isto faz com que as reflexões publicadas sobre a recém-publicada DCCC sejam extremamente oportunas, na medida em que o seu articulado se encontra pendente de transposição nacional nos próximos dois anos. O Decreto-Lei n.º 133/2009, de 2 de junho, apenas menciona a obrigação do mutuante de avaliar a solvabilidade do candidato, mas não com o pormenor regulamentado pelo DCCC.

Tanto na Proposta de Diretiva como na versão finalmente publicada da Diretiva, a avaliação da solvência ganhou importância em comparação com a Diretiva de 2008, que apenas menciona esta questão três vezes. A avaliação da solvência tornou-se muito importante, especialmente após a crise de 2008, que foi causada, entre outros fatores, por um sobreendividamento da população. É por isso que a nova DCCC se preocupa em promover práticas responsáveis no mercado do crédito, entre as quais a avaliação da solvabilidade prévia efetuada no interesse do consumidor. O considerando 53 da DCCC estabelece que os Estados-Membros devem adotar medidas adequadas para promover práticas responsáveis em todas as fases da relação de crédito, tais como avisos sobre os riscos em caso de não pagamento ou de sobreendividamento. Mais adiante, o mesmo considerando refere que os mutuantes devem ser responsáveis pelo controlo individual da solvabilidade do consumidor.

A avaliação da solvabilidade está regulamentada nos artigos 18º e 19º da DCCC, que devem ser interpretados em conformidade com os considerandos 53 a 57 da DCCC.

Nos termos do n.º 1 do artigo 18.º da DCCC, os Estados-Membros devem exigir que o mutuante efetue uma avaliação aprofundada da solvabilidade do consumidor antes de celebrar um contrato de crédito. A avaliação da solvabilidade é uma condição prévia essencial para a concessão do crédito e deve ser efetuada de acordo com três critérios orientadores: (1) deve ser efetuada no interesse do consumidor; (2) deve ter por objetivo evitar práticas de empréstimo irresponsáveis e o sobreendividamento; e (3) deve ter devidamente em conta os fatores relevantes para verificar as perspetivas de cumprimento pelo consumidor das obrigações decorrentes do contrato de crédito.

De acordo com o considerando 54 do DCCC, é essencial que a capacidade e a vontade do consumidor de reembolsar o crédito sejam avaliadas e testadas antes da celebração do contrato de crédito. Esta avaliação é tão fundamental que o crédito só deve ser concedido ao consumidor se o resultado da avaliação da solvabilidade indicar que as obrigações decorrentes do contrato de crédito são suscetíveis de serem cumpridas em conformidade com os termos do contrato de crédito (55 DCCC). O n.º 6 do artigo 18.º da DCCC retoma este critério, mas remete para os regulamentos nacionais de transposição da DCCC a obrigação dos Estados-Membros de assegurarem o seu cumprimento. Por conseguinte, será fundamental conhecer a evolução das legislações nacionais no que diz respeito aos efeitos da avaliação da solvabilidade do consumidor.

Embora uma avaliação positiva da solvabilidade seja um requisito prévio para a concessão de crédito, uma avaliação positiva não obriga o mutuante a conceder o crédito (considerando 54 DCCC), sem prejuízo do dever do mutuante de informar o requerente dos critérios e dados utilizados na avaliação da solvabilidade e de lhe permitir solicitar uma revisão da avaliação (considerando 56 DCCC in fine).

O último dos requisitos do artigo 18.º, n.º 1 do DCCC, tendo em conta os fatores relevantes para verificar as perspetivas de cumprimento, condiciona a informação que pode ser tratada para a avaliação da solvabilidade: devem ser avaliados todos os fatores necessários e relevantes que possam influenciar a capacidade de o consumidor reembolsar o crédito.

O n.º 2 do artigo 18.º do DCCC clarifica este critério. Devem ser tidas em conta (1) informações pertinentes e precisas sobre os rendimentos e as despesas do consumidor; bem como (2) informações sobre “outras circunstâncias”, financeiras e económicas, necessárias e proporcionais à natureza, à duração, ao valor e aos riscos do crédito. O primeiro dos elementos a avaliar, o extrato de contas do requerente de crédito, é pouco interpretativo e deve ser fornecido de forma completa e atualizada em todos os casos de pedido de crédito ao consumo. O segundo, em contrapartida, deverá ser ajustado em cada caso em função das características do crédito solicitado (natureza, duração, valor e riscos): pode entender-se que quanto maior for a duração, o valor e os riscos do crédito, mais abundantes e precisas deverão ser as informações sobre o consumidor que solicita o crédito.

Mas que informações? O n.º 2 do artigo 18.º do DCCC inclui uma lista aberta de dados que podem ser avaliados: dados sobre os rendimentos ou outras fontes de reembolso, informações sobre ativos e passivos financeiros ou informações sobre outros compromissos financeiros. A própria redação do artigo deixa claro que podem ser fornecidos outros dados relativos à “situação financeira e económica” do consumidor não incluídos na lista. A delimitação das informações que podem ser avaliadas na avaliação de solvabilidade, juntamente com o objetivo da avaliação de solvabilidade, delimita a concretização do princípio da minimização dos dados neste domínio.

A proibição do tratamento de dados relativos às doenças oncológicas do requerente é coerente com a Resolução do Parlamento Europeu, de 16 de fevereiro de 2022, sobre o reforço da Europa na luta contra o cancro, que “apela à integração na legislação pertinente da União do direito a ser esquecido para os sobreviventes de cancro, a fim de evitar a discriminação e melhorar o seu acesso aos serviços financeiros”. Países como a França, os Países Baixos, a Bélgica e o Luxemburgo foram pioneiros na conceção de tais medidas. Portugal publicou, em 2021, a Lei n.º 75/2021, de 18 de novembro, que reforça o acesso ao crédito e aos contratos de seguro por parte das pessoas que tenham superado ou atenuado situações de risco agravado de saúde (não apenas cancro), proibindo práticas discriminatórias contra as mesmas. No que respeita ao tratamento de dados no âmbito da avaliação da solvabilidade, o artigo 2.º desta lei proíbe a utilização, pelas instituições de crédito ou seguradoras, de qualquer tipo de informação de saúde relativa a uma situação clínica que origine um risco grave.

É também interessante notar, no que diz respeito às informações que devem consubstanciar a avaliação da solvabilidade, o disposto no n.º 11 do artigo 18.º do DCCC: a avaliação da solvabilidade não deve basear-se apenas no historial creditício do consumidor. Por outras palavras, a avaliação da solvabilidade não pode basear-se apenas nos dados negativos ou de insolvência do consumidor, mas deve integrar outros dados (positivos) que permitam obter um perfil completo do historial financeiro do consumidor. Esta possibilidade representa um passo em frente relativamente ao disposto no artigo 20.º da lei espanhola relativa à proteção de dados, quanto aos sistemas de informação de crédito, segundo o qual “presume-se lícito o tratamento de dados pessoais relativos ao incumprimento de obrigações pecuniárias, financeiras ou creditícias por parte dos sistemas comuns de informação de crédito”, desde que se verifiquem determinadas condições.

É de notar que grande parte da informação que alimenta a avaliação da solvabilidade será fornecida pelos próprios requerentes, que devem ser honestos e fornecer informações completas, exatas e relevantes (cf. n.º 7 do artigo 18.º do DCCC). Tal não significa que os requerentes consintam no tratamento dos seus dados para efeitos da avaliação da solvabilidade, mas que cumprem um ónus, tal como o mutuante, de avaliar a solvabilidade do requerente de crédito. Isto significa que a base legítima para o tratamento de dados é o cumprimento de uma obrigação legal (artigo 6.º, n.º 1, alínea c), do RGPD): tanto no caso dos dados fornecidos pelo requerente consumidor como dos dados obtidos pelo mutuante por sua própria conta.

Os dois primeiros requisitos do n.º 1 do artigo 18.º do DCCC são os princípios orientadores de qualquer avaliação da solvabilidade. O objetivo da avaliação da solvabilidade é evitar o sobreendividamento e as práticas irresponsáveis de concessão de crédito aos consumidores. Esta situação prejudica tanto o mercado de crédito como os consumidores, pelo que se coloca a questão de saber se o objetivo do controlo do sobreendividamento é preservar o bom funcionamento do mercado ou a qualidade de vida dos consumidores. A resposta, no caso da DCCC, é clara: tanto o n.º 1 do artigo 18.º como o artigo 54.º estabelecem que a avaliação da solvabilidade deve ser efetuada “no interesse do consumidor”. Por conseguinte, a finalidade do tratamento de dados no caso da avaliação da solvabilidade será a seguinte: tratamento de dados para avaliação da solvabilidade, para prevenção do sobreendividamento e de práticas de empréstimo irresponsáveis, a fim de evitar que prejudiquem a qualidade de vida dos consumidores.

Os procedimentos de avaliação da solvabilidade devem ser transparentes e devidamente documentados, em conformidade com o n.º 4 do artigo 18.º. Um procedimento de avaliação deficiente não deve ser utilizado pelo mutuante para alterar as condições do contrato em detrimento do consumidor. A especificação destas duas obrigações será deixada a cargo da regulamentação de cada Estado-Membro.

Sempre que a avaliação da solvabilidade envolva o tratamento automatizado de dados pessoais (pontuação de crédito), o consumidor requerente deve poder solicitar e obter a intervenção humana do mutuante para: (1) explicar, de forma clara e compreensível, a avaliação de crédito, incluindo a sua fundamentação, riscos, significado e efeitos na decisão de crédito; (2) permitir que o consumidor exprima os seus pontos de vista ao mutuante e, se o considerar adequado, (3) solicitar uma revisão da avaliação de crédito e da decisão de crédito. Esta obrigação é coerente com o artigo 22.º do RGPD, nos termos do qual todas as pessoas em causa têm o direito de não ficar sujeitas a uma decisão baseada exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que a afete significativamente de forma similar (como um perfil de solvabilidade), salvo determinadas exceções previstas no n.º 2 do artigo 22.º.

Por último, o artigo 19.º do DCCC estabelece determinadas disposições relativas às bases de dados (públicas e privadas – n.º 3 do artigo 19.º do DCCC) que podem ser consultadas pelos mutuantes em caso de crédito transfronteiriço. Está prevista a obrigação de cada Estado-Membro garantir que os mutuantes de outros Estados-Membros possam aceder às bases de dados utilizadas no seu território para a avaliação da solvabilidade dos consumidores em condições não discriminatórias (n.º 1 do artigo 19.º do DCCC), desde que os mutuantes estejam sob o controlo da autoridade nacional competente e cumpram o RGPD. No que diz respeito a este trabalho, as bases de dados devem conter, pelo menos, dados negativos de solvabilidade (n.º 4 do artigo 19.º do RGPD), não devem tratar categorias especiais de dados ou dados obtidos a partir de redes sociais (n.º 5 do artigo 19.º do RGPD) e as suas informações devem ser atualizadas e exatas (n.º 7 do artigo 19.º do RGPD). Quando a recusa de um pedido de crédito se basear na consulta de uma base de dados, o mutuante deve informar o consumidor, gratuitamente e sem demora, do conteúdo e dos pormenores da consulta e das categorias de dados tidos em conta (artigo 19.º, n.º 6, do DCCC).

Segurança geral dos produtos e créditos ao consumo

Legislação

O legislador europeu tem estado bastante ativo nos últimos dois anos em matérias relacionadas com o direito do consumo.

Ontem, a Comissão Europeia apresentou mais duas iniciativas legislativas com grande relevância nesta área. Segundo se pode ler na nota de imprensa emitida, os dois novos diplomas, ainda em fase de proposta, visam reforçar os direitos dos consumidores, em especial tendo em conta os desafios da digitalização e da pandemia de COVID-19. Se reforçam ou não é outra questão, que certamente irá ser objeto de discussão, aqui e em muitas outras sedes.

Em primeiro lugar, temos uma Proposta de Regulamento relativo à segurança geral dos produtos.

Nota-se mais uma vez neste diploma a tendência recente da União Europeia em legislar por via de Regulamento, tentando uniformizar as regras a nível europeu. Esta tendência já foi identificada e discutida aqui no blog, num texto de Paula Ribeiro Alves.

Propõe-se a revogação de duas diretivas, passando as respetivas matérias a ser tratadas num único diploma. São elas a Diretiva 87/357/CEE, do Conselho, de 25 de Junho de 1987, relativa à aproximação das legislações dos Estados-Membros respeitantes aos produtos que, não possuindo a aparência do que são, comprometem a saúde ou a segurança dos consumidores (imitações perigosas), e a Diretiva 2001/95/CE, do Parlamento Europeu e do Conselho, de 3 de Dezembro, relativa à segurança geral dos produtos. A primeira foi transposta em Portugal pelo Decreto-Lei n.º 150/90, enquanto a segunda foi transposta pelo Decreto-Lei n.º 69/2005, de 17 de março (alterado pelos Decretos Regulamentares n.os 57/2007, de 27 de abril, e 38/2012, de 10 de abril, e pelo Decreto-Lei n.º 9/2021, de 29 de janeiro).

A proposta contém várias normas inovadoras, que visam regular melhor todo o processo relativo aos produtos perigosos.

Gostaria, no entanto, de realçar o art. 35.º da Proposta, que vem acrescentar direitos subjetivos aos consumidores, além dos previstos na Diretiva 2019/771 (venda de bens de consumo), em caso de recall (definido como qualquer medida destinada a obter a devolução de um produto que já tenha sido colocado à disposição do consumidor). O operador económico responsável pelo recall deve oferecer ao consumidor um serviço rápido, eficaz e sem custos, que tem de permitir, no mínimo, a reparação do produto, a substituição do produto por outro de igual valor e qualidade ou o reembolso do valor do produto recolhido. A reparação, a eliminação ou a destruição do produto pelo consumidor só é aceitável se puder ser feita de forma fácil e segura. O profissional deve fornecer as instruções necessárias e/ou, em caso de reparação, a substituição gratuita das peças ou as necessárias atualizações de software. A solução também não pode implicar inconvenientes significativos para o consumidor, não devendo este suportar os custos de transporte ou de devolução do produto. No caso de produtos difíceis de transportar, a recolha deve ser feita pelo profissional.

Em segundo lugar, temos uma Proposta de Diretiva sobre créditos ao consumo.

Se vier a ser adotado o diploma, teremos um novo regime do crédito ao consumo, agora designado no plural (“créditos ao consumo”), sendo revogada a Diretiva 2008/48/CE, do Parlamento Europeu e do Conselho, de 23 de abril, relativa a contratos de crédito aos consumidores, transposta, em Portugal, pelo Decreto-Lei n.º 133/2009.

Trata-se de um regime bastante complexo, pelo que não irei aqui analisá-lo em profundidade neste texto.

Deixo, no entanto, uma nota para uma das principais novidades: a aplicação da generalidade do regime a serviços de crédito de crowdfunding, definidos como serviços prestados por uma plataforma de crowdfunding para facilitar a concessão de crédito ao consumo.

Também é introduzida uma regra sobre ofertas personalizadas emitidas com base em profiling ou outras formas de processamento automatizado de dados pessoais. A prática é permitida, mas o consumidor tem de ser informado (art. 13.º). Se estiver em causa a avaliação da solvabilidade do consumidor, o consumidor tem direito a uma revisão da decisão com intervenção humana (art. 18.º-6).

As sanções em caso de incumprimento das regras também são reforçadas, mantendo-se a tendência recente de definir um patamar mínimo, calculado em função do volume de negócios do profissional, como limite máximo para o valor das contraordenações. Os próximos tempos serão interessantes, prevendo-se uma discussão acesa em tornos destes temas. Cá estaremos para acompanhar o processo.

Avaliação da solvabilidade do consumidor

Jurisprudência

Conforme prometido, regressamos hoje ao crédito ao consumo, com uma breve análise da decisão proferida pelo Tribunal de Justiça da União Europeia (TJUE) no Processo C‑679/18 (acórdão de 5 de março de 2020), que trata do dever de avaliação da solvabilidade do consumidor por parte do credor.

O tribunal é chamado a pronunciar-se, no essencial, sobre a questão de saber se podem ser estabelecidos limites no que respeita à invocação pelo consumidor do incumprimento do dever em causa e se o tribunal deve poder conhecer oficiosamente desse incumprimento.

Do ponto de vista do direito português, talvez o aspeto mais interessante consista em saber se a previsão apenas de uma sanção contraordenacional é suficiente para cumprir as obrigações resultantes do direito europeu. Lá chegaremos.

As normas relevantes para o caso são os arts. 8.º e 23.º da Diretiva 2008/48/CE, do Parlamento Europeu e do Conselho, de 23 de abril de 2008, relativa a contratos de crédito aos consumidores. O art. 8.º-1 prevê que “os Estados-Membros devem assegurar que, antes da celebração do contrato de crédito, o mutuante avalie a solvabilidade do consumidor com base em informações suficientes, se for caso disso obtidas do consumidor e, se necessário, com base na consulta da base de dados relevante. Os Estados-Membros cuja legislação exija que os mutuantes avaliem a solvabilidade dos consumidores com base numa consulta da base de dados relevante podem reter esta disposição”. Segundo o art. 23.º, “os Estados-Membros devem determinar o regime das sanções aplicáveis à violação das disposições nacionais aprovadas em aplicação da presente diretiva e tomar todas as medidas necessárias para assegurar a aplicação das referidas disposições. As sanções assim previstas devem ser efetivas, proporcionadas e dissuasivas.

Segundo o TJUE, estas disposições “devem ser interpretados no sentido de que impõem que um órgão jurisdicional nacional examine oficiosamente a existência de uma violação da obrigação pré‑contratual do mutuante de avaliar a solvabilidade do consumidor”, extraindo “as consequências que decorrem, no direito nacional, de uma violação dessa obrigação”.

Conclui ainda o tribunal que o direito europeu se opõe “a um regime nacional nos termos do qual a violação, pelo mutuante, da sua obrigação pré‑contratual de avaliar a solvabilidade do consumidor só é punida com a nulidade do contrato de crédito, acompanhada da obrigação de esse consumidor reembolsar ao mutuante o montante principal, num prazo adequado à sua capacidade financeira, na condição de o referido consumidor suscitar essa nulidade, e isso num prazo de prescrição de três anos”.

No que respeita à sanção propriamente dita (“nulidade do contrato de crédito, acompanhada da obrigação de esse consumidor reembolsar ao mutuante o montante principal, num prazo adequado à sua capacidade financeira”), o TJUE parece considerar que ela é adequada e dissuasiva (considerando 30).

O problema identificado pelo tribunal está na exigência de que o consumidor suscite a nulidade. Como já vimos, esta deve ser de conhecimento oficioso. E não deve estar sujeita a um prazo fixo de arguição de três anos.

Uma questão muito interessante, do ponto de vista do direito português, é a relação desta sanção civil com a sanção administrativa, também prevista no direito checo. Como sabemos, no direito português apenas se estabelece uma sanção contraordenacional para o incumprimento do dever de avaliar a solvabilidade do consumidor (arts. 10.º e 30.º-1 da Lei n.º 133/2009, na redação vigente), não estando prevista qualquer sanção civil.

No considerando 37, depois de concluir que a sanção (civil) não é efetiva, defende o tribunal que “esta conclusão não pode ser posta em causa pelo argumento invocado pelo Governo checo, nas suas observações escritas, segundo o qual as disposições nacionais em matéria de supervisão prudencial das instituições de crédito também preveem uma sanção administrativa sob a forma de uma coima até 20 milhões de CZK (cerca de 783 000 euros), em caso de concessão de um crédito em violação da obrigação de avaliar a solvabilidade do consumidor”. No início do considerando 38 realça-se, ainda, a circunstância de a sanção nunca ter sido aplicada na República Checa.

Da segunda parte do considerando 38 resulta de forma bastante clara que a sanção contraordenacional poderá não ser suficiente, à luz do direito europeu. Vejamos: “essas sanções não são, por si sós, suscetíveis de assegurar de modo suficientemente eficaz a proteção dos consumidores contra os riscos de sobreendividamento e de insolvência, pretendida pela Diretiva 2008/48, na medida em que não se repercutem na situação de um consumidor com quem tenha sido celebrado um contrato de crédito em violação do artigo 8.º desta Diretiva”.

Impõe-se, portanto, a previsão de uma sanção civil, a qual não se encontra consagrada no direito português.