Score, bureaus e Cadastro Positivo: transparência sem inviabilizar o risco

2026-05-05 | IBeGI

LGPD Risco

## Introdução O **score de crédito na LGPD** é um dos temas mais sensíveis do setor. Modelos de pontuação, bureaus e Cadastro Positivo são essenciais para avaliação de risco, mas precisam operar com transparência, qualidade de dados, finalidade legítima e respeito aos direitos do consumidor. A boa notícia é que o sistema jurídico brasileiro não proibiu o score. O STJ reconheceu a licitude do credit scoring como método estatístico de avaliação de risco. A questão não é se o score pode existir. A questão é como ele é construído, alimentado, explicado e contestado. ## Score não é carta branca O score é uma ferramenta de apoio à decisão. Ele pode considerar histórico de crédito, comportamento de pagamento, informações cadastrais permitidas e dados relevantes para risco. Mas ele não deve virar uma caixa-preta sem governança. O STJ afirmou que o consentimento prévio do consumidor não é necessário para o credit scoring, mas também reforçou limites: privacidade, transparência, respeito ao CDC, à legislação de cadastro positivo e direito a esclarecimentos sobre fontes dos dados e informações pessoais consideradas. Essa combinação é importante. O mercado pode usar modelos estatísticos, mas precisa estar preparado para explicar o tratamento em linguagem adequada e corrigir dados incorretos. ## Cadastro Positivo tem regime próprio A Lei nº 12.414/2011 disciplina a formação e consulta de bancos de dados com informações de adimplemento. Ela foi alterada pela Lei Complementar nº 166/2019, que tornou o Cadastro Positivo mais amplo. Na prática, o Cadastro Positivo permite determinadas operações sem consentimento prévio, mas mantém direitos do cadastrado. Entre eles: - acesso gratuito às informações existentes sobre si; - conhecimento da nota ou pontuação de crédito; - conhecimento dos principais elementos e critérios da análise de risco; - correção de informação errada; - cancelamento ou reabertura do cadastro; - revisão de decisão exclusivamente automatizada, quando aplicável; - informação sobre quem consultou seus dados. Esse regime mostra que transparência não elimina o risco. Ela qualifica o uso do risco. ## O que não deve entrar no modelo Modelos de score devem evitar variáveis incompatíveis com análise de crédito ou com risco discriminatório. A legislação do Cadastro Positivo veda o uso de informações não vinculadas à análise de risco e restringe atributos ligados a origem social e étnica, saúde, informação genética, sexo, convicções políticas, religiosas e filosóficas, entre outros. Mesmo quando a variável parece tecnicamente útil, a pergunta regulatória deve vir antes: **ela é necessária, proporcional, explicável e vinculada à análise de risco?** O uso de proxies também merece cuidado. Um modelo pode não usar diretamente dado sensível, mas produzir efeito discriminatório por meio de variáveis correlacionadas. Por isso, governança algorítmica não é apenas documentação jurídica; é também avaliação técnica. ## Decisão automatizada e direito de revisão A LGPD prevê que o titular pode solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, inclusive decisões destinadas a definir perfil de consumo e crédito. Isso não significa que toda decisão precise ser manual desde o início. Significa que a empresa deve ter fluxo para: - identificar decisões exclusivamente automatizadas; - registrar critérios gerais usados; - receber contestação; - revisar casos relevantes; - corrigir dados incorretos; - fornecer explicação adequada, preservados segredos comerciais e industriais. Uma negativa de crédito sem qualquer capacidade de explicação aumenta o risco regulatório e reputacional. ## Bureaus e dever de informação Bureaus e gestores de bancos de dados ocupam posição central no ecossistema de crédito. Eles conectam fontes, consulentes e consumidores. Por isso, a governança de compartilhamento é essencial. O STJ já decidiu que bancos de dados que compartilham informações de consumidores devem informar previamente o consumidor sobre a utilização desses dados. O fato de uma informação ter sido fornecida em uma compra ou estar acessível em algum contexto não significa que possa circular livremente para qualquer finalidade. Para empresas que consultam bureaus, a recomendação é manter documentação sobre: - finalidade da consulta; - base legal utilizada; - parceiro consultado; - data e contexto da consulta; - decisão apoiada pelo dado; - canal para contestação e correção. ## O papel do gestor de risco A LGPD não é assunto apenas jurídico. No score, o gestor de risco precisa participar ativamente. É ele quem conhece variáveis, pesos, segmentações, políticas de aprovação, zonas cinzentas e efeitos práticos do modelo. Um bom programa deve incluir: - inventário de modelos; - ficha das variáveis usadas; - justificativa de pertinência; - monitoramento de qualidade; - testes de viés; - revisão periódica; - controle de acesso; - registro de versões; - política de explicabilidade. Modelos de crédito não precisam revelar fórmula proprietária completa ao público, mas precisam ser governados. ## Conclusão Score, bureaus e Cadastro Positivo continuam essenciais para o crédito. A LGPD não inviabiliza essas ferramentas, mas aumenta a exigência de transparência, governança e correção. O futuro da análise de risco não será menos tecnológico; será mais auditável. **Fontes oficiais para link externo:** - [Lei do Cadastro Positivo — Lei nº 12.414/2011](https://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm) - [Lei Complementar nº 166/2019](https://www.planalto.gov.br/ccivil_03/leis/lcp/lcp166.htm) - [STJ — Tema 710 / credit scoring](https://www.stj.jus.br/websecstj/cgi/revista/REJ.cgi/ATC?CodOrgaoJgdr=&SeqCgrmaSessao=&dt=20141117&formato=PDF&nreg=201303862850&salvar=false&seq=40872564&tipo=5) - [LGPD — Lei nº 13.709/2018, texto compilado](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm) ---