A seguradora Médis tem estado a permitir o débito direto de produtos que comercializa sem a autorização dos titulares das contas em questão, o que abre a porta a que alguém utilize um IBAN obtido irregularmente para nele debitar a mensalidade de um seguro de saúde da empresa. Questionada pelo Diário de Notícias, a seguradora garante que está dentro da legalidade, mas o Regimento Geral da Proteção de Dados (RGPD) e a Constituição portuguesa contradizem este entendimento.“A Médis informa que não existe qualquer obrigatoriedade legal de solicitação de um comprovativo de titularidade da conta bancária indicada para a realização dos débitos diretos para pagamento do prémio de seguro. Existem casos em que o titular da conta bancária é diferente do tomador do seguro. Esta é, de resto, uma prática comum e legítima, que acontece, por exemplo, quando um familiar (como um pai) paga o seguro de outro familiar (como um filho)”, assegurou fonte oficial da seguradora ao DN. No entanto, não é isso que diz o artigo 6.º do RGPD. “À luz do RGPD, para que um dado pessoal possa ser tratado por uma entidade terceira, tem de haver base de licitude. Ora seja através de base contratual, ora seja através de um interesse legítimo ou do consentimento do titular, entre outros. Neste caso, alegadamente, não existe nenhuma base de licitude que o justifique”, clarifica Tiago Cabanas Alves, advogado especialista em proteção de dados, também ao DN.E também não é essa a informação oficial veiculada pelo Banco de Portugal: “Tem de dar autorização expressa ao credor (a entidade a quem está a pagar o bem ou o serviço) para que a cobrança seja feita por débito direto. A autorização (a chamada “autorização de débito em conta”) tem de ser dada diretamente ao credor, geralmente através do preenchimento de um formulário próprio que lhe é fornecido por este”, avisa o regulador no seu site oficial. Acrescentando que “caso a cobrança não tenha sido autorizada (a autorização de débito em conta não foi concedida ao credor em causa), tem um prazo de 13 meses para solicitar ao seu prestador de serviços de pagamento a retificação do débito.” Mas vamos recuar, para perceber exatamente o que tem acontecido com a Médis, segundo alguns relatos a que o DN teve acesso. Imagine o seguinte cenário: a Maria entra no site da Médis para subscrever um seguro de saúde, e preenche todos os dados relativos ao tomador de seguro - que será a própria Maria, no caso. Um dos dados que lhe pedem é o IBAN através do qual deverá ser efetuado o débito direto da mensalidade do prémio desse mesmo seguro. Agora imagine que, ao invés de colocar o seu próprio IBAN, a Maria decide colocar o de uma outra pessoa. A entidade credora - a Médis, neste caso concreto - tem o dever de confirmar junto do titular dessa conta bancária que o débito direto pode ser ativado, antes de passar a informação ao banco. Isto porque, apesar de o IBAN constar no contrato de seguro da Maria, a conta à qual ele se refere não lhe pertence. Foi o que aconteceu, por exemplo, a Joana (nome fictício), cujo marido decidiu subscrever um seguro junto da Médis e utilizou o IBAN da esposa para o fazer. Apesar de a titular da conta estar informada de que o marido o ia fazer, em momento algum foi questionada sobre se autorizava o débito em conta - e a mensalidade começou de imediato a ser debitada. “Liguei para a Médis e perguntei com que autorização utilizam o meu IBAN numa apólice onde o meu nome nem consta? Não me souberam responder. Liguei para o banco, de seguida, que me disse que assumiu que a Médis verificou do lado dela e, como tal, autorizam o débito”, conta ao DN, esclarecendo ainda que a instituição a informou de que poderia pedir o estorno do montante debitado, caso fosse uma operação não autorizada.Confrontada com os relatos que chegaram ao DN sobre esta prática, “a Médis afirma que cumpre com as obrigações legais e regulamentares que lhe são aplicáveis, no que respeita à subscrição de seguros através do site Médis. Neste sentido, respeita as regras que se aplicam ao contrato de seguro e aos processos de cobrança através de débito direto. Para além disso, os dados que são recolhidos no momento da subscrição através do site, incluindo os dados bancários, são recolhidos tendo em vista a celebração do contrato”.O problema desta justificação, explica o advogado Tiago Cabanas Alves, é que “o contrato existente, que poderia justificar a licitude, foi firmado entre o tomador de seguro e a entidade credora. Se o titular do IBAN é outra pessoa, esta não está contemplada nesse contrato e a utilização dos seus dados carece, pois, de licitude, não podendo ser justificada pela base contratual”. Que é como quem diz: a utilização deste IBAN por parte da seguradora é ilegal.Então e os bancos, onde ficam?Na verdade, os bancos estão na outra ponta desta equação - aquela que não tem responsabilidade sobre este assunto em concreto. Isto porque, como esclarece o Banco de Portugal, a responsabilidade de recolha e tratamento de dados e da autorização para o débito direto em conta, pertence à entidade credora. O banco - ou prestador de serviço - age no pressuposto de que essa autorização está garantida e validada por essa mesma entidade. Os relatos que chegaram ao DN relacionavam-se com clientes do Millennium BCP e não foi possível perceber se acontece o mesmo com IBAN de outras entidades bancárias - no entanto, a resposta dada por fonte oficial da instituição seria, possivelmente, a mesma que outros bancos dariam: “A responsabilidade de verificação dos dados, incluindo o pedido de débito direto, é da entidade credora”. Algo que é confirmado pelas já citadas normas do Banco de Portugal e sustentado também por Cabanas Alves, que lembra ainda que o RGPD “é um Regulamento porque, ao contrário de uma diretiva, é aplicável diretamente pelo n.º 4 do artigo 8.º da Constituição da República Portuguesa”. O que, em linguagem simples, significa que mesmo que não houvesse uma lei nacional que determinasse a responsabilidade da entidade credora no tratamento dos dados pessoais, esta é determinada pelo RGPD que, sendo um ato de Direito da União Europeia que tem como característica a aplicabilidade directa, é aplicável em todos os Estados-membros, inclusive em Portugal, sem ser necessário qualquer outro instrumento jurídico.Consumidor estará sempre protegidoSeja com recurso à reclamação junto do supervisor dos seguros - a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) - seja com recurso à instituição bancária, os consumidores que se apercebam de um débito em conta não autorizado estarão sempre protegidos e têm direito a ser ressarcidos dos valores em falta. A protegê-los está, por exemplo, o artigo 114.º do Regime Jurídico dos Meios de Pagamentos e de Moeda Eletrónica, que determina que os bancos podem ter de indemnizar os titulares das contas desapossadas com acréscimo de 10% de juro, desde a data da falta de autorização daquela operação de pagamento. Contactado pelo DN, o BCP garante que até à data não reebeu qualquer reclamação relacionada com débitos diretos não autorizados - apesar de o DN ter tido acesso à resposta do banco a, pelo menos, uma reclamação apresentada. No mesmo sentido, a ASF afirma não ter, até à data, conhecimento de qualquer situação. “No conjunto de reclamações analisadas até à data, não foi possível identificar qualquer situação com contornos semelhantes aos relatados.A análise de situações como a descrita depende da apresentação de casos concretos, através dos canais habituais e em conformidade com a regulamentação aplicável. A ASF intervém, nomeadamente, em reclamações que tenham sido previamente submetidas ao operador visado, sempre que a resposta tenha sido insatisfatória ou não tenha sido prestada no prazo legalmente previsto”, recorda. Vale a pena recordar que os consumidores têm ainda à disposição a figura do Provedor do Cliente das Empresas de Seguros, a que podem recorrer no caso de uma reclamação apresentada não ter resposta por parte da empresa em questão, após os prazos máximos estipulados por lei.