Nosso blog é repleto de conteúdos com informações relevantes sobre o mercado imobiliário e sobre a Lei Geral de Proteção de Dados, a LGPD. Chegou a hora de “juntar” os temas! Vamos entender como incide a LGPD no mercado imobiliário e de que formas a lei afeta os seus atores. Já adiantamos um ponto fundamental: a lei não veio para atrapalhar as atividades do setor!
Já falamos por aqui sobre como a LGPD pode ser uma excelente oportunidade para as empresas. E isso fica especialmente claro quando analisamos o mercado imobiliário. Para ilustrar, vamos partir de uma pergunta bem simples e direta: o quão importante é uma boa base de dados para um corretor de imóveis, para uma imobiliária, para uma incorporadora/construtora? Podemos apostar que você acertou a resposta: uma boa base de dados é fundamental para quem atua no mercado imobiliário.
O uso legal e regular de uma base de dados, especialmente quando se “arruma a casa”, pode trazer às empresas do setor uma receita importante. As incorporadoras, as construtoras e as loteadoras, em geral, possuem robustas bases de dados e muitas delas já fazem a apuração de seu valuation pelos ativos de dados que possuem.
Antes de nos aprofundarmos no tema, porém, é preciso fazer dois breves esclarecimentos.
Primeiro: a adequação das empresas do setor imobiliário (as fases do projeto de adequação, as modificações pertinentes nos documentos, a elaboração de políticas de privacidade e proteção de dados, o treinamento dos colaboradores, o acompanhamento constante, dentre outros) será, na maioria dos casos, similar à adequação efetuada para empresas de outros setores.
É por isso que a leitura dos nossos artigos anteriores sobre a LGPD vai te ajudar bastante a compreender o tema da proteção de dados também no segmento imobiliário.
Segundo esclarecimento: a LGPD é aplicável a dados pessoais de pessoas naturais. No âmbito da LGPD, não falaremos, portanto, em dados de pessoas jurídicas.
Índice
Como identificar os agentes de tratamento no mercado imobiliário?
A LGPD divide em dois grupos aqueles que tratam dados pessoais no exercício das suas atividades: controladores e operadores; juntos, eles são chamados de “agentes de tratamento”.
O controlador toma decisões em relação ao dado pessoal. É com o controlador que o titular dos dados pessoais estabelece uma relação: seja de lead, de cliente efetivo, de colaborador etc. No contexto da LGPD, essa relação é estabelecida por meio do fornecimento dos dados pessoais.
Isso quer dizer, por exemplo, que quando um lead fornece dados pessoais a um corretor no stand de um plantão de vendas, a relação estabelecida naquele momento é entre corretor e titular de dados. Ali, em tal instante, a imobiliária se transforma em controladora de tais dados pessoais.
A LGPD impõe ao controlador um peso jurídico maior e há mais responsabilidade para essa figura.
O operador, por outro lado, não toma decisões sobre os dados pessoais, não havendo uma relação direta entre o operador e o titular de dados pessoais. Quando uma incorporadora ou uma imobiliária fornece dados pessoais dos clientes à uma administradora de condomínios, por exemplo, tal administradora transforma-se em operadora dos dados pessoais.
Uma ressalva importante: dizer que há mais responsabilidade para a figura do controlador não significa dizer que o operador não tem nenhuma responsabilidade. Ainda que o operador deva se limitar a executar as ordens do controlador, haverá a responsabilização se o operador descumprir a LGPD (quando deixa de aplicar medidas de segurança aptas a prevenir incidentes com dados pessoais, por exemplo).
O operador também responderá quando não seguir as instruções lícitas do controlador.
Ou seja, caso o operador não cumpra o que determinou o controlador (no caso de a ordem ser lícita) e se houver algum tipo de incidente que cause danos ao titular dos dados pessoais, o operador será responsabilizado como se controlador fosse.
Sobre os direitos do titular de dados pessoais temos também um artigo específico, que contempla um modelo de resposta a ser dada ao titular que solicitar informações sobre o possível tratamento de seus dados, não deixe de conferir!
As bases legais mais relevantes para o mercado imobiliário
Qualquer tratamento de dados pessoais (e a LGPD entende como “tratamento”, basicamente, qualquer coisa que se faça com um dado pessoal – inclusive o simples armazenamento) deve ser sustentado por uma base legal.
Dito de outra forma, tudo o que for feito com um dado pessoal deve estar previsto em uma das hipóteses trazidas pela lei; caso não esteja, o tratamento será, necessariamente, irregular, devendo cessar imediatamente – sendo este um dos mais evidentes impactos da LGPD no mercado imobiliário.
A mera constatação de que determinada atividade que uma empresa realiza se encaixa em uma das bases legais não significa dizer que essa empresa esteja automaticamente em conformidade com a LGPD. O processo de adequação à LGPD é bem mais complexo.
O quadro abaixo é um resumo das bases legais que a LGPD contempla em seu texto:
Dado pessoal | Dado pessoal sensível |
Consentimento; | Consentimento; |
Cumprimento de obrigação legal ou regulatória; | Cumprimento de obrigação legal ou regulatória; |
Execução de políticas públicas; | Execução de políticas públicas; |
Estudos e pesquisas; | Estudos e pesquisas; |
Execução de contratos; | Exercício regular de direito em processo judicial, administrativo ou arbitral; |
Exercício regular de direito em processo judicial, administrativo ou arbitral; | Proteção da vida ou da incolumidade física do titular; |
Proteção da vida ou da incolumidade física do titular; | Tutela da saúde; |
Tutela da saúde; | Prevenção à fraude e à segurança do titular. |
Interesse Legítimo do controlador; | |
Proteção ao crédito. |
Vamos nos debruçar agora sobre as bases legais mais relevantes para o mercado imobiliário.
O legítimo interesse
Se você atua no mercado imobiliário, sabe muito bem qual é a importância de uma base de dados pessoais. O principal ativo de um corretor de imóveis é, possivelmente, sua lista de contatos e uma base sólida de interessados em empreendimentos de determinado perfil é essencial para incorporadoras e construtoras.
Como mencionamos no início deste artigo, a LGPD não veio para frear as atividades imobiliárias. Os corretores de imóveis, por exemplo, podem continuar exercendo suas atividades com base em sua lista de contatos. A base legal que pode ser atribuída a essa atividade é o legítimo interesse.
Também já falamos com detalhes sobre o legítimo interesse. Naquela ocasião, frisamos que essa base legal não pode ser usada como um “cheque em branco”, pois a LGPD limita a aplicação da base legal do legítimo interesse por meio da definição de critérios específicos para tal.
Esses critérios estão definidos no artigo 10 da LGPD e são um verdadeiro teste de legitimidade. O objetivo do teste é balancear os direitos e interesses em jogo: do titular, cuja proteção dos dados pessoais é direito fundamental, e dos agentes que fazem uso de tais dados, especialmente para fins econômicos.
Há quatro fases no teste de proporcionalidade. Vamos tomar como exemplo a atividade de corretagem para verificar como se daria a aplicação do legítimo interesse.
1) Legitimidade: A primeira fase do teste de proporcionalidade do legítimo interesse é um juízo de valor do próprio corretor e deve conter a análise sobre dois aspectos: a finalidade legítima e uma situação concreta:
- Finalidade legítima: o exercício da atividade de corretagem, da forma como é executado, contraria algum dispositivo legal? Somente propósitos legítimos são aptos a justificar o fundamento do tratamento no legítimo interesse. E, além de ser legítima, a atividade de corretagem é específica, explícita e informada ao titular? É dizer: quando o cliente forneceu seus dados pessoais ao corretor (no plantão de vendas, pelo site da imobiliária, numa visita a imóvel etc), ele tinha ciência quanto à finalidade do fornecimento de tais dados?
- Situação concreta: os dados pessoais do titular são usados para uma situação concreta (manter contato sobre imóveis de interesse, por exemplo)? Ou ao cliente somente foi informado que seus dados pessoais eram necessários para compor um “cadastro na imobiliária”, sem que ficassem claras as situações concretas nas quais seus dados seriam tratados?
2) Necessidade: Quais dados pessoais foram coletados do cliente? Esses dados pessoais coletados são estritamente necessários à finalidade estabelecida na fase 1? Quais são os dados pessoais estritamente necessários para a captação de um potencial cliente? Nome, telefone e talvez o e-mail? É claro, a análise da estrita necessidade é feita a depender de cada caso. Em geral, contudo, não se vislumbra a necessidade da coleta de mais dados do que esses três.
Um CPF, por exemplo, não é um dado estritamente necessário neste momento (será necessário futuramente, quando o cliente assinar um contrato, mas não no momento da captação). A fase da Necessidade impõe uma análise crítica da quantidade de dados coletados; caso se chegue à conclusão de que os dados pessoais foram coletados sem a estrita necessidade, eles devem ser excluídos.
3) Balanceamento: A atividade de corretagem, da forma como executada, atende às expectativas legítimas do cliente sem ofender seus direitos e liberdades fundamentais? A expectativa do cliente está relacionada com o princípio da boa-fé: o titular tem a expectativa de que seus dados serão tratados com base na relação prévia que existia entre ele e o agente.
Ou seja, o tratamento de dados não pode surpreender o titular. Quando o cliente recebe o contato do corretor, há alguma surpresa? O cliente já teve algum contato prévio com a imobiliária que justifique o contato do corretor? O contato do corretor, da forma como é feito, ameaça de alguma maneira os direitos e a liberdade fundamental do cliente?
4) Salvaguardas: O uso dos dados pessoais do cliente para a execução da atividade de corretagem é feito de forma transparente? A fase 4 é fundamental para garantir o equilíbrio entre os interesses do agente de tratamento e o titular de dados pessoais.
Como a base legal do legítimo interesse não exige a concordância expressa do titular para que o tratamento seja sustentado, a fase 4 visa a garantir ao titular sua participação no processo. É por isso que é indispensável que o corretor seja transparente com o cliente quando coletados os dados pessoais. Além disso, os dados pessoais são armazenados de modo seguro? A fase 4 exige que o agente de tratamento adote medidas de segurança que mitiguem os riscos do titular.
Se a atividade de corretagem está sendo executada de modo a atender a todas as fases do teste de legitimidade, será possível sustenta-la na base legal do legítimo interesse. O corretor poderá continuar fazendo negócios com a base de dados que possui (a chamada base legada), desde que observados tais limites.
Execução de contratos
A base legal da execução de contratos engloba casos em que determinados dados pessoais necessariamente precisam ser tratados para a execução de obrigações firmadas, a pedido do titular. Assim, para a formalização da compra ou venda de um imóvel, serão coletados os dados pessoais necessários para a concretização do negócio.
Essa base legal também pode ser usada em procedimentos preliminares à formalização do contrato em que o cliente seja parte, desde que haja solicitação nesse sentido. Por exemplo, é possível que dados pessoais sejam necessários para realizar um levantamento em instituições financeiras para fins de concessão do crédito imobiliário. Certamente, o próprio titular tem interesse, já que espera que, ao final do processo, ele tenha acesso àquele montante que deseja obter junto ao banco.
Uma vez que as chaves tenham sido entregues, não é mais possível a utilização da base legal da execução do contrato. Porém, pode ser (e frequentemente, é) necessária a manutenção dos dados pessoais do titular. Isso nos leva a mais uma base legal relevante no mercado imobiliário, que veremos a seguir.
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Caso o ator do mercado imobiliário entenda que determinados dados pessoais poderão servir como elemento para o exercício de direitos em demandas em geral, tais dados poderão ser armazenados desde que para essa única e exclusiva finalidade e enquanto ela subsistir.
Note que o armazenamento dos dados pessoais com fundamento nessa base legal não pode ser eterno. Para determinar a agenda de descarte dos dados pessoais, recomenda-se utilizar como parâmetro os respectivos prazos prescricionais previstos, tanto na legislação civil quanto na penal.
Cumprimento de obrigações legais ou regulatórias
Caso exista alguma determinação legal ou regulatória que demande o tratamento de dados pessoais, a empresa poderá sustentar a atividade nessa base legal. A Consolidação das Leis do Trabalho (CLT), por exemplo, estabelece um prazo de 2 anos para que o colaborador apresente uma reclamação trabalhista em face do empregador. A legislação previdenciária, a seu turno, exige a manutenção de certos dados pessoais de colaboradores por até 20 anos.
É possível, ainda, que um ator do mercado imobiliário seja obrigado a compartilhar dados pessoais com a autoridade policial para garantir o andamento de uma operação que investiga crimes relacionados a lavagem de dinheiro, por exemplo.
Há, pois, diversas situações nas quais as empresas do mercado imobiliário, seja por determinação legal ou regulatória, tenham que armazenar dados pessoais. Uma ressalva: em relação a essas situações, todas as medidas de segurança aptas a proteger tais dados pessoais devem ser aplicadas.
Consentimento
Se leu nosso artigo sobre consentimento, você já sabe o porquê de essa base legal estar no último lugar da nossa lista. Diante das outras opções de enquadramento da atividade imobiliária, a base legal do consentimento não é a melhor delas, sobretudo considerando que o consentimento pode ser retirado pelo titular a qualquer momento.
Afinal, um dos direitos do titular, reconhecidos pela LGPD, é justamente o de retirar o consentimento para o tratamento dos seus dados pessoais; caso o titular exerça tal direito, o controlador deve cessar imediatamente todo e qualquer tratamento de dados cuja base legal seja o consentimento, sendo que o tratamento realizado antes da retirada do consentimento permanece válido.
A LGPD conceitua o consentimento como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII da lei).
Em outras palavras, o consentimento somente será válido se for: 1) livre; 2) informado; 3) inequívoco; e 4) utilizado para uma finalidade determinada. Não é tão simples, portanto, a obtenção de um consentimento válido.
Finalmente, em vista das bases de dados legadas que as empresas do ramo imobiliário possuem, é de se questionar se o contato com toda essa base para solicitar o consentimento individualmente (interrompendo suas atividades com dados pessoais dessa base até que os titulares respondam o contato com o consentimento válido) é, de fato, uma opção atraente.
A fase do mapeamento no processo de adequação à LGPD permitirá identificar, dentre outros, quais dados pessoais são coletados pela empresa, para qual finalidade e por quanto tempo tais dados precisam ser mantidos. A partir daí, a atribuição da base legal apropriada é bem mais fácil.
Viu como a LGPD, apesar de afetar diretamente o mercado imobiliário, não impede a atividade? A Lei atua no exagero, no comportamento abusivo, no uso irregular dos dados pessoais. Por isso, falaremos agora de dois importantes princípios que regem a norma: a responsabilidade e a segurança.
Responsabilidade
Há, no mercado imobiliário, uma circulação muito relevante de dados pessoais. O cliente procura uma imobiliária para comprar ou vender um apartamento; a imobiliária compartilha os dados com imobiliárias parceiras e/ou com o advogado que redigirá o contrato; tais dados são informados ao contador e também ao despachante que vai atuar no processo de financiamento do cliente; pode haver compartilhamento de dados com administradoras de condomínio etc.
Em caso de incidente com os dados pessoais do cliente, qual o ator dessa cadeia “pagará o preço” das sanções?
Em nosso artigo sobre responsabilidade, destacamos que há responsabilidade solidária entre controlador e operador. Isso quer dizer que, a rigor, qualquer agente daquela cadeia corre o risco de ser responsabilizado, já que há a possibilidade de o cliente acionar qualquer uma das partes para obter a indenização devida.
Tal fator, do ponto de vista do cliente, é extremamente positivo, já que não recai sobre ele o ônus de descobrir, dentro daquela cadeia econômica, quem deu causa ao dano sofrido.
A LGPD é centrada no titular de dados pessoais e uma previsão como essa, que beneficia em tal magnitude essa figura central, faz sentido no contexto da legislação de proteção de dados brasileira (especialmente se estivermos falando de uma relação de consumo, na qual o ônus da prova é invertido em favor do consumidor).
Do ponto de vista das empresas, é claro, isso pode ser um problema considerável.
Ocorre que a mesma LGPD que traz a questão da responsabilidade e a possibilidade de inversão do ônus da prova traz, também, algumas excludentes de responsabilidade. Ou seja, há situações nas quais ainda que uma empresa esteja dentro da complexa cadeia econômica imobiliária, ela não terá o dever de “pagar a conta” do incidente.
São três as situações:
1) Quando provado que o agente não realizou o tratamento de dados pessoais que lhe é atribuído;
2) Quando provado que o agente não violou a LGPD;
3) Quando provado que a culpa pelo dano é exclusivamente de terceiros.
Observe a palavra-chave para a questão da excludente de responsabilidade: provar. O que nem sempre é simples de se fazer. É certo, todavia, que uma empresa não adequada à LGPD não será capaz de produzir um conjunto probatório suficiente para afastar a responsabilidade em caso de dano.
Segurança
Um dos aspectos mais importantes no contexto da proteção de dados pessoais é a aplicação de medidas de segurança. A LGPD prevê, em seu artigo 46, que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
A LGPD é uma lei geral, portanto, é uma norma que não trata de aspectos demasiadamente específicos. É o caso da segurança. Afinal, quais seriam as medidas de segurança “aptas a proteger os dados pessoais”?
Há medidas de segurança comuns a todos aqueles que fazem uso de dados pessoais no exercício de suas atividades, como, por exemplo, a eliminação dos dados pessoais desnecessários, a criação de níveis de acesso para os colaboradores etc.
Especificamente em relação aos serviços notariais e de registro, é de se destacar que o Provimento 74, de 31 de julho de 2018, da Corregedoria do Conselho Nacional de Justiça (prévio, portanto, à entrada em vigor da LGPD), estipulou padrões mínimos de tecnologia da informação para segurança, integridade e disponibilidade dos dados e para a continuidade da atividade nesses serviços extrajudiciais.
Além disso, a Autoridade Nacional de Proteção de Dados, a ANPD, publicou recentemente um guia de segurança da informação especialmente voltado a agentes de tratamento de pequeno porte. São sugestões de medidas de segurança da informação capazes de promover, em agentes de tratamento de pequeno porte, um ambiente institucional mais seguro quanto ao tratamento de dados pessoais.
Adicionalmente, vale destacar a norma ISO/IEC 27001:2013, que define requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação no contexto das organizações.
A LGPD se aplica aos Cartórios?
A LGPD protege dados pessoais tratados por pessoa natural ou por pessoa jurídica de direito público ou privado. Isso significa dizer que tudo o que já dissemos sobre a adequação à Lei deve também ser observado pelos cartórios.
Você pode estar se perguntando: há algum problema em emitir certidões com dados pessoais? Não, pois, a princípio, as informações nelas contidas, se estão disponíveis em um cartório, são públicas. Contudo, há de se limitar, nessas emissões, a quantidade de dados pessoais àquela que seja estritamente necessária para o atingimento do objetivo. É dizer: nem todos os dados pessoais armazenados em um cartório podem ser objeto de publicidade.
Em relação A essa questão, o Provimento 63, de 14 de novembro de 2017, do CNJ, “institui modelos únicos de certidão de nascimento, de casamento e de óbito, a serem adotadas pelos ofícios de registro civil das pessoas naturais, e dispõe sobre o reconhecimento voluntário e a averbação da paternidade e maternidade socioafetiva no Livro ‘A’ e sobre o registro de nascimento e emissão da respectiva certidão dos filhos havidos por reprodução assistida”.
Esse provimento traz um modelo padrão de certidão de inteiro teor, por exemplo, para que não constem dados pessoais que possam causar qualquer tipo de constrangimento desnecessário ao titular.
Nessa linha, é possível afirmar que cartórios possuem uma faceta híbrida: ao mesmo tempo em que se trata de um serviço público, há também operações de cunho privado no gerenciamento administrativo-financeiro feito pelos cartórios, como a contratação de serviços de terceiros, a instalação de câmeras de vigilância, a contratação de colaboradores e outras. Todas essas dimensões “privadas” do cartório devem observar a legislação de proteção de dados.
Quer saber um debate interessante e atual que permeia o ambiente cartorial em relação à LGPD? Por força do disposto na Lei 6.015/73 (Lei de Registros Públicos), qualquer pessoa pode requerer certidão do registro sem informar ao oficial ou ao funcionário o motivo ou interesse do pedido. Acontece que a LGPD reconhece diversos direitos do titular e um deles é o direito de acesso.
Quando o titular exerce o direito de acesso, ele deverá receber do controlador informações sobre:
I) a finalidade específica do tratamento;
II) a forma e duração do tratamento;
III) a identificação e informações de contato do controlador;
IV) as informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
V) a responsabilidade dos agentes que realizarão o tratamento; e
VII) os direitos do titular.
Nesse sentido, para que o cartório consiga cumprir seu dever de atender ao direito de acesso do titular, ele necessita da informação sobre o motivo do interesse do pedido da certidão de registro, o que o artigo 17 da Lei 6.015/73 dispõe não ser obrigatório.
E aí? Atualmente, a partir dos regramentos internos dos cartórios e das decisões judiciais sobre o tema, entende-se pela não coleta do motivo em observância à Lei 6.015/73. Mas já há uma reflexão do setor sobre a importância de coletar o motivo pelo qual a pessoa requereu a certidão de registro para fins de atendimento aos direitos do titular. Interessante, não é?
Se quiser ler mais sobre a LGPD nos cartórios, acesse nosso artigo sobre o tema!
A LGPD na Incorporação Imobiliária: o caso Cyrela
O caso da incorporadora/construtora Cyrela envolve a primeira sentença sustentada na LGPD, justamente dentro do nosso tema da LGPD no mercado imobiliário.
De lá pra cá, dados do “Painel LGPD nos tribunais”, projeto do IDP (Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa) em parceria com o JusBrasil, dão conta de que há 584 decisões que contemplam a LGPD, mas somente 274 delas efetivamente aplicavam a norma brasileira de proteção de dados. A maior parte dessas decisões foram proferidas em primeira instância, portanto ainda aguardam deliberações nos tribunais superiores. Assim, entendemos que ainda é prematuro cogitar-se da existência de uma posição jurisprudencial consolidada no que se refere à LGPD.
O caso da Cyrela (Processo n° 1080233-94.2019.8.26.0100) foi julgado recentemente em grau de recurso e atualmente aguarda discussão no Superior Tribunal de Justiça. Vamos entender o que aconteceu e tirar desse caso valiosas lições em relação à LGPD.
Em agosto de 2019, um cliente da Cyrela ingressou com uma ação de obrigação de fazer cumulada com ação de indenização por danos morais em razão de tratamento inadequado de dados pessoais.
Em resumo, o autor da ação alegou que forneceu à incorporadora/construtora dados pessoais necessários para a formalização da compra de um apartamento e que, logo após a assinatura do contrato, começou a receber, “diariamente e insistentemente”, contatos de diversas empresas que não faziam parte da relação contratual com a Cyrela. Tais empresas entravam em contato para oferecer financiamento, serviços de decoração, arquitetura e móveis planejados.
Incomodado com a situação, o autor da ação procurou a Cyrela solicitando que ela tomasse providências em relação ao ocorrido. A empresa respondeu, reafirmando que todos os dados cadastrais eram utilizados apenas internamente e que não havia divulgação externa. O autor da ação, contudo, continuou recebendo contatos de terceiros.
A sentença de primeiro grau entendeu que foi “caracterizado o ato ilícito relativo a violação a direitos de personalidade do autor, especialmente por permitir e tolerar (conduta omissiva) ou mesmo promover (conduta comissiva) o acesso indevido a dados pessoais do requerente por terceiros”.
Determinou, ainda, que a incorporadora/construtora tinha responsabilidade pelo incidente de dados, mesmo considerando a existência de uma cadeia produtiva: “Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da ilicitude (como no caso de corretores de imóveis), porquanto todos que participam da cadeia produtiva respondem de forma solidária pelos danos causados”.
Adicionalmente, a sentença considerou que o dano seria presumido, ou seja, bastaria a ocorrência de uma violação de dados para que se configurasse o dano, sendo desnecessária a prova de que o autor da ação, de fato, sofreu danos morais resultantes do incidente de dados.
Nesses termos, a sentença condenou a Cyrela ao pagamento de R$ 10.000,00 a título de indenização por danos morais e determinou que ela cessasse o compartilhamento de dados pessoais de seus clientes a terceiros, sob pena de multa de R$300,00 por contato indevido.
A incorporadora/construtora recorreu da decisão e, em segunda instância, foi absolvida.
O Tribunal entendeu que não é possível afirmar que foi a Cyrela quem realizara o compartilhamento dos dados pessoais do autor da ação, considerando toda a cadeia de produção envolvida nas negociações. Além disso, havia contratos de corretagem entre o autor e outra incorporadora/construtora e sete corretores comprovavam que ele havia fornecido seus dados àquelas pessoas antes de celebrar o contrato com a Cyrela.
Além disso, os Desembargadores entenderam que o dano moral não ficara comprovado, não havendo, portanto, obrigação de indenizar. Para o Tribunal, pois, o dano moral não poderia ser presumido.
O autor da ação interpôs, então, Recurso Especial que será julgado pelo Superior Tribunal de Justiça.
Mas, afinal, qual lição podemos tirar do caso, mesmo considerando que existem entendimentos de natureza estritamente jurídica ainda passíveis de modificação? A resposta é clara: demonstração de conformidade.
A Cyrela juntou ao processo cópias do seu código de conduta, que prevê a obrigação dos colaboradores de não utilizarem e/ou divulgarem informações de clientes em respeito à legislação de proteção de dados.
Também juntou um termo de responsabilidade e segurança no uso da tecnologia da informação, com o qual demonstra a aplicação de medidas de segurança da informação. Juntou, no mais, declarações de empresas de tecnologia da informação atestando a adequação dos níveis de segurança da informação da incorporadora/construtora.
Também foram juntadas demonstrações de realizações de palestras e informativos sobre a LGPD direcionados aos colaboradores, além de uma sentença favorável de processo no qual ela questionara contatos que uma empresa fornecedora de móveis fazia a clientes da incorporadora/construtora. Houve, ainda, outras notificações a empresas que estavam fazendo o uso indevido dos dados pessoas de tais clientes utilizando o nome do empreendimento.
Por fim, a Cryela cooperou e demonstrou cooperação a todo o momento, o que é, de acordo com o previsto no artigo 52 da LGPD, critério de mitigação da aplicação de eventual sanção administrativa.
O entendimento do Tribunal não se sustentou somente na demonstração de conformidade, mas esse, sem dúvida, foi um fator que influenciou na decisão.
Conclusão
Como demonstrado ao longo deste artigo, há sim importantes repercussões da LGPD no mercado imobiliário, mas, de modo algum, impede e tampouco “trava” o exercício das atividades no setor. A norma de proteção de dados existe para coibir o exagero, o uso irregular de dados pessoais.
Além disso, a LGPD pode contribuir para a consolidação de uma base de dados pessoais com potencial de monetização maior, o que é extremamente interessante para um mercado tão relevante do ponto de vista macroeconômico para o país.
Para além das oportunidades de monetização que a LGPD oferece, a adequação à Lei também viabiliza a demonstração de conformidade, algo indispensável quando da ocorrência de incidentes com dados pessoais.
Gostou deste conteúdo? Ele é útil para você ou para sua empresa? Esperamos que sim!
Continue acompanhando o nosso trabalho e inscreva-se para receber a newsletter com textos sobre proteção de dados e outros materiais produzidos pelo escritório.
Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!
Trackbacks/Pingbacks