Lei Geral de Proteção de Dados

Como atuar conforme a legislação e os impactos no mercado imobiliário

Um assunto que vem ganhando mais destaque na medida que as conexões avançam e a tecnologia evolui é a proteção dos dados pessoais. Porém esse tema já vem repercutindo há mais tempo, sendo inclusive criado em 2006, o Dia Internacional de Proteção de Dados Pessoais, celebrado sempre em 28 de janeiro, com o objetivo de conscientizar os usuários sobre a importância de resguardar os dados, principalmente os transmitidos de forma digital, além de estimular as empresas sobre como podem tratar esses dados com responsabilidade.

No Brasil, em 2018 foi a aprovada a Lei Federal 13.709 denominada Lei Geral de Proteção de Dados Pessoais, juntamente dela foi criada a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir a correta aplicação da lei. Porém a LGPD entrou em vigor apenas em setembro de 2020, já as sanções administrativas para quem desrespeitar as regras de tratamento de dados pessoais serão validadas a partir de 1° de agosto de 2021 por força da Lei 14.010/20, como forma de atender os pedidos das empresas que necessitam de tempo para ajustarem os seus processos e se adequarem à nova legislação, que não se trata de uma opção, mas de uma obrigação das instituições em relação aos dados pessoais dos usuários e clientes, que já precisa ser colocada em prática.

Tal legislação impactará todos os serviços e setores. Mas o que representa na prática a Lei Geral de Proteção de Dados? Para contextualizar, a LGPD regulamenta qualquer atividade que envolva utilização de dados pessoais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados e seguirá os mesmos princípios do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, priorizando o respeito à privacidade. Tudo para garantir que os dados sejam protegidos de vazamentos, perdas, destruição, exposição e acesso não autorizado nas empresas, além de tratados sob consentimento dentro das normas, inclusive, essas regras se estendem a terceiros que utilizam os dados da empresa.

A lei não protegerá somente os dados pessoais digitais, mas igualmente aqueles oriundos de coletas feitas em papel, como fichas de cadastro e cupons, assim como as informações pessoais coletadas através de imagens e sons que também estarão englobados na proteção.

A especialista em direito digital e compliance, Vitória Bastos Bernardi, da Russell Bedford Brasil, explica que a coleta de dados pessoais é uma prática comum e necessária, mas destaca a importância de resguardar essas informações:

- A coleta de dados pessoais ocorre naturalmente no dia a dia das empresas como, por exemplo, no RH para admissão de profissionais ou em setores comerciais que coletam dados de clientes para formalização de contratos. Não há como uma empresa atuar evitando totalmente o tratamento de dados, o que se deve fazer é garantir que esse tratamento seja realizado com proteção.

Mas o que caracteriza um dado pessoal? Se uma informação permite identificar, direta ou indiretamente, um indivíduo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet), entre outros, trata-se de um dado pessoal. Aqui cabe destacar também os dados pessoais sensíveis, aqueles passíveis de discriminação se expostos ou vazados, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, referentes à saúde ou a vida sexual.

A publicação da Lei impacta diretamente no comportamento de empresas e clientes: as primeiras precisam cada vez mais desenvolver políticas e planos de proteção de dados comprometidos, promovendo à proteção da privacidade e da segurança de clientes; já a sociedade observará muito mais os critérios e iniciativas das empresas, estando mais exigentes com a segurança dos dados pessoais.

Para destacar a importância da lei, publicada em 2018, mas que entrou em vigor no ano de 2020, é possível pontuar os principais objetivos :

- Garantir o direito à privacidade e à proteção de dados pessoais dos usuários através da adoção de práticas transparentes e seguras, proporcionando a garantia dos direitos fundamentais;

- Adotar diretrizes transparentes sobre o tratamento de dados pessoais

- Estimular o desenvolvimento das relações tecnológicas;

- Fortalecer a segurança das relações jurídicas e a confiança das partes em relação ao tratamento dos dados pessoais;

- Estimular e promover a concorrência e a livre atividade econômica.

O assunto é mundial. Não são raras as notícias referentes a vazamento de dados de grandes empresas, expondo informações pessoais de clientes e usuários, Referência para o Brasil quando o assunto é proteção de dados, de acordo com o Regulamento Geral de Proteção de Dados da União Europeia são dois os agentes responsáveis pelo tratamento de dados pessoais e sobre eles decaem encargos e responsabilidades. Cada vez que uma empresa coleta e processa os dados pessoais de um indivíduo, ela age como um “controlador” ou um “processador”. Na legislação brasileira são definidos como agentes de tratamento:

1) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Uma empresa ou um órgão do Estado que detenha um acervo de dados pessoais é exemplo de controlador.

2) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Portanto, em uma situação que uma empresa controla e é responsável pelos dados pessoais que mantém, ela atua como o controlador desses dados. Se, por outro lado, alguém detém os dados pessoais, mas alguma empresa é responsável pelo que acontece com essas informações, então essa outra empresa atua como operador de dados.

Em ambos os casos, a Lei Geral de Proteção de Dados prevê grandes responsabilidades como a guarda e a manutenção de registros das operações de tratamento de informações que forem realizadas, criação de relatórios de impacto, comunicação a ANPD e ao titular dos dados em situação de insegurança, implementação de boas condutas e governança, entre outras questões, assim como a legislação aponta como funciona a responsabilização em caso violação às diretrizes legais:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Os agentes só não respondem quando provarem que não realizaram o tratamento a eles atribuído; que embora tenham realizado, não houve violação à legislação; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiros.

Como já citado ao longo desta reportagem, somente em agosto de 2021 entrarão em vigor os artigos da lei relacionados às sanções administrativas que devem ser aplicadas àqueles que desrespeitarem as normas, como situações de vazamento de dados, por exemplo. A aplicação dessas punições se concretizará através de decisões da Autoridade Nacional de Proteção de Dados (ANPD).

Ressalta-se que as sanções vão desde as advertências, multa simples ou diárias, até a suspensão e a proibição do tratamento de dados por aqueles que cometeram a infração, baseado nos incisos I a XII do artigo 52 da Lei Geral de Proteção de Dados. Lembrando que a punição somente é aplicada após procedimento administrativo, possibilitando a ampla defesa.

Fatores como a gravidade e o perfil da infração e dos direitos pessoais afetados, bem como a vantagem conquistada pelo infrator estão entre os aspectos levados em consideração em relação à aplicação da punição.

Em casos de advertência haverá sempre a indicação de um prazo para adoção de condutas corretivas. Já a multa simples pode ser de até 2% do faturamento da empresa no seu último exercício e limitada a R$ 50 milhões por infração. Na multa diária, observa-se o limite total referente à multa simples.

Outras punições podem ser consequências de infrações administrativas, como a publicização da infração, bloqueio dos dados pessoais até a regularização, suspensão temporária ou parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento de dados, entre outras.

Na prática, o usuário precisará dar o seu consentimento, que efetiva uma condição, que ele concorda com o tratamento de seus dados para uma determinada finalidade, que deverá estar esclarecida e acessível para completo entendimento de qualquer usuário, que podem ser: a finalidade para a qual estão sendo coletados; o meio de captura; o período de tempo em que ficarão armazenados; a identificação do controlador com o respectivo contato; se serão compartilhados com terceiros; quais as responsabilidades dos agentes que realizarão o tratamento; dentre outras.

Por isso, é cada vez mais comum ao acessar diferentes sites encontrar caixas com as mensagens “aceito e desejo continuar”, ou “clicando aqui você concorda com os termos de uso e política de privacidade”, ou “clique aqui e finalize o seu cadastro”.

Lembrando que é direito do usuário retirar esse consentimento a qualquer momento, e também caso haja mudança na finalidade dos dados coletados, o titular pode efetuar um novo consentimento ou desistir.

A especialista Vitória Bernardi explica como deve ser feita a execução dos mecanismos de proteção referente à legislação na prática dentro das empresas:

- Na prática é importante que a implementação seja realizada por profissionais com know how em processos gerenciais, jurídico e TI. Como a lei se aplica tanto a dados tratados pelo meio físico quanto digital, apenas o jurídico não é o suficiente, assim como apenas a TI também não. É necessário mapear os processos da empresa e entender qual o fluxo e o ciclo de vida dos dados internamente e os pontos de contato externos. Após, criar soluções de proteção para todos os casos necessários.

Mas como proceder em caso de vazamento de dados? Vitoria Bernardi enfatiza a postura ideal a ser adotada:

- Como empresa, ao perceber que houve um vazamento, precisamos primeiro identificar o que foi vazado, como o incidente ocorreu e como prevenir maiores prejuízos. Ao mesmo tempo, o Encarregado de Dados tem como função reportar tais situações para ANPD para que o caso seja apurado tecnicamente e que qualquer consequência seja manejada da forma correta, dentro dos procedimentos legais. Já como titulares de dados temos que nos manter atentos a qualquer forma de utilização indevidas dos nossos dados, como por exemplo, buscar junto ao Banco Central, se ocorreu algum empréstimo indevido em nosso nome. Assim como, caso se perceba esse tipo de tratamento indevido, pode-se apresentar reclamação perante a ANPD, Procon ou justiça.

A implementação dessa lei fatalmente também atinge o ramo imobiliário, principalmente nas questões de prospecção de clientes e divulgação de serviços. Isso porque é através do marketing que são desenvolvidas estratégias para satisfazer as necessidades do público-alvo, e para a implementação dessas técnicas é necessário conhecer primeiramente o seu público, o que é feito analisando os dados pessoais desses potenciais clientes. Logo, o maior desafio dos profissionais referente ao marketing de seus serviços e produtos com a LGPD é a estratégia a ser aplicada para coleta de informações.

Um exemplo prático que pode ser retratado são as estratégias interativas, que possibilitam a coleta de dados relevantes para o trabalho dos times de marketing e vendas. Para estar em conformidade com a LGPD, os corretores e imobiliárias precisarão contemplar nesse tipo de ação, obrigatoriamente, a Política de Privacidade e o Termo de Uso para que os consumidores saibam de que forma exatamente seus dados serão utilizados.

Entre as práticas que precisarão ser revisadas com bastante atenção estão o Inbound Marketing e o Marketing Direto, que buscam atrair os clientes pelo conteúdo divulgado pelas empresas, uma vez que consistem no uso de banco de dados para se comunicar diretamente com uma pessoa, seja por E-mail Marketing, Telemarketing, entre outros. Por serem áreas que lidam diretamente com dados pessoais de usuários, até mesmo dados sensíveis (como menciona a lei), será necessário ter o máximo de cuidado no tratamento e divulgação dessas informações.

A gestora de marketing e especialista no segmento imobiliário, Luciana Martins, comenta sobre como fica a coleta de dados para prospecção de novos clientes no setor de imóveis:

- Entendo que a coleta de dados dos últimos anos no mercado imobiliário era muito simples e objetiva, porque a grande massa dos portais imobiliários, que ao longo dos anos se tornaram aliados na divulgação dos imóveis, nos oferecem grande acervo de informações dos leads, tais como: nome, telefone e e-mail, diante disso, conseguíamos pensar diversas atividades de marketing. Entretanto, com o vigor da LGPD precisaremos ter mais atenção na forma de alimentar esses leads e inclusive fomentá-los somente de conteúdos que sejam do seu efetivo interesse. Acredito que devemos rever principalmente a forma e os métodos de envio dos e-mail’s marketings e ações, onde utilizamos essas informações. Hoje a palavra da vez é transparência.

Dicas para o profissional realizar o marketing dentro dos parâmetros da LGPD:

e permitem que os dados sejam tratados de maneira correta. A Lei Geral de Proteção de Dados prevê 10 bases legais para tratamento de dados: São elas: Consentimento do titular, Legítimo Interesse, Cumprimento de obrigação legal ou regulatória, Uso compartilhado de dados pela administração pública, Realização de estudos e pesquisas, Execução ou preparação de contrato, Exercício de direitos em Processo, Proteção da Vida ou da incolumidade física, Tutela de saúde do titular e Proteção de crédito.

- Além do Inbound Marketing, é necessário desenvolver também estratégias e repensar o Outbound Marketing, ou seja, quando você identifica o perfil de potenciais clientes e desenvolve mecanismos de abordagem. Então é necessário verificar as ações para estar em conformidade com a atual lei.

- Sinalização dos cookies, ou seja, pequenos arquivos de texto que possuem várias informações que podem ser armazenadas, desde páginas visitadas até dados fornecidos voluntariamente aos portais.

- Facilitar a saída, ou seja, colocar à disposição uma forma mais eficaz e simples de retirar o consentimento a qualquer momento.

- Organizar as segmentações de Leads e automações, ou seja, não vai inviabilizar as práticas de criação de perfis e decisões automatizadas porém vai precisar respeitar alguns limites impostos pela legislação.

Também entra nesse grande cenário de mudanças, a exposição nas redes sociais. Os corretores e imobiliárias atualmente utilizam muito das redes sociais para divulgação de sua cartela de imóveis em vista de prospectar e fidelizar novos clientes, mas até esse ambiente passa a ter que ser reorganizado para estar em conformidade com a LGPD, como afirma Jayme Diogo, publicitário especialista em Marketing Digital:

- A lei com certeza vai mudar todos os departamentos das imobiliárias, mas o impacto sobre o marketing será significativo e a área terá que adotar práticas claras sobre o uso dos dados e a manutenção das informações. É importante dizer que, quando a imobiliária ou corretor for coletar algum dado em redes sociais ou anúncio para um empreendimento, eles não poderão ser reutilizados para outra finalidade, como um disparo de e-mail marketing ligado a outros produtos.

O tema é extremamente complexo e requer amplo conhecimento por parte dos corretores de imóveis. Pela extensão do conteúdo, vale a pena leitura completa da Lei Geral de Proteção de Dados, a Lei Federal 13.709/2018. Desta forma o profissional estará ainda mais preparado para prospectar e captar clientes em conformidade com a legislação.