COMPLIANCE E LGPD - MUITA COISA VAI MUDAR, INCLUSIVE NA ÁREA IMOBILIÁRIA.
- Advocacia Renato Cunha
- 6 de jul. de 2020
- 4 min de leitura
COMPLIANCE E A LEI 13.709/2018 (Data Processing Agreement)
O objetivo primordial da LGPD é evitar possíveis exposições de dados que gerem danos aos seus titulares.
A primeira indagação necessária que players da área imobiliária devem fazer é se os dados com os quais trabalham são dados pessoais ou dados sensíveis:
a) Dados pessoais são aqueles que distinguem as pessoas, umas das outras, ou seja, informações particulares e únicas;
b) Dados sensíveis são todos aqueles que possam gerar algum tipo de descriminação, biometria e imagens (relativos a opinião política, sexualidade, raça, origem étnica, convicção religiosa, opinião política, dados biométricos ou genéticos, bem como aqueles referentes à saúde). Estes ainda carecerão de consentimento específico e destacado, devendo as finalidades de uso serem igualmente específicas.
Importante também é evidenciar que não são apenas os novos dados a serem coletados que devem ser tratados. Os dados já existentes também. Isto é, com a LGPD, a informação deve ser tratada até mesmo se mantida em arquivos físicos ou digitais, coletados antes ou depois da entrada em vigor da nova lei.
A adequação à LGPD envolve áreas como as de TI, área de Vendas, RH, Jurídico, Compliance, Atendimento, Marketing e todos devem estar atentos e cautelosos com a entrada em vigor da Lei. Todos tem papel fundamental dentro deste futuro cenário, tendo os dados dos clientes como um dos principais centros de atenções.
Os dados coletados dos clientes, independentemente dos meios, digitais ou físicos, devem ser tratados de acordo com a LGPD. A coleta do consentimento do cliente deverá conter propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedada a autorização universal de dados (§4º do art. 7º).
O titular dos dados tem o direito de saber quais dados a empresa está guardando, utilizando e para qual motivol, além do direito de acessar suas informações e solicitar a retirada de algum dado ou sua exclusão completa. A empresa terá a obrigação de garantir tudo isso, de forma simples e digital. O cliente precisa saber a finalidade para qual está fornecendo seus dados e o que a empresa pretende fazer com eles. Qualquer dado novo a ser armazenado do cliente precisará de novo consentimento dele.
O conceito fundamental da utilização da base legal do legítimo interesse é, justamente, a tal da legítima expectativa do titular, mencionada no inciso II, do art. 10 da LGPD. Contudo, no momento em que o tratamento de dados for baseado no legítimo interesse, somente os dados necessários para a finalidade poderão ser tratados.
Quando da assinatura da opção, existe uma expectativa razoável do titular dos dados de que as informações e dados pessoais sejam compartilhados em plataformas e sites, com redes de imobiliárias parceiras e corretores associados ou parceiros.
A lei afirma que o legítimo interesse estará presente quando o uso acontecer para apoio e promoção de atividades do controlador, bem como para proteção do titular e promoção de atividades que o beneficiem. Maior cuidado será necessário nesta modalidade de consentimento considerando o alto grau de subjetividade que a Lei determina, em seus conceitos abertos, permitindo interpretações diversas, a depender da área e das atividades dos controladores.
Caso o compartilhamento seja autorizado pela base legal do legítimo interesse, significa que devem existir relações contratuais com tais parceiros que garantam a utilização de dados pessoais de maneira conforme à Lei Geral de Proteção de Dados.
Ter uma política de privacidade que dê transparência ao titular da maneira de compartilhamento de referidos dados.
Deverá haver a formulação de contratos específicos (Data Processing Agreement) a regular esses compartilhamentos, especificando os requisitos dos tratamentos, a finalidade, bem como delimitando responsabilidades nos casos de infração por uma ou outra parte.
Deverá também, serem criadas e adotadas políticas internas de condutas para funcionários e colaboradores, a fim de orientá-los quanto à necessidade de utilização de tais dados nos termos propugnados na Lei Geral, observando sempre os direitos do titular para que sejam preservados os seus direitos à privacidade e intimidade.
Realizada a venda do imóvel, cessa-se, por óbvio, qualquer legítimo interesse que antes existia para o armazenamento desses dados. Nessa ocasião, para manutenção de determinados dados, deverá ser verificada a existência de outra base legal autorizadora, tal como o exercício regular de direitos em processo judicial, especificado no inciso VI do mesmo art. 7º.
Importante providenciar um compliance que atenda a LGPD:
a) melhorias de procedimentos internos e externo de dados (gestão de dados, atualização de ferramentas de segurança, mecanismos de controle e auditoria);
b) revisão documental (contratos, normas, políticas, que envolvem todos os seus fornecedores;
c) mudança cultural (treinamentos periódicos e conscientização com corretores, colaboradores, clientes, fornecedores, parceiros).
d) Ter um profissional responsável pela área, encarregado de dados, também chamado de DPO (Data Protection Officer), que passa a reportar qualquer incidente diretamente a recém-criada ANPD – Autoridade Nacional de Proteção de Dados (do Governo Federal). Resumindo, a LGPD prevê a criação de um comitê de segurança, composto por um profissional que fará a comunicação entre a empresa, o titular e o governo.
e) Registrar tudo o que é feito com os dados, e no caso de vazamento de dados é comprovar o que foi e o que vai ser feito para contornar a situação e garantir que não acontecerá de novo. A empresa deve demonstrar a sua boa-fé.
f) Obrigação de executar rotinas de tratamento de dados, adotar medidas de segurança, técnicas e administrativas, com a finalidade de proteção dos dados pessoais contra acessos não autorizados ou de situações acidentais, como o compartilhamento, perda ou roubo de celulares por exemplo. Responsabilidade de comunicar imediatamente às autoridades e possíveis vítimas dos eventuais problemas ocorridos com o armazenamento dos dados pessoais.
Renato Cunha Carvalho Silva
Comentários