O setor imobiliário está animado com a retomada da economia e o aumento no número de lançamentos de novos empreendimentos. Porém, superada a crise econômica que impactou o setor nos últimos anos. O inimigo agora é outro: a Lei Geral de Proteção de Dados (também conhecida como LGPD).
A LGPD entra em vigor apenas em agosto, mas já são diversos os casos em que clientes aborrecidos pelo compartilhamento não autorizado de seus dados pessoais processam judicialmente construtoras e incorporadoras.
E, embora algumas construtoras já tivessem experiência em lidar com essas queixas nos Procons ou em Juizados de Pequenas Causas. A LGPD eleva os riscos envolvidos, pois suas penalidades podem chegar a multas de R$ 50 milhões por evento ou podem resultar na eliminação de toda a base de dados da empresa. O que pode ser até pior.
Veja no artigo abaixo qual é a prática do setor que gera tais riscos. Bem como os principais cuidados que as empresas do setor devem ter para se adequar à LGPD e evitar as diversas punições que explicaremos a seguir:
LGPD no Setor Imobiliário: Uma prática comum, porém, arriscada
Há muitos anos o mercado imobiliário identificou no marketing digital uma eficiente ferramenta de prospecção. Com o amadurecimento das práticas, ampliou o alcance dessa oportunidade para todos os parceiros do setor.
Dessa forma, desde o simples visitante do stand até o efetivo comprador de um imóvel. Todos têm seus dados coletados e depois compartilhados com corretores, empresas de gestão de vendas, incorporadoras e fornecedores de todo tipo.
A partir desse momento, a pessoa começa a receber inúmeras ligações telefônicas, mensagens diretas por telefone (SMS, WhatsApp e outros) e correspondências físicas e eletrônicas (e-mails). Seja com ofertas e publicidade de móveis, de decoração, de aquecedores e serviços diversos como pintura, instalação de cortinas, entre outros.
Com a entrada em vigor da LGPD, algumas medidas deverão ser adotadas para reduzir o risco de uma autuação por violação e eventual imposição de penalidades. Conforme mostraremos a seguir.
Especifique uma finalidade
Para começar a solucionar o problema, a primeira pergunta que os responsáveis pela área de privacidade das empresas devem se fazer é sobre qual a finalidade da coleta dos dados pessoais dos seus prospects e clientes. Bem como, ser transparente com eles sobre esse propósito.
Há alguns princípios que norteiam a LGPD, tais como os princípios da necessidade e da adequação. Em razão desses dois princípios. A empresa deve analisar quais dados pessoais são necessários e quais são, de fato, adequados à finalidade almejada.
A título de exemplo, considerando que a finalidade do tratamento de dados seja para realização de cadastro do cliente ou para fins de divulgar ações de marketing. Quais seriam os dados pessoais necessários nessas situações? E-mail? Telefone? Endereço? RG? CPF? Informações financeiras?
As respostas não são óbvias, pois mesmo a simples atividade de cadastro de clientes pode variar bastante em razão do segmento da empresa. A verdade é que a maioria das empresas coleta dados em excesso e, muitas vezes, desvinculados da finalidade específica idealizada pela empresa. Fazendo uso irrestrito e por tempo indeterminado para várias finalidades.
Obtenha o consentimento dos titulares
Em seguida, identificada a finalidade que determina a coleta e tratamento de dados pessoais dos prospects e clientes, bem como quais são os dados realmente necessários para atender a essa finalidade. O próximo passo é verificar se a lei permite o tratamento de dados para essa finalidade em especial.
A primeira hipótese que a lei prevê como autorizadora para tratamento de dados pessoais é a obtenção do consentimento dos “titulares dos dados”. Que são as pessoas a quem os dados pertencem.
Ocorre que, ao contrário do que era praticado até hoje, o consentimento não poderá ser feito de qualquer maneira. A LGPD determina que o consentimento. Para ser válido, deve apresentar determinadas características, como ser uma manifestação livre, informada e inequívoca, entre outras.
No entanto, a questão mais sensível em relação ao consentimento é a sua fragilidade, uma vez que a LGPD prevê que os titulares podem revogar o consentimento a qualquer momento. Ou seja, se os titulares pedirem, a empresa não poderá mais manter seus dados arquivados ou fazer qualquer tipo de tratamento. Bem como terceiros com quem ela tenha compartilhado os dados.
Na realidade, há algumas providências que autorizam a manutenção desses dados. Porém essas estratégias adicionais serão objeto de um outro artigo especialmente dedicado a elas.
Procure outras hipóteses de tratamento
Em razão dessa fragilidade do consentimento, é recomendável que a empresa verifique, na LGPD. Outras hipóteses legais que autorizem a coleta e o tratamento de determinados dados pessoais.
De fato, a LGPD prevê outras nove hipóteses que autorizam o tratamento de dados e entre elas estão, entre outras situações. O cumprimento de obrigação legal e a execução de contrato ou procedimentos preliminares relacionados a um contrato.
Há uma hipótese que é bastante abrangente que é aquela baseada no atendimento aos interesses legítimos do controlador ou de terceiro. Todavia, dada à subjetividade do que seja considerado “legítimo”, essa é uma hipótese que tem que ser analisada e adotada com muito cuidado.
Implemente uma cadeia de custódia durante todo o ciclo de vida do dado
O ciclo de vida do dado inclui todas as etapas, desde o momento da coleta até a fase de descarte ou eliminação, passando pelo seu armazenamento, uso, tratamento, organização, compartilhamento ou qualquer outra atividade que com ele seja feita.
No entanto, é importante ter em mente que a cadeia de custódia não se limita aos domínios da sua empresa. É necessário manter o seu controle inclusive quando os dados são compartilhados com parceiros, fornecedores e até outras empresas do grupo.
Uma das razões desse controle rígido da custódia dos dados é o exercício, pelos titulares, dos direitos que a LGPD lhes garantiu. Tais como o direito de acesso, retificação ou eliminação dos seus dados pessoais.
A título de exemplo, se o titular solicitar à incorporadora que providencie a exclusão dos seus dados obtidos mediante consentimento. Não só a incorporadora deverá excluir tais dados de sua base, mas também terá que garantir que eles serão excluídos das bases de dados da construtora, da corretora e de todas as demais empresas com quem foram compartilhados.
Defina os papéis de forma clara
A LGPD criou alguns papéis de acordo com a relação das empresas com os dados pessoais dos titulares e, embora todas sejam responsáveis por garantir a proteção durante todo o ciclo de vida do dado. A responsabilidade de cada uma pode variar.
Para ilustrar, podemos utilizar uma situação que acontece muitas vezes que é a aquisição do imóvel sem intermediação. Ou seja, direto com a construtora.
Nesse caso, a construtora é considerada a “Controladora” dos dados pessoais do cliente. Pois além de ter sido a responsável pela coleta dos dados do titular. A ela compete as decisões referente ao tratamento de tais dados.
Por seu papel decisório, a empresa Controladora é a parte com maior responsabilidade em relação à proteção da privacidade dos clientes.
Por outro lado, se a construtora repassa os dados das pessoas que visitaram seu stand para uma empresa que será responsável por fazer a corretagem dos imóveis. A corretora assume o papel de “Operadora”, pois é a empresa que realiza o tratamento de dados pessoas em nome da Controladora (no caso, a construtora).
A corretora, nesse caso, não poderá compartilhar os dados com outras empresas sem a autorização da construtora, por exemplo.
Embora a responsabilidade da Operadora possa ser menor, pois age de acordo com as orientações da Controladora. A verdade é que ela pode ser responsabilizada de forma integral por qualquer violação de dados se a sua conduta não estiver de acordo com o estipulado pela Controladora.
Dessa forma, para proteger tanto a Controladora quanto a Operadora. É importante que entre elas haja um contrato estipulando, de forma clara e objetiva, os deveres e as responsabilidades de cada empresa. Seguindo os princípios da LGPD. Eventualmente, pode até tratar de medidas técnicas e organizacionais para proteger e restringir o uso dos dados.
Solucione o legado
Além de todos os cuidados acima, que são importantes para os dados pessoais que vierem a ser coletados daqui pra frente. É importante que as empresas saibam o que fazer com toda a base de dados existente até hoje.
Embora esses dados tenham sido coletados antes da entrada em vigor da LGPD. Até agosto as empresas terão que tomar as providências necessárias para regularizá-los. Sob pena de manter um verdadeiro “passivo tóxico” em sua base de dados.
E vale lembrar que, nesse artigo, estamos falando apenas dos dados pessoais dos prospects e clientes, que são objeto da prática de mercado que estamos analisando. Porém, os dados pessoais de funcionários, bem como de parceiros, fornecedores e quaisquer outros dados mantidos na empresa. Devem passar por revisão semelhante.
Implemente tecnologia no setor imobiliário
Por fim, entre as medidas que entendemos como prioritárias para esse primeiro momento de minimização dos riscos dessa prática de mercado. Recomendamos que a empresa implemente tecnologias que, direta ou indiretamente, protejam os dados pessoais dos seus prospects e clientes.
Uma tecnologia muito interessante e que já vem sendo utilizada por algumas empresas do setor imobiliário é a Blockchain. Trata-se de uma rede descentralizada que, usando criptografia e outras soluções tecnológicas, permite transparência e segurança ao mesmo tempo.
Se quiser saber mais sobre Blockchain, nossa área de tecnologia escreveu diversos artigos que estão em nosso blog.
Além disso, como é sabido, não basta uma simples política de privacidade ou um ajuste nas cláusulas dos contratos para estar em conformidade com a LGPD.
Pensando nessa situação, os projetos de adequação à LGPD que conduzimos no escritório são realizados. Muitas vezes, na companhia de um parceiro de TI que analisa a parte de segurança da informação e demais aspectos relacionados ao parque tecnológico da empresa.
Risco: aplicação das regras de direito do consumidor no setor imobiliário
Considerando o fato de que a relação entre o adquirente do imóvel e o vendedor (seja ele construtora, incorporadora ou imobiliária) pode ser considerada uma relação de consumo. A partir de agosto a prática de compartilhar dados pessoais tem o potencial de configurar não apenas uma violação ao Código de Defesa do Consumidor (CDC). Mas também uma violação à LGPD.
Embora tenhamos uma tese diferente, que exploraremos em um artigo específico. É possível que muitos juízes entendam pela possibilidade de aplicação conjunta de ambas as leis, pois o legislador deixou previsto. De forma expressa, que essa deve ser a interpretação da legislação.
A primeira situação que resulta dessa aplicação do CDC é a inversão do ônus da prova. O que também seria possível com base apenas na LGPD.
O grande problema, na situação de aplicação conjunta das leis, é que com a inversão do ônus. A empresa terá a obrigação de provar que ela não foi a responsável pelo vazamento dos dados. Ou seja, terá a missão de fazer uma prova negativa, o que é quase impossível.
A única saída para a empresa, nesse caso, será demonstrar que está em conformidade com a LGPD. Que implementou todas as medidas de técnicas e organizacionais determinadas pela lei para impedir que os dados pessoais do cliente fossem compartilhados de modo indevido.
Além disso, a aplicação do CDC pode ensejar a interpretação das cláusulas contratuais de forma mais favorável ao consumidor. De modo que se existir alguma cláusula que permita esse compartilhamento dos dados pessoais e esta não esteja de acordo como que determina a LGPD. O juiz poderá considerá-la como abusiva ou nula.
Impactos: múltiplas implicações jurídicas
Por fim, é importante ter em mente que a aplicação conjunta da lei de defesa do consumidor com a lei de proteção de dados pessoais pode ensejar múltiplas implicações jurídicas à empresa, senão vejamos:
- Penalidades administrativa previstas na LGPD. Como eliminação de toda a base de dados da empresa ou multas que podem chegar a R$ 50 milhões por evento;
- Penalidades administrativas no Procon, que pode chegar à uma multa de aproximadamente R$ 7 milhões;
- Reparação de danos causados ao consumidor, tanto materiais quanto morais. Sendo que para ações indenizatórias não há como estimar o valor da condenação. Pois cabe ao juiz decidir um valor que seja suficiente para reparar o dano de vítima e também para punir a empresa infratora;
- Penalidades impostas em sede de ações coletivas, como Ações Civis Públicas promovidas pelos Ministérios Públicos Estaduais.
É importante lembrar também do risco provável de imposição de multa diária em razão do não cumprimento de medida liminar que determine. Por exemplo, que a empresa se abstenha de repassar, vazar, vender, alugar, entregar ou doar os dados pessoais dos seus clientes.
A depender da gestão e do controle que a empresa possui sobre os dados pessoais que coleta. Estancar esse vazamento de dados pode ser uma ação impossível.
Por fim, não se deve esquecer o que, para alguns, é a maior punição para a empresa: a mancha em sua reputação e a perda da credibilidade.
De fato, se a construtora ou incorporadora ficar conhecida no mercado como uma empresa que não protege e permite o vazamento dos dados das pessoas que visitam seus stands ou que adquirem seus imóveis. É bem provável que haja uma rejeição por parte dos potenciais compradores quando virem sua marca.
Conclusão sobre a LGPD no Setor Imobiliário
Em resumo, podemos dizer que as empresas do setor imobiliário precisarão adotar providências. Para que essa prática de compartilhamento indiscriminado de dados pessoais seja regularizada. Pois os riscos são realmente altos.
No entanto, para aproveitar o aquecimento do setor imobiliário sem, contudo, ficarem expostas ao risco de multas milionárias. As empresas do setor devem procurar iniciar seu processo de adequação o quanto antes. Haja vista que a depender do tamanho da empresa ele é complexo e pode durar muitos meses.
Para uma análise mais abrangente sobre os riscos de cada empresa do setor e as soluções para afastá-los. Temos uma equipe inteira dedicada ao assunto, com profissionais especializados e certificados em proteção de dados pessoais.
Autores:
-
Os 5 principais aspectos da criação da Autoridade Nacional de Proteção de Dados
Hélio Ferreira Moraes – sócio do PK Advogados O governo anterior publicou no dia 28.12.2018 a Medida Provisória 869 (“MP 869”), que criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e alterou também alguns artigos da Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 14 de agosto de 2018). A criação […]
-
Quais São as Maiores Dificuldades Que as Empresas Enfrentarão para Implementar a LGPD?
A LGPD (Lei Geral de Proteção de Dados) vai entrar em vigor apenas em agosto de 2020. São tantos detalhes para os quais as empresas precisam se atentar, que é essencial começar o processo a sua implementação. Ou seja, as empresas precisaram rever profundamente todas as formas pelas quais coleta, armazena e processa dados pessoais. […]
3 comments on Setor Imobiliário – Práticas que representam riscos a violação à LGPD