A lei geral de proteção de dados no setor imobiliário

Veja artigo de integrantes do Pinheiro Neto Advogados, incluindo Franco Grotti, membro do comitê jurídico do GRI Club.

30 de maio de 2019Mercado Imobiliário

José Mauro Decoussau Machado, Franco Grotti e Tally Smitas*

Soluções tecnológicas têm gerado grandes transformações na sociedade, acarretando mudanças de comportamento e incontáveis novos modelos de negócio. O setor imobiliário não é estranho a esse fenômeno e tem, da mesma forma, experimentado significativas inovações, com o surgimento de novas ferramentas e um sem número de startups. Podemos citar, como exemplos, as chamadas proptechs, que oferecem soluções na compra, venda e gerenciamento de imóveis, e as construtechs, que se utilizam de inovações para a construção civil.  

O uso de inteligência artificial, serviços de geolocalização e realidade aumentada é também bom exemplo de ferramentas promissoras, as quais pretendem tornar os processos de compra, venda e gerenciamento de um imóvel mais simples, rápidos e eficientes.

Além das inovações tecnológicas propriamente ditas, outro fenômeno é que o mercado imobiliário, cada vez mais, busca oferecer serviços e soluções convenientes ligadas aos empreendimentos, de forma a atender às crescentes demandas de um público mais dinâmico e exigente. Nesse contexto, é crucial obter e saber utilizar corretamente a informação a respeito do investidor, do público que se pretende atingir ou mesmo daqueles que são usuários ou clientes, o que representa uma vantagem competitiva importante. Porém, o uso dessas informações passa, agora, a estar sujeito a mudanças extremamente significativas.

A Lei 13.709/2018, a Lei Geral de Proteção de Dados ('LGPD'), que foi promulgada em 14.8.2018 e entrará em vigor em agosto de 2020, estabeleceu normas, direitos e obrigações minuciosas com relação ao tratamento de dados pessoais. A definição de dados pessoais é bastante ampla, alcançando qualquer informação relacionada a pessoa natural identificada ou identificável. A LGPD se aplica tanto a informações obtidas pela internet como offline (em papel), tenham sido elas obtidas por pessoa natural ou jurídica, de direito público ou privado.

Antes da LGPD, o padrão de mercado era simplesmente obter o consentimento do titular do dado, de diferentes maneiras, para coletar e utilizar a informação pessoal, o que fazia com que o seu uso futuro fosse praticamente imprevisível por parte do titular. Comercializavam-se bases de dados de forma corriqueira, com centenas de milhares de informações sobre pessoas físicas, sem muita preocupação em se verificar o que de fato se poderia fazer com elas e o que seria adequado para se respeitar o interesse do titular.

A situação era fomentada por uma legislação pouco uniforme, fragmentada em diversas leis e regulamentos, que tornava o seu controle pelas autoridades bastante difícil. As regras do jogo mudaram drasticamente.

Com a LGPD, a fim de que a informação possa ser coletada e tratada – e por tratada entende-se qualquer atividade, até mesmo manter em arquivo ou apagar dados coletados antes da entrada em vigor da nova lei [1] –, deve, necessariamente, haver o enquadramento em uma das dez bases legais previstas na lei (artigo 7º).

De forma objetiva, as hipóteses em que considera o tratamento de dados justificado são: consentimento (por escrito ou outro meio que demonstre a vontade do titular), cumprimento de obrigação legal ou regulatória, execução de políticas públicas por parte da administração pública, estudos por órgãos de pesquisa, execução de contrato, exercício regular de direito em processo judicial, proteção da vida ou incolumidade física do titular ou de terceiro, tutela da saúde, interesse legítimo do titular ou de terceiro e proteção do crédito.

Assim, imobiliárias, corretoras, empresas de gestão de vendas, fundos, loteadoras, incorporadoras e condomínios, que sempre coletaram e trataram uma grande quantidade de dados pessoais, alguns deles biométricos (classificados na LGPD como dados sensíveis), deverão, até agosto de 2020, analisar as informações que detêm para verificar quais das bases legais justifica a sua manutenção. Da mesma forma, deverão rever os documentos pelos quais atualmente obtêm dados pessoais, a fim de adequá-los aos requisitos da legislação. Autorizações genéricas, para o uso indiscriminado de dados, inclusive por terceiros, deixarão de ser admitidas.

Além disso, os dados sensíveis somente podem ser tratados quando, dentre outras hipóteses, houver o consentimento específico e destacado, devendo as finalidades de uso serem igualmente específicas. A LGPD (artigo 5º, inciso II) define como dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, dados biométricos ou genéticos, bem como aqueles referentes à saúde, entre outros.

Aquele que exerce controle sobre o dado pessoal (apontado pela LGPD como controlador [2]) poderá ainda, ainda, a depender da hipótese de tratamento dos dados [3] e das diretrizes a serem estabelecidas pela recém-criada Autoridade Nacional de Dados Pessoais (ANPD), ser obrigado a elaborar um relatório de impacto à proteção de dados pessoais, bem como justificar as razões pelas quais entende que o tratamento está sendo feito com base no seu interesse legítimo, que é uma das bases com mais grau de subjetividade.

A questão do interesse legítimo é, aliás, uma das mais inovadoras da LGPD e, talvez, seja uma das mais relevantes ao mercado imobiliário. A lei afirma que o legítimo interesse estará presente quando o uso acontecer para apoio e promoção de atividades do controlador, bem como para proteção do titular e promoção de atividades que o beneficiem. Como se pode notar, a lei se vale de conceitos abertos que permitirão interpretações diversas, a depender do setor econômico e das atividades daquele que detém a informação.

Quando, exatamente, se entenderá que uma empresa que atua no setor imobiliário pode usar os dados de seus clientes para, por exemplo, fins de publicidade ou oferecer novos produtos ou serviços? Ainda que a empresa possa justificar o uso na promoção das suas atividades, qual é o limite, o tipo de produto promovido e a frequência com que se pode promovê-lo? São perguntas em aberto, cujas respostas têm grande impacto no dia a dia das empresas, e que serão respondidas nos próximos anos pela ANPD.

Afora esse aspecto, outro ponto relevante da LGPD é que as empresas deverão indicar um encarregado para a proteção de dados (ou 'Data Protection Officer'), para liderar os processos internos de tratamento de dados e estabelecer um canal de comunicação com os titulares dos dados e as autoridades competentes.

Aqueles que violarem as normas previstas na LGPD ficam sujeitos à aplicação de sanções administrativas pela ANPD, que podem variar desde simples advertência à aplicação de multa, que, a depender da gravidade da conduta, pode chegar a R$ 50 milhões por infração. Importante mencionar que, tamanha a sua importância, a formulação e adoção de regras de boas práticas e de governança com relação à proteção e segurança dos dados pode, inclusive, servir como fator mitigante na aplicação das sanções.  

Assim, sobretudo em razão da progressiva relevância da coleta, acesso, utilização, processamento e controle de informações e dados pessoais, a LGPD trará impactos significativos para o segmento de real estate. Os atores do mercado imobiliário deverão adaptar e estruturar os seus procedimentos internos às exigências da LGPD e criar políticas de governança e compliance interno, além de elaborar políticas de privacidade específica contendo a finalidade do tratamento de dados pessoais e implementar medidas de segurança, de modo a garantir a proteção da privacidade dos titulares e, concomitantemente, o crescimento e desenvolvimento tecnológico no segmento.


[1] Segundo o artigo 5º, inciso X, da LGPD, define-se 'tratamento' como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[2] Segundo o artigo 5º, inciso VI, da LGPD, 'controlador' é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
[3] No caso de o tratamento de dados fundamentar-se no legítimo interesse do controlador, exige-se a elaboração de um relatório de impacto à proteção de dados pessoais.

José Mauro Decoussau Machado é sócio de Pinheiro Neto Advogados.
Franco Grotti é sócio de Pinheiro Neto Advogados e membro do comitê jurídico do GRI Club Real Estate Brazil.
Tally Smitas é associada de Pinheiro Neto Advogados.

 

Agenda do GRI Club Real Estate

Os temas jurídicos fundamentais ao andamento e à evolução das atividades do setor imobiliário estão sempre na pauta do GRI Club Real Estate. Confira as próximas atividades do clube no Brasil.


Este artigo é de responsabilidade do autor e não representa necessariamente a opinião do GRI Hub.