Por ADIT Brasil

A Lei Geral de Proteção de Dados Pessoais (LGPD) está, finalmente, prestes a entrar em vigor. No próximo dia 16 de agosto, a Lei 13.709, sancionada ainda em 2018, passa a valer em todo o território nacional. Da coleta à classificação, passando pelo armazenamento e uso de informações, a legislação chega inspirada na General Data Protection Regulation (GDPR), que estabelece regras aos estados membros da União Europeia. O mercado imobiliário, assim como praticamente todos os outros existentes, precisará se adaptar a uma nova realidade – uma que esteve engatinhando desde o Marco Civil da Internet, ganhou forças com os recentes escândalos políticos entre Facebook e Donald Trump e agora vai mostrar que, aquelas que já possuíam uma organização mínima dos dados de funcionários e consumidores sai na frente. Bem à frente.

“Ainda é difícil encontrar empresas que possuem certificado de ISO 27001, por exemplo. Esse certificado garante que a sua empresa cumpre com os requisitos do International Organization for Standardization (ISSO) para gestão e segurança de informação. Esse seria o primeiro passo para se ter um controle e compliance no sentido de tratamento de dados”, explica o sócio-fundador do Lima & Volpatti Advogados Associados, Leonardo Volpatti. Segundo ele, o Brasil demorou para se atualizar no âmbito do direito digital, tendo que pular várias etapas no desenvolvimento dessa adaptação. “Como a maioria das empresas no país não tem sequer esse certificado, é preocupante ver que terão de sair do zero em questão de tratamento de dados e conseguir atender os requisitos da LGPD.”

A lei se aplica a qualquer pessoa, natural ou jurídica de direito público ou privado, que realize o tratamento de dados pessoais e que preencha, ao menos, uma das seguintes hipóteses: possuir estabelecimento no Brasil, oferecer serviços ao mercado brasileiro e coletar e tratar dados de pessoas localizadas no país.

“A LGPD surge com o foco no consumidor e é específica sobre quando poderá haver o tratamento de dados, como deverá ser feito, e entrega uma espécie de manual de boas práticas que as empresas deverão seguir para estarem de acordo com a norma. Será preciso elevar muito o padrão para não serem condenadas ao pagamento de multas.”

Proteger informações de pessoas físicas ao mesmo tempo em que impõe obrigações às corporações que realizam o manejo desses dados. A LGPD visa mitigar o risco do uso indevido e eventuais brechas de segurança. De forma prática, empresas do ramo imobiliário e turístico precisarão fazer adaptações para seguir utilizando dados já cadastrados em base. Dos contratos e boletos de pagamento físicos até os arquivos de imagem e áudio digitais, tudo deverá ser mapeado dentro desse novo padrão. Volpatti explica. “Será preciso identificar e listar os dados pessoais presentes nos arquivos da empresa. Classificá-los e, a partir dessas classificações, determinar de forma expressa quem é o responsável por controlar esses dados. Determinar como eles são processados, definir e implementar práticas de governança de dados e segurança, avaliando se já houve algum vazamento desses dados e quais os riscos de isso acontecer.”

Entre as penalidades descritas na lei, o dano à reputação parece ser o mais temido. O supervisor jurídico da RCI Brasil, Rodrigo Mathias, explica como vai funcionar.

“A fiscalização, segundo a nova Lei, ficará a cargo da Autoridade Nacional de Proteção de Dados, a ANPD, órgão da administração pública federal, integrante da Presidência da República.”

Nos termos do artigo 52,  a não conformidade com a Lei  irá gerar a responsabilidade de indenizar, sendo qualquer incidente relacionado a dados pessoais um incidente de segurança da informação, passível de punições variáveis.

“Entre elas estão advertência, aplicação de multa de 2% do faturamento até o limite de R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais e eliminação dos dados pessoais”, diz. “A empresa que sofre punição será vista perante o mercado como negligente no que tange o respeito ao direito de proteção de dados, afetando potencialmente sua credibilidade”, defende. 

O que muda na rotina de loteadoras, urbanizadoras, incorporadoras e administradoras de condomínio? A forma de tratamento de todos esses dados. “A logística de coleta não deve mudar muito, mas as empresas deverão ter em mente quais dados serão coletados, por onde e quais canais são coletados, qual a finalidade da coleta, onde serão armazenados os dados, quais pessoas terão acesso e por quanto tempo será guardado”, explica Mathias. O fato é que tais mudanças não serão tão onerosas como se espera. “Acredito que existem soluções tecnológicas para todos os padrões de empresas. E se esquece que a grande maioria dos dados circulam em arquivos físicos, como armários, arquivo morto, imagem de câmeras, livros de registros etc., portanto, em alguns casos ter um sistema software sofisticado em nada adiantará”, pontua.

A saída é trabalhar uma nova mentalidade. “Regras e princípios de proteção de dados devem ser incorporados pelas empresas de forma que passem a integrar seus valores e missão. A LGPD  estabeleceu a necessidade da observância de uma série de requisitos e procedimentos internos e externos às empresas, os quais demandam multi e interdisciplinaridade para estar em adequação com a norma.”

DADOS SENSÍVEIS E COMPLIANCE

Uma das novidades da lei quando comparada à GDPR da União Europeia é a especificação dos chamados Dados Sensíveis. Por definição ele trata sobre:

Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art.5º,II, LGPD)

No geral, as hipóteses de tratamento desses dados são mais limitadas do que as dos dados pessoais comuns. “Essa classificação visou proteger tanto as crianças e adolescentes, que são vulneráveis diante do mundo digital, quanto também para evitar que haja discriminação da pessoa por conta de seus dados pessoais sensíveis”, conta Leonardo Volpatti.

A lei também obriga a criação de um Encarregado de Proteção de Dados – um profissional responsável por zelar, receber reclamações e prestar esclarecimentos aos órgãos. Nas empresas que já possuem um setor de Compliance, o cargo vem para somar. Há funcionalidades distintas. “Mas vale ressaltar que ele possui atribuições mais específicas, porque, nesse caso, será um compliance voltado à proteção de dados. Idealmente esse profissional precisa saber não somente da LGPD, mas também ter o domínio da GDPR, visto que muitas vezes há o tratamento de dados internacionais nas empresas.” O trabalho, no fim das contas, deve ser feito de forma integrada com o departamento de tecnologia da informação para garantir que a empresa siga as legislações necessárias.

O FIM DO E-MAIL MARKETING?

Comum no mercado imobiliário e turístico, o envio de e-mails martketing deve acontecer com menos frequência diante o cenário de exigências. “Primeiro que se o e-mail for utilizado para marketing será preciso ter um termo de consentimento que o consumidor concorde que os seus dados sejam tratados não somente pela sua empresa, mas também pela empresa que gerenciará o email-marketing, visto que eles receberão os dados dos usuários”, começa Volpatti. Além disso, o setor de marketing precisará trabalhar com e-mails inseridos em um  sistema de Opt In.

“Opt in é aquele sistema que as empresas usam para captar os e-mails dos clientes interessados, normalmente é uma caixa de texto dentro do site da empresa com uma mensagem de  Assine nossa Newsletter. Lá o cliente clica e preenche o cadastro com os seus dados. A tendência é que, de fato, os e-mails marketing diminuam”, explica.

Necessária? A Lei Geral de Proteção de Dados Pessoais veio como resposta ao fato de a maioria dos dados possuírem valor de mercado e serem utilizados como ferramentas para estratégias de negócios. Há prós e contras.

“Os consumidores terão mais transparência e segurança com os seus dados. O vazamento deles pode colocar em risco sua segurança, visto que muitas vezes é possível identificar residência, trabalho e preferências daquela pessoa. Ter os seus dados pessoais nas mãos erradas é um prato cheio para fraudes e crimes”, destaca. O lado negativo é que, no Brasil, a cultura de tratamento de dados ainda é precária. “Em um país que a maior parte das empresas não possui um setor específico ou sequer certificação para isso, será complicado para que as organizações atinjam os padrões da LGPD até 2021. Principalmente quando tratamos de micro e pequenas empresas”, conclui Volpatti.

---

Rodrigo Mathias, da RCI Brasil, e Leonardo Volpatti, da Lima & Volpatti Advogados Associados, integram o painel “Lei Geral da Proteção de Dados para os Mercados Imobiliário e Turístico”, ao lado de Mariângela Machado, da Focus Tranding e Andréia Moraes Mourão, do Mourão e Moraes Advogados Associados, no ADIT Juris Online – que acontece nos dias 12, 13 e 14 de agosto em formato 100%. As inscrições seguem abertas neste link.