Entender quais dados a empresa possui acerca do cliente; investir em treinamento dos colaboradores; verificar a real necessidade da coleta dos dados; revisar contratos firmados com fornecedores e prestadores de serviços; e implementar e revisar procedimentos de segurança da informação.
Estas são as principais recomendações da advogada especializada em Direito Empresarial, Evelyn Macedo, para que a empresa minimize a possibilidade de ser acionada judicialmente com base na Lei Geral de Proteção de Dados (LGPD), cujas sanções administrativas entraram em vigor em 1º de agosto de 2021, a partir da criação, para esta competência, da Autoridade Nacional de Proteção de Dados (ANPD), uma espécie de agência reguladora para a tutela de dados e informações dos cidadãos brasileiros.
Membro efetivo da Comissão Especial de Privacidade e Proteção de Dados da Ordem dos Advogados do Brasil, Seccional São Paulo (OAB/SP), Evelyn participou, na tarde de 1/9/21, juntamente com o advogado Rogério Russo, mestre em Direito Comercial pela Pontifícia Universidade Católica de São Paulo (PUC/SP), de mais uma edição online da ABMI Digital, que, sob a mediação do presidente da entidade, Márcio Schneider, teve como tema “LGPD: sanções e impacto no mercado imobiliário”.
Evelyn e Rogério integram a área empresarial do escritório Elias, Matias Advogados, que reúne entre, outros expoentes do Direito, o advogado Rubens Carmo Elias Filho, responsável pela assessoria jurídica da ABMI.
Criada pela Lei 13.709, de 14/8/2018, a LGPD entrou em vigor a partir de 14/8/2020, com suas sanções passando a valer a partir do 1º de agosto passado.
Rogério Russo lembrou que a LGPD vem na esteira de uma série de legislações mundiais envolvendo a proteção de dados, em especial a General Data Protection Regulation (GDPA), que regulamenta a questão no continente europeu.
“A nossa LGPD tem o objetivo de regular o tratamento de dados de pessoas naturais. São pessoas naturais que são protegidas diante do tratamento de dados por pessoas jurídicas”, frisa Rogério, lembrando que por dados pessoais entende-se toda informação relativa a nome completo, endereço, documentos pessoais, biometria ou imagens captadas por câmeras de segurança.
“Tudo isso são dados pessoais. Inclusive a LGPD trata de dados sensíveis, algo mais específico, mas que dá para identificar pessoas, como o perfil de consumidor e até mesmo o time de futebol pelo qual torce. Ou seja, qualquer dado que torne a pessoa identificada ou identificável. A LGPD se dedica apenas aos dados de pessoas físicas. As pessoas jurídicas têm de tratar da melhor maneira possível esses dados”, adverte.
‘Encarregado de dados’
Entre os dez princípios elencados pela LGPD, Rogério destaca dois, considerados mais relevantes.
“Um deles é o princípio da finalidade, ou seja, o tratamento deve se prestar a um propósito legítimo e informado ao titular dos dados. A pessoa jurídica que vai tratar os dados da pessoa física tem de ter uma finalidade legítima e específica para aquilo. Não se pode falar para a pessoa que você vai tratar seus dados de uma maneira e, no final, tratar de outra forma. Outro princípio importantíssimo é o da necessidade. Isso significa que o tratamento dos dados deverá ser limitado ao mínimo necessário para realização de sua finalidade. Não se vai ficar coletando milhares de dados”, explica Rogério.
Além dos princípios, a LGPD tem bases legais, que, na definição da advogada Evelyn Macedo, são fundamentos, hipóteses, que justificam como, para citar exemplos no âmbito do segmento de imóveis, a administradora/condomínio, a imobiliária ou a incorporadora/construtora utilizam os dados das pessoas físicas. Evelyn dá alguns exemplos
“Falemos da base legal do consentimento. Ou seja, a manifestação livre, informada e inequívoca da pessoa física, para que seja realizado o tratamento dos dados pessoais. Podemos exemplificar com um estande de vendas. Ao comercializar um produto, uma unidade, ele pega o ‘de acordo’ do titular dos dados, para que as informações dele possam ser utilizadas.”
“Também temos o legítimo interesse, ou seja, o atendimento a interesses legítimos para a coleta de informações. Um exemplo: eventualmente, para que o condomínio possa gerir a sua atividade ano dia a dia, precisa de algumas informações dos condôminos, então é totalmente justificável que haja a coleta e o compartilhamento dessas informações.”
“Outra base interessante é o cumprimento de obrigação legal ou regulatória. Casos de atendimento de requisitos legais ou obrigações regulatórias. Um exemplo prático é a necessidade de apresentação de lista de presença para registro de ata de assembleia. Você precisa dela para registrar a ata no cartório, então você tem a justificativa para usar aquele documento.”
Um aspecto teórico controverso trazido pela LGPD, segundo Evelyn, é o estabelecimento da figura de um encarregado de dados, o chamado DPO, ou Data Protection Officer.
“É a pessoa que vai ficar responsável para atuar como um canal, um elo entre a Autoridade Nacional de Proteção de Dados e os titulares dos dados. É uma figura ainda controversa. A gente está esperando orientações da ANPD, que é a autoridade que vai fiscalizar o cumprimento da LGPD, mas é o que a lei prevê. Toda pessoa jurídica que faça esse tratamento precisa destacar essa figura, essa pessoa que vai ficar encarregada de ser um canal de comunicação entre os titulares de dados, a ANPD e a empresa.”
Justificando as controvérsias e a necessidade de normas que regulamentem especificamente esse ponto, Evelyn lembra que há discussão recente, por exemplo, sobre como seria a designação desse encarregado de dados para as pequenas empresas.
“É algo, portanto, que ainda se está construindo. Entre suas funções, essa figura teria de fazer o meio de campo entre o titular dos dados e a autoridade. Atender solicitações, prestar esclarecimentos, dialogar com a Autoridade Nacional de Proteção de Dados.”
Multas de até 2% do faturamento
A partir da entrada em vigor das sanções e penalidades da LGPD, Evelyn afirma que se percebeu uma movimentação maior de empresas que até então não estavam muito atentas à questão da proteção de dados.
Mas Evelyn ressalta que apesar de as penalidades terem começado a valer só a partir de 1º de agosto, já há um movimento anterior dos titulares de dados, no sentido de pleitear direitos.
“Os cidadãos têm recorrido ao Judiciário, com atuação marcante nessa área do Ministério Público, do Procon e órgãos de defesa do consumidor. Então é uma falsa impressão essa de que as coisas começaram a acontecer só a partir de 1º de agosto. As coisas já estavam acontecendo um pouco antes”, afirma Evelyn, destacando que, entre as sanções trazidas, vale destacar três.
“A possibilidade de a empresa ser advertida, com indicação de prazo para adoção de medidas corretivas. Aplicação de multa de até 2% do faturamento do último exercício, até o limite de R$ 50 milhões por inflação. E a publicização da infração, que a depender da empresa, do grau da infração e do meio em que ela atua, pode ser muito prejudicial.”
Evelyn, porém, ressalta que, no que diz respeito a multas, “a temperatura que estamos começando a sentir da Autoridade Nacional de Proteção de Dados” passa a ideia de que, num primeiro momento, a atuação será mais no sentido de conscientizar ou de encaminhar advertências. Essa atuação, ainda no entender de Evelyn, deverá variar de acordo com nichos, como, por exemplo, empresas telefônicas e aquelas que atuam na área médica, que mexem com dados bastante sensíveis das pessoas.
Adequação é o melhor caminho
No setor imobiliário, segundo ela, o que se tem sentido é que os titulares de dados vêm se mostrado muito mais atuantes. “Em condomínios já começaram a surgir algumas reclamações. Estão aparecendo uma ou outra questão extrajudicial, com condomínios sendo notificados ou eventualmente uma incorporadora recebendo uma notificação por contato indevido de corretor autônomo.”
Até aqui, segundo um estudo feito com base em decisões judiciais proferidas de setembro de 2020 a junho deste ano, com base na LGPD, chegou-se a um número bastante significativo, de acordo com Evelyn Machado.
“Nesse período foram 598 decisões tomadas em todos os tribunais do país. Deste número, 74% são de primeiro grau e estão restritas a São Paulo. Quer dizer: são quase 600 decisões envolvendo LGPD, o que certamente está motivando mais discussão sobre o assunto. E, por serem decisões de primeiro grau, ou seja, que ainda não subiram a instância superior, ainda não houve recurso delas. Elas ainda não conseguem determinar, portanto, qual vai ser o entendimento consolidado do Judiciário a respeito da LGPD. Então a bola ainda está rolando, a gente está acompanhando qual vai ser o entendimento sedimentado a respeito da lei, mas o que a gente conseguiu perceber de tendência é que as decisões estão exigindo que se apresente essa questão de consentimento dos titulares com relação à utilização de seus dados e comprovação de danos, em caso de exposição e vazamento de dados.”
Como exemplo, Evelyn destaca, uma ação ajuizada contra uma construtora muito conhecida em São Paulo, ainda no ano passado, onde um titular de dados alegou estar sendo importunado, via ligações telefônicas, tanto por corretores, quanto por empresas prestadoras de serviços – arquitetura, móveis sob medida – por conta de informações vazadas pela empresa imobiliária. Com base na LGPD ele colocou tudo na sua petição inicial e colocou um valor de R$ 60 mil, por danos morais.
A decisão de primeiro grau foi favorável ao detentor dos dados, com a construtora sendo sentenciada a pagar uma indenização de R$ 10 mil. Mas houve recurso em instância superior e, recentemente, a decisão foi revista.
“O tribunal entendeu que não, que o mero aborrecimento do titular dos dados não implica pagamento de uma indenização por danos morais. Isso significa que ele precisaria comprovar realmente que houve dano. Acho que foi uma decisão muito sensata. Para além disso, seria necessário comprovar que houve dolo da construtora, houve uma desídia, que aqueles dados foram vazados por ela. Há elementos no processo que indicam que se você divulgou seus dados para outros corretores, em outros estantes de venda, você não pode necessariamente afirmar que a construtora X é responsável pelas ligações que está recebendo.”
Essa decisão, conforme o entendimento de Evelyn, abre o precedente de estabelecer que é necessário comprovar efetivamente a existência de danos para se obter alguma decisão favorável com base na LGPD. Isso, segundo ela, só reforça a necessidade de as empresas procurarem se adequar ao máximo às normas.
“O caminho é tentar fazer tudo da melhor maneira possível, atender tudo o que está dentro da lei, mantendo sua atividade comercial. As imobiliárias não devem parar de trabalhar, bem como as incorporadoras, construtoras, as administradoras, por conta de soluções ou penalidades que o Judiciário possa entender que são devidas. Acho que foi muito pertinente essa decisão e com certeza é algo que vai abrir um caminho alvissareiro para próximas. Mas é preciso fazer o máximo para minimizar tais impactos”, aconselha.
E tais cuidados, de acordo com Evelyn, passam basicamente por entender quais dados a empresa possui acerca do cliente, investir em treinamento dos colaboradores, verificar a real necessidade da coleta dos dados, revisar contratos firmados com fornecedores e prestadores de serviços, bem como implementar e revisar procedimentos de segurança da informação.