Escolar Documentos
Profissional Documentos
Cultura Documentos
Governança em Proteção
de Dados Pessoais na
Incorporação Imobiliária
Agosto de 2020
índice 2
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 3
ÍNDICE
Apresentação ..............................................................................................................................05
O mercado de incorporação e a importância dos dados .....................06
Contexto de legislações de proteção de dados.............................................08
Aplicação da LGPD ...................................................................................................................10
PARTE I 13
1. Proteção de dados no mercado de incorporação.................................14
1.1. Captação de clientes..................................................................................................15
1.2. Estande de vendas...................................................................................................20
1.3. Confecção de contrato e análise de crédito.........................................22
1.4. Pós-venda...........................................................................................................................24
4. Governança de privacidade......................................................................................37
4.1. Boas práticas de organização e funcionamento.............................38
4.2. Políticas...............................................................................................................................39
4.3. Ações educativas e mecanismos internos de supervisão......41
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 4
PARTE II 42
5. Conceitos ...............................................................................................................................43 10. Encarregado (DPO).....................................................................................................86
6. Princípios................................................................................................................................46
11. Segurança da Informação.......................................................................................89
7. Bases legais...........................................................................................................................52 11.1. Normas técnicas e padrões de segurança........................................90
7.1. Bases legais para Dados Pessoais..............................................................53 11.2. Incidentes......................................................................................................................92
7.1.1. Legítimo interesse................................................................................................56
7.1.2. Consentimento........................................................................................................60 12. Supervisão, responsabilização e sanções ..............................................93
7.2. Bases legais para Dados Sensíveis...........................................................63 12.1. ANPD ................................................................................................................................94
7.2.1. Garantia da prevenção à fraude e à segurança 12.2. Procon, Senacon e Ministério Público.................................................95
do titular....................................................................................................................................65 12.3. Contencioso em proteção de dados.....................................................95
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 5
Apresentação
O Brasil, seguindo uma tendência mundial de regulação do uso de
dados pessoais, aprovou em agosto de 2018 a Lei Geral de Proteção
de Dados Pessoais (LGPD – Lei nº 13.709/2018). Essa lei impacta to-
dos os setores da economia, incluindo o setor público, exigindo que
organizações revisem suas práticas e adaptem seus processos.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 6
O mercado de
incorporação e
a importância
dos dados
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 7
1
Lei nº 6.530/1978, art. 3º.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 8
Contexto de
legislações de
proteção de
dados
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 9
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 10
Aplicação
da LGPD
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 11
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 12
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 13
PARTE I
Esta primeira parte busca oferecer diretrizes
práticas a serem aplicadas às principais ativi-
dades de negócio das incorporadoras, inician-
do pelos dados dos clientes e, em seguida,
avaliando relações com colaboradores e for-
necedores. Finalizando esta primeira sessão,
consta uma análise de aspectos de governan-
ça em proteção de dados.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 14
1
Proteção de
dados no
mercado de
incorporação
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 15
1.1. Captação de
clientes
O contato da incorporadora com possíveis clientes
pode se dar por iniciativa do próprio titular ou por
campanhas e análise de dados das incorporadoras.
No primeiro caso, podemos mencionar as variadas
formas de contato disponíveis, de contato telefônico
à disponibilização e uma plataforma de chat online
com corretor.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 16
A incorporadora deve verificar quais dados serão Especificamente em relação aos formulários de con-
necessários coletar, onde eles serão armazenados e tato, é importante que os formulários coletem apenas
como o titular pode receber informações sobre a po- os dados estritamente necessários, deixem clara a fi-
lítica de privacidade da incorporadora. Uma possibi- nalidade de coleta de cada dado e tenham link para
lidade é instruir os atendentes a indicar onde encon- a política de privacidade da incorporadora, além de
trar a política de privacidade da empresa no site, por avisos de privacidade, se necessário.
exemplo, ou, em caso de contato por escrito, disponi- Quanto aos chats, as plataformas costumam ser ope-
bilizar um aviso de privacidade no momento da cole- radas por empresas terceiras e a incorporadora deve
ta dos dados. certificar-se se essas empresas têm acesso aos dados
e se nos contratos há disposições específicas de pro-
Caso a pessoa responsável por atender o prospect teção de dados.
seja um terceiro – como um corretor ou um atenden-
te terceirizado – a incorporadora deve considerar fir- Além disso, a incorporadora deve fornecer ao titular
mar com esses indivíduos termos específicos de pro- informações suficientes sobre o tratamento dos da-
teção de dados e confidencialidade. Além disso, por dos pessoais. Enumeramos abaixo possíveis mensa-
serem terceiros não subordinados à incorporadora, a gens para incluir em cada uma dessas situações:
empresa pode adotar técnicas de pseudonimização
ao compartilhar esses dados ou minimizar os dados
que serão compartilhados.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 17
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 18
/ Na prática
/ Com os dados recebidos ou coletados diretamente
do prospect, a incorporadora poderá (i) responder a
! Caso a incorporadora precise compartilhar esses
dados com terceiros, como imobiliárias ou corre-
demanda do prospect; (ii) cadastrar o prospect em
tores, a empresa deve (i) verificar quais dados pre-
sua base de dados, conforme interesse demonstrado
cisam ser compartilhados para o atendimento; (ii)
na mensagem; (iii) enviar novas mensagens relacio-
certificar-se de que os terceiros não utilizarão os
nadas a esse interesse, exceto se o titular se opor ao
dados para outras finalidades; (iii) avaliar a pos-
seu recebimento.
sibilidade de pseudonimizar os dados antes do
compartilhamento. Podem ser adotadas tecnolo-
/ O formulário de contato do site deve perguntar gias de mascaramento de dados pessoais, espe-
como o prospect prefere ser contatado (telefone, cialmente números de telefone, permitindo que o
e-mail, mensagens de texto etc.) e, a partir da respos- corretor entre em contato sem ter acesso ao nú-
ta, requerer apenas o dado necessário para realizar mero de telefone6 do prospect.
aquele contato.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 19
/ Marketing digital
A LGPD não proíbe a realização de marketing digi- realizar suas atividades. Essas condições também
tal. Pelo contrário: a base legal do legítimo interesse devem ser refletidas contratualmente.
pode ser uma forte aliada das empresas no momen-
to da captação de novos negócios. O uso indevido de Caso a incorporadora permita que terceiros, como
dados, como a aquisição de mailings de fonte des- corretores, alimentem o software de gestão de
conhecida e sem base legal adequada, já é ilegal7 e relacionamento com o cliente (CRM), sugerimos
continuará vedado pela legislação. As incorporadoras adotar as seguintes medidas para mitigar riscos:
devem adotar uma postura proativa para minimizar o
uso de dados de fontes não confiáveis ou que não te- (i) Incluir um campo para o corretor inserir a fon-
nham rastreabilidade, além de trabalharem na cons- te do dado (ex.: visitante do estande; chat online;
cientização dos terceiros que acessam suas bases de contato pessoal; base de dados de terceiro). Caso
dados. seja base de dados de terceiro, indicar qual o ter-
ceiro;
A incorporadora deve verificar se utiliza serviços de
terceiros – como agências – para auxiliar no desenvol- (ii) Inserir um aviso relembrando o corretor sobre
vimento da estratégia e operacionalizar suas campa- a necessidade de cumprir com as regras de pro-
nhas digitais. Caso positivo, é preciso averiguar se há teção de dados e que contatos advindos de fontes
compartilhamento de dados de prospects ou clientes ilícitas ou inadequadas serão removidos; e
com a agência e como esse compartilhamento ocor-
re. Mais uma vez, técnicas de pseudonimização po- (iii) Em casos potencialmente ilícitos (ex.: inserção
dem ser adotadas para minimizar o risco do compar- cuja fonte é base de dados de terceiro não identi-
tilhamento, além da adoção de cláusulas contratuais ficado), pedir maiores detalhes ao corretor ou ex-
específicas. cluir o dado.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 20
1.2. / Na prática
vendas
gere-se que as incorporadoras:
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 21
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 22
1.3.
O Comprador recebeu e está ciente da Política de Pri-
vacidade da [incorporadora], cujas cláusulas fazem
parte deste contrato. O Comprador compreende que,
contrato e análise
dados de identificação (como nome completo, estado
civil, profissão, RG, CPF) e dados relativos a endereço
de residência, além de dados referentes a renda. Os
de crédito dados são necessários para a execução do objeto do
Contrato ou para atender a interesses legítimos da [in-
corporadora], sempre que estes não se sobrepuserem
Caso o prospect decida adquirir uma unidade da in-
aos direitos garantidos ao Comprador.
corporadora, mais dados serão necessários para for-
malizar o negócio. Legalmente, diversos dados são
§ 1º A [incorporadora] se compromete a tratar os Da-
necessários para elaborar o contrato, realizar a análise
dos Pessoais do Comprador de acordo com a política
de crédito, possibilitar o financiamento e, futuramen-
de privacidade disponibilizada. Ainda, quando houver
te, firmar a escritura de compra e venda. Para endere-
necessidade, a [incorporadora] poderá compartilhar
çar esses aspectos, recomenda-se a inclusão de uma
os dados pessoais com seus fornecedores, parceiros
cláusula de proteção de dados nos contratos padrão,
órgãos da Administração Pública ou terceiros autori-
conforme exemplo ao lado.
zados para que a [incorporadora] ou tais terceiros pos-
sam resguardar seus direitos em relação às obrigações
Nessa etapa de fechamento do negócio, é comum que
aplicáveis.
a incorporadora faça cópias de documentos, peça para
que o cliente preencha formulários, forneça certidões e
§ 2º Caso o comprador tenha qualquer dúvida em rela-
comprovantes de renda, entre outros. Além disso, é pos-
ção ao tratamento de seus Dados Pessoais pela [incor-
sível que terceiros elaborem os contratos.
poradora] ou queira requerer o exercício de qualquer
direito, este poderá utilizar os canais disponíveis para
tanto, nos termos da Política de Privacidade.
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 23
/ Na prática
De forma a ter um nível mínimo de adequação, su- Caso a incorporadora queira melhorar seus contro-
gere-se que as incorporadoras: les e nível de proteção e dados, além das medidas
acima, sugere-se a adoção das seguintes práticas:
(i) Verifiquem se são necessárias cópias de documen-
tos além dos dados inseridos nos formulários e, em (i) Implementar tecnologia para recebimento de do-
caso positivo, armazenem-nas em local seguro; cumentos, em que o próprio cliente pode realizar o
upload dos documentos necessários, sem necessida-
(ii) Instruam terceiros que recebam estes documen- de de enviá-los por e-mail; e
tos a armazená-los no local correto e excluam cópias
eventualmente recebidas por e-mail ou celular; (ii) Criar uma central de privacidade para os clien-
tes, que poderão acessar seus dados pessoais, reti-
(iii) Informem o titular sobre a existência de decisões ficá-los e verificar os terceiros com quem os dados
automatizadas, se houver, especialmente relativas à foram compartilhados. Essa central pode ser uma
análise de crédito; funcionalidade do portal do cliente, caso exista.
(iv) Tenham cláusulas contratuais específicas de pro- Concluída a venda, o prospect passa a ser um
teção de dados no contrato de compra e venda e com cliente e outras atividades de tratamento de da-
os terceiros que acessam os dados pessoais; dos se iniciam, como cobrança, entrega de chaves,
lavratura da escritura e assistência técnica. Nesse
(v) Forneçam de forma facilitada informações sobre os ponto, o contato do cliente passa a ser com a área
terceiros com quem a incorporadora irá compartilhar de relacionamento com o cliente da incorporado-
os dados, tais como instituições financeiras, securitiza- ra e vê-se a diminuição do contato com o corretor
doras, gestoras de condomínio e seguradoras; e de imóveis. Por outro lado, vislumbram-se novos
terceiros na cadeia, como instituições financeiras,
(vi) Reforcem junto aos terceiros a importância de administradoras de condomínio, empresas que re-
manter os dados em sigilo, destacando que o com- alizam reparos e assistência técnica, entre outros.
partilhamento com pessoas não autorizadas pode
ensejar responsabilidades.
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 24
1.4. Pós-venda
/ Na prática
De forma a ter um nível mínimo de adequação, sugere-
se que incorporadoras:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 25
2
Proteção de
dados de
colaboradores
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 26
2.1.
Os colaboradores são peças-chave para o sucesso do
programa de governança em proteção de dados da
empresa. Ao mesmo tempo em que atuarão direta-
mente nos processos de tratamento de dados pesso-
ais, são titulares de dados pessoais tratados pela in-
Recrutamento e
seleção
corporadora.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 27
/ Na prática
Em relação ao processo de recrutamento, destacamos os
seguintes pontos de atenção em relação à proteção de da-
dos:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 28
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 29
/ Na prática
Quanto ao processo de seleção, destacamos os
seguintes pontos de atenção em relação à prote- 2.2.
Admissão
ção de dados:
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 30
2.3.
de trabalho e outras;
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 31
/ Na prática
Quanto ao monitoramento de empregados, recomenda-se:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 32
2.4. / Na prática
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 33
3
Fornecedores,
parceiros e
terceiros em
geral
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 34
É natural que empresas atuem em conjunto com Uma cláusula adequada deve garantir, em geral,
parceiros e fornecedores para melhorar a eficiência que a empresa:
de seus serviços. É o caso das imobiliárias parceiras,
das administradoras de condomínio e das empreitei- (i) tratará os dados apenas para as finalidades do con-
ras, por exemplo. Na contratação desses terceiros, é trato, conforme instruções da incorporadora;
importante que a incorporadora se certifique de que
haja um nível mínimo de adequação – o que pode ser (ii) informará a incorporadora imediatamente caso
feito por meio de um checklist prévio à contratação receba solicitações de exercício de direitos de titula-
– e inclua cláusulas específicas a esse respeito nos res ou tenha ciência de incidentes;
seus contratos. Tanto o nível de adequação quanto a
complexidade das cláusulas deve ser verificada caso (iii) atenderá, conforme instruções da incorporadora
a caso, considerando o volume e a criticidade dos da- os pedidos de direitos de titulares;
dos a que o terceiro terá acesso.
(iv) adotará medidas de segurança da informação
adequadas à criticidade dos dados tratados;
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 35
3.1.
Vendedores de
Do outro lado, a incorporadora também deve consi-
terrenos
derar que os terceiros e seus empregados são titu-
lares de dados pessoais e todos os princípios e dis- A relação com os proprietários de terrenos também deve
posições legais se aplicam. Para dar transparência e seguir todos os princípios e requisitos da lei. Destacam-se
prestar informação, recomenda-se elaborar uma po- abaixo alguns cenários e pontos de atenção.
lítica de contratação de fornecedores para tratar so- (i) Contato proativo da incorporadora. Caso a incorporado-
bre a forma de tratamento dos seus dados pessoais. ra tenha interesse em um terreno ou imóvel específico, ela
Uma política específica para corretores é fortemen- pode contatar o proprietário ou o corretor responsável, se
te recomendada, a qual pode ser disponibilizada em houver. Esse contato inicial pode se dar com base no legítimo
diversos canais de contato, inclusive nas páginas de interesse da incorporadora, demonstrada a expectativa do
cadastro da incorporadora, se houver. proprietário. Se o imóvel estiver anunciado para venda, essa
expectativa é mais clara. Caso não haja clara comunicação da
intenção de venda, a incorporadora pode realizar um conta-
to, mas deve evitar insistir caso não haja resposta ou negativa.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 37
4
Governança
de privacidade
As incorporadoras, por relacionarem-se com diversos parceiros, for-
necedores e colaboradores, apresentam estrutura complexa de tra-
tamento de dados pessoais. A criação e implementação de um pro-
grama de governança em privacidade e proteção de dados revela-se
medida adequada para garantir a internalização da LGPD no dia a dia
de atividades, estabelecendo as melhores práticas para o tratamento
de dados pessoais de acordo com o volume de operações, a escala e a
estrutura da incorporadora, assim como o risco de danos aos titulares.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 38
/ Na prática
4.1. Boas
De forma geral, o programa deve:
funcionamento
(ii) ser aplicável a todo o conjunto de dados pessoais
que estejam sob controle da incorporadora, indepen-
dentemente do modo de coleta;
O objetivo de estruturar um programa de go-
vernança em privacidade e proteção de dados (iii) adequar-se à estrutura, à escala e ao volume das
é definir padrões para as atividades da incor- operações;
poradora que dependam do uso de dados pes-
soais, documentá-las e tornar possível a verifi- (iv) estabelecer políticas e salvaguardas adequadas
cação periódica dessas práticas.
com base em processos de avaliação sistemática de
impactos e riscos à privacidade;
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 39
4.2. Políticas
(v) visar ao estabelecimento de uma relação de
confiança com os titulares de dados pessoais,
por meio de atuação transparente e que asse-
gure mecanismos de participação; A consolidação de um programa de governança em
privacidade e proteção de dados passa, necessaria-
(vi) estar integrado à estrutura geral de gover- mente, pelo desenvolvimento e implementação de
nança da incorporadora, estabelecendo e apli- políticas internas e externas, incluindo a atualização
cando mecanismos de supervisão internos e das já existentes. O sucesso do programa dependerá
externos; de (i) revisão periódica do programa de governança,
com definição de metodologia de revisão, equipe res-
(vii) contar com planos de resposta a incidentes ponsável e mecanismos para comunicação interna do
e procedimentos de remediação; e resultado; e (ii) treinamentos e conscientização, com
definição de periodicidade, formatos, público alvo e
(viii) ser atualizado constantemente com base conteúdo abordado.
em informações obtidas por meio de monitora-
mento contínuo, avaliações periódicas e novos
preceitos regulatórios.
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 40
/ Na prática
Devem ser elaboradoras documentos e políticas (v) Política de Privacidade Interna (recursos huma-
relacionados a: nos), com informações relacionadas ao tratamento
de dados de colaboradores, além de uma política es-
(i) Política de Privacidade e Proteção de Dados Pes- pecífica para corretores associados, se houver;
soais, identificando e detalhando as atividades de
tratamento realizadas pela incorporadora; (vi) Política de Retenção e definição do ciclo de vida
dos dados, com regras para armazenamento, aces-
(ii) Política de Segurança da informação, continuida- so, retenção e descarte de dados pessoais tratados;
de dos negócios e Manual de Resposta a Inciden-
tes, de viés mais técnico, estabelecendo os padrões (vii) Política de Cookies e tecnologias similares, es-
e regras de segurança adotados pela incorporadora pecialmente para sites e aplicativos, definindo as
e as ações a serem tomadas no caso da ocorrência tecnologias e regras de utilização; e
de incidentes;
(viii) Modelo de Relatório de Impacto à Proteção de
(iii) Política de Exercício de Direitos dos Titulares, Dados Pessoais, com definição das situações que re-
estabelecendo os canais de comunicação, equipes querem sua elaboração, metodologia a ser aplicada
responsáveis, fluxos internos e procedimentos para e regras para armazenamento e consulta.
registro e atendimento de pedidos;
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 41
/ Na prática
Tais ações devem transmitir a mensagem e os parâmetros
ideais de privacidade para toda a empresa, podendo ser
internos de
criação de grupos de discussão sobre temas e aconteci-
mentos do mundo da privacidade e proteção de dados,
informes constantes e ativos etc.
supervisão / Exemplos:
No contexto do desenvolvimento do programa
de governança em privacidade e proteção de da- / Antes do lançamento de um empreendimento, os corre-
dos, a incorporadora deve elaborar e implementar tores parceiros podem receber treinamento online sobre
ações educativas e de conscientização de seus co- proteção de dados, abordando em detalhes o programa
laborares. de governança em privacidade e proteção de dados espe-
cífico da incorporadora. Isso contribuirá para que o aten-
dimento a clientes seja realizado em sincronia com os as
regras e valores da incorporadora.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 42
PARTE II
Nesta parte apresentaremos os princi-
pais conceitos da lei, indicando exem-
plos e formas de cumprir as regras de
proteção de dados.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 43
5
Conceitos
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 44
5.2. Dado pessoal sensível: categoria de dado pessoal que, por re-
velar características da esfera íntima do indivíduo e potencializar situações
discriminatórias, requer proteção especial. Essa categoria inclui dados so-
bre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato, saúde, vida sexual, dentre outros.
5.3. Dado anonimizado: tipo de dado que não pode ser vinculado
ao titular. A anonimização, processo que deve contar com a utilização de
meios técnicos razoáveis e disponíveis, impossibilita a reidentificação dos
dados pessoais ou a individualização do titular. Em razão disso, os dados
anonimizados não são considerados dados pessoais e estão fora do esco-
po da LGPD.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 45
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 46
6
Princípios
A LGPD estabelece dez princípios que devem ser observados
em todas as atividades de tratamento de dados pessoais. A
adequação de um produto ou processo deve atentar-se ao
atendimento a esses dez princípios e identificar uma base le-
gal9 que autorize o tratamento do dado pessoal. A análise pri-
vacy by design de um processo ou produto busca justamente
verificar a conformidade em relação aos princípios de prote-
ção de dados pessoais. Apresentaremos estes dez princípios
por meio de uma análise privacy by design10 do seguinte caso:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 47
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 48
Livre acesso A incorporadora deve garantir A incorporadora deve ter meios A Incorporadora XYZ indica na
aos titulares consulta facilitada e canais de contato dedicados ficha de cadastro o canal por
e gratuita sobre a forma e a para que os titulares possam meio do qual o cliente pode ter
duração do tratamento de acessar ou requerer o acesso a acesso aos seus dados ou obter
dados pessoais, bem como seus dados pessoais. informações sobre a duração
sobre a integralidade de seus do tratamento, como tempo de
dados pessoais. guarda do cadastro.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 49
Transpa- Os titulares devem receber A incorporadora deve adotar A Incorporadora XYZ incluiu na
rência informações claras, precisas e medidas para informar o ficha de cadastro um aviso de
facilmente acessíveis sobre os titular sobre o tratamento de privacidade indicando finalidade,
tratamentos de dados pessoais. seus dados pessoais, como (i) meio de tratamento, terceiros
just-in-time notice11 no caso com quem os dados serão
de cadastros eletrônicos; (ii) compartilhados (incluindo a
treinamento dos responsáveis imobiliária), tempo de guarda,
por coletar dados pessoais; canal de contato e link para
(iii) disponibilização de um política de privacidade – ou outro
canal de contato para que meio de consultá-la.
os titulares possam requerer
informações adicionais.
11
Just-in-time notices são breves avisos de
privacidade que aparecem conforme o titu-
lar avança no preenchimento dos campos.
Ex.: vamos compartilhar seu nome com o
corretor para atendimento aqui no estande.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 50
Segurança A incorporadora deve Este princípio está diretamente A Incorporadora XYZ mapeou
utilizar medidas técnicas relacionado às recomendações todo o percurso do dado do
e administrativas aptas a do item 10. deste Guia. De cliente dentro do estande, desde
proteger os dados pessoais de forma geral, a incorporadora a recepção até a finalização do
acessos não autorizados e de deve mapear os dados tratados atendimento, eliminando acessos
situações acidentais ou ilícitas e segmentá-los de acordo com desnecessários.
de destruição, perda, alteração, sua sensibilidade e criticidade,
comunicação ou difusão. implementando medidas A Incorporadora XYZ
de segurança adequadas e implementou medidas de
proporcionais. segurança, incluindo controle
de acesso, dupla autenticação e
registro de acessos ao sistema de
cadastro.
Prevenção A incorporadora deve adotar A incorporadora deve mapear Ciente do risco de o cliente ser
medidas no sentido de prevenir e registrar os principais riscos importunado por terceiros que
a ocorrência de danos em a que o titular está sujeito tiveram o acesso ao cadastro de
virtude do tratamento de dados em razão do tratamento de forma indevida – como outras
pessoais. dados realizados e indicar imobiliárias e fornecedores de
as medidas adotadas para móveis – a Incorporadora XYZ
prevenir a ocorrência de danos adotou medidas de segurança
decorrentes da materialização para minimizar esse risco.
do risco.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 51
Não-discrimi- A incorporadora não deve A incorporadora não deve A Incorporadora XYZ decidiu
nação tratar dados pessoais para fins tratar dados pessoais ou segmentar a base de dados dos
discriminatórios, ilícitos ou utilizar o resultado de uma clientes em grupos distintos
abusivos. atividade de tratamento para de acordo com seu perfil e
discriminar os titulares. interesse, sem considerar critérios
discriminatórios.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 52
7
Bases legais
Os dados pessoais, triviais ou sensíveis, só podem ser tra-
tados com a utilização de pelo menos uma das hipóteses
previstas na LGPD – tais hipóteses são popularmente co-
nhecidas como “bases legais”.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 53
7.1.
Bases legais para
Dados Pessoais
A LGPD prevê dez bases legais para o tratamento de dados
pessoais. Considerando as particularidades do mercado de
incorporações, seis12 delas merecem destaque:
12
Além das bases legais destacadas, a LGPD prevê outras quatro hipóteses para
o tratamento de dados: (i) pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de políticas públicas previstas
em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres; (ii) para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais; (iii) para a proteção da
vida ou da incolumidade física do titular ou de terceiro; e (iv) para a tutela da saú-
de, exclusivamente, em procedimento realizado por profissionais de saúde, servi-
ços de saúde ou autoridade sanitária.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 54
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 55
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 56
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 57
7.1.1.
Legítimo
interesse
O legítimo interesse é uma base legal aberta que permite a contro-
ladores e operadores tratarem dados pessoais para situações con-
cretas que não sejam proibidas por lei e que não conflitem com
direitos e liberdade individuais dos titulares. Para ser válido, esse tra-
tamento deve ter como referências uma finalidade legítima, uma
expectativa aceitável do titular e deve ocorrer somente com o uso
de dados necessários, dando transparência ao titular e observando
também seus direitos, previstos na LGPD.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 58
Condições Essenciais
/ Na prática
Para justificar o tratamento com base / Necessário verificar se a atividade de tra-
no legítimo interesse é necessário que tamento a ser realizada envolve direitos
algumas premissas sejam atendidas e liberdades fundamentais do titular e se
pelo controlador – tais premissas po- esses direitos prevalecem em relação aos
dem ser organizadas em Condições Es- interesses do controlador.
senciais e Condições de Validade:
/ O uso do legítimo interesse sempre deve
ser feito com fundamento em uma situa-
ção concreta.
x
Caso prevaleçam direitos e liberdades fun-
damentais do titular ou se não for identi-
ficada uma situação concreta que revele
a necessidade de tratamento de dados, a
base legal do legítimo interesse não pode-
rá ser utilizada.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 59
Condições de Validade
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 60
/ Na prática
7.1.2. (i) A não utilização dos dados pessoais do titular para
Consentimento
a finalidade determinada deve ser a única consequ-
ência de eventual recusa do consentimento pelo ti-
tular;
Para utilizar o consentimento - manifestação livre, in-
formada e inequívoca do titular de dados, autorizan- (ii) O titular deve receber informações sobre a possibi-
do o tratamento para finalidades específicas - o con- lidade de não fornecer seu consentimento, incluindo
trolador deverá se atentar para o atendimento dos explicação sobre as eventuais consequências de tal
seguintes requisitos: recusa, e ter a possibilidade de revogar o consenti-
mento já fornecido; e
Livre:
(iii) Situações de assimetria de poder entre o contro-
a manifestação do titular deve ser uma ação espon- lador e o titular, como no caso da manutenção das
tânea, que não seja objeto de pressão ou ameaça de relações existentes entre a incorporadora e seus cola-
nenhuma natureza. O titular deve ter a opção de não boradores - relação trabalhista e/ou de prestação de
dar o seu consentimento para a finalidade específi- serviço – requerem maior atenção. Isso porque pode
ca almejada pelo controlador, sem que isso acarrete ser argumentado que na maioria das situações não
consequências negativas além daquelas das quais a existiria possibilidade de recusa sem potenciais con-
ausência de consentimento derive diretamente. sequências negativas aos colaboradores, o que faria
com que eventual consentimento solicitado não fos-
se considerado livre. No entanto, em casos excepcio-
nais, havendo efetiva possibilidade de recusa por par-
te do colaborador e sem possibilidade de existirem
consequências negativas a este (como nos casos de
autorização de uso de imagem de colaboradores para
a elaboração de materiais institucionais), o consenti-
mento pode vir a ser considerado livre.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 61
Informado: Inequívoco:
o titular deve, no momento do fornecimento do o consentimento só será considerado legítimo quan-
consentimento, ter acesso a todas as informações do houver demonstração da efetiva manifestação de
relevantes sobre o tratamento, as quais podem ser vontade do titular - isto é, por meio de uma ação afir-
fornecidas por meio da Política de Privacidade da mativa de sua parte.
incorporadora.
/ Na prática
/ Na prática
É recomendável que o controlador tenha condições
(i) É recomendável apresentar, no contexto da ob- de verificar se o titular realizou alguma ação afirmati-
tenção do consentimento do titular, informações va no fornecimento do consentimento, como assina-
claras e objetivas a respeito do tratamento do qual tura em um termo de consentimento em papel ou a
o consentimento depende, incluindo, por exemplo, seleção voluntária de um checkbox em sistemas ele-
quais dados pessoais serão tratados, com quais ter- trônicos (quando o titular estiver devidamente identi-
ceiros tais dados serão compartilhados e qual será ficado/autenticado). A ideia de “concordância tácita”
a finalidade do tratamento e compartilhamento de com termos de uso, regimentos internos ou com uma
tais dados. política de privacidade disponibilizada pela incorpo-
radora e não necessariamente validada pelos titulares
não poderá ser considerada uma ação afirmativa de
(ii) Ao longo do processo de obtenção do consen-
fornecimento de consentimento.
timento, uma boa prática são as chamadas just-in-
-time notices, em que são apresentadas “pílulas de
informação” ao titular; da mesma forma, práticas de
consentimento granular (diferentes checkboxes ao
invés de somente um) são também boas práticas;
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 62
Privacy Dashboards
São áreas do site ou aplicativo do controlador, que permitem
o exercício dos direitos dos titulares de forma facilitada e intui-
tiva, por meio de uma CMP e/ou outras soluções de software
conectadas a essa página.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 63
7.2.
Bases legais para
Dados Sensíveis
Quando o tratamento envolver dados sensíveis, a LGPD privilegia o
uso da base legal do consentimento, devendo as demais bases ser
aplicadas apenas na impossibilidade de obtenção de consentimen-
to e exclusivamente quando o tratamento for imprescindível para o
atingimento das finalidades pretendidas.
13
A LGPD prevê, para além do consentimento e da garantia da prevenção à fraude e à
segurança do titular, a possibilidade de tratamento de dados sensíveis nas seguintes hipó-
teses: (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) tratamento
compartilhado de dados necessários à execução, pela administração pública, de políticas
públicas previstas em leis ou regulamentos; (iii) realização de estudos por órgão de pes-
quisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; (iv)
exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e
arbitral; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; e (vi) tutela
da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 64
Consenti- Para dados sensíveis, além dos / Caso a incorporadora deseje iniciar um pro-
mento requisitos mencionados no item 4.1.2., grama de incentivo à prática de atividades
o consentimento também deve ser físicas entre seus colaboradores e, para tan-
destacado. to, necessite coletar e compartilhar dados de
saúde com uma consultoria especializada,
O destaque está relacionado à deverá, no momento da adesão, apresentar
necessidade de se reservar espaço
ao colaborador as regras do programa e co-
dedicado (seja no contexto de um termo,
letar o respectivo consentimento destacado
autorização, contrato ou até de uma
relação verbal) exclusivamente para que o para o tratamento de dados sensíveis.
titular possa manifestar, de forma positiva,
a sua vontade de autorizar o tratamento
de seus dados sensíveis para finalidades
informadas.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 65
/ Na prática
7.2.1. (i) Finalidade de garantia da prevenção à fraude e à se-
Garantia da gurança do titular: o objetivo primordial do processo deve
ser a segurança do próprio titular, não do controlador. Por-
à fraude e à
cabilidade da base legal.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 66
8
Direitos dos
titulares
A LGPD trouxe uma série de direitos que os titulares podem
requerer aos controladores dos dados pessoais. Alguns
desses direitos decorrem do cumprimento dos princípios
– já analisados no item 0 deste Guia – e outros da correta
aplicação das bases legais, conforme avaliado no item 0.
Neste tópico, vamos analisar os direitos previstos no Capítulo
III da LGPD, denominado “dos direitos do titular”. O objetivo
é analisar cada um desses direitos, indicando seu escopo e
possíveis limitações.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 67
Recebimento de Receber cópia Aplicável quando a base art. 19, § 3º Não há previsão legal
cópia integral integral dos dados legal for consentimento ou
tratados pela execução de contrato.
incorporadora.
Poderá haver limitações
baseadas na proteção
do segredo comercial e
industrial, conforme o caso.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 68
Correção Corrigir os dados Aplicável ao tratamento art. 18, III Não há previsão legal
incompletos, inexatos baseado em qualquer
ou desatualizados base legal.
sob controle da
incorporadora, a A incorporadora deve
pedido do titular. certificar-se de que
o titular apresenta
informação correta com
seu pedido de correção.
Anonimização, Anonimizar (passar o Aplicável quando os da- art. 18, IV Declaração simplificada:
bloqueio ou dado por um processo dos forem desnecessários, imediata
eliminação que não permita mais excessivos ou tratados em
à incorporadora a desconformidade, como Declaração completa: 15
identificação do titular); quando não há mais uma dias
bloquear (tornar o dado base legal válida (ex.: op-
inacessível) ou eliminar t-out em lista de e-mail
(excluir o dado da base). marketing criada com base
no legítimo interesse).
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 69
Portabilidade Possibilidade de Aplicável, a princípio, a to- art. 18, V Não há previsão legal
mudar de fornecedor dos os casos, pendente de
de produto ou regulamentação futura da
serviço para outro, ANPD.
levando consigo uma
cópia de seus dados Poderá haver limitações
pessoais em formato baseadas na proteção do
interoperável. segredo comercial e indus-
trial, conforme o caso.
Eliminação Excluir do dado, a Aplicável quando a base art. 18, VI Não há previsão legal
pedido do titular, legal for consentimento.
caso seja requerido
pelo titular e quando A incorporadora deve cer-
não houver outro tificar-se de que o titular
motivo legítimo para apresenta informação
manter o dado. correta com seu pedido de
correção.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 70
Informação Obter do controlador Aplicável ao tratamento art. 18, VII Não há previsão legal
sobre uso uma lista das entidades baseado em qualquer base
compartilhado públicas e privadas com legal.
as quais o controlador
compartilhou os dados.
Informação sobre Informar o titular, no Aplicável quando a base art. 18, VIII Não há previsão legal
possibilidade momento da solicitação legal for consentimento.
de não fornecer do consentimento, as
consentimento consequências de não
e sobre as consentir. (Ex.: você é livre
consequências da para escolher fornecer
negativa seus dados para nós.
Porém, caso não consinta,
não poderemos fornecer
alguns serviços.)
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 71
Revogação do Informar o controlador Aplicável quando a base art. 18, IX Não há previsão legal
consentimento sobre o término legal for consentimento.
do consentimento,
deixando claro que a Não prejudica o
partir dali não haverá tratamento de dados
autorização para anterior e não pressupõe
tratamento de dados a exclusão dos dados
realizado com esta base tratados anteriormente.
legal.
Oposição Informar o controlador Aplicável a todos os casos, art. 18, § 2º Não há previsão legal
que não concorda com exceto quando a base
o tratamento de dados legal for consentimento.
pessoais realizado. Neste caso, poderá valer-
se da revogação do
(Ex.: após recebimento consentimento.
de um e-mail marketing,
decide opor-se e sai da
lista - unsubscribe. A
partir desse momento, a
incorporadora não tem
legítimo interesse para
enviar e-mail marketing
a esse titular.)
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 72
Revisão Informar o titular sobre Aplicável a casos em que o art. 20 Não há previsão legal
a existência de um titular é submetido a uma
processo de decisão decisão automatizada.
automatizada e, caso
requerido pelo titular,
submeter essa decisão a
um processo de revisão.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 73
8.1.
Exercício de
direitos por
titulares
Conforme previsto na LGPD, o titular dos dados pes- Nesse sentido, seguindo as melhores práticas, deve-
soais tem o direito de peticionar em relação aos seus -se verificar a identidade do titular por meio de proce-
dados contra o controlador e perante a autoridade dimento que (i) não colete ainda mais dados de forma
nacional. As incorporadoras devem estar prontas desproporcional ao pedido feito e (ii) dificulte o aces-
para receber um volume considerável de requisições, so do titular aos seus direitos garantidos por lei.
especialmente no início da vigência da legislação,
atenta aos prazos de resposta. Não há um modelo único e ideal para checagem de
identidade e cada incorporadora deve verificar os da-
Além disso, deve ser definido internamente um pro- dos que coleta de cada categoria de titular e o que
cedimento de checagem da identidade do titular. O seria razoável. Algumas opções são (i) pedir ao re-
procedimento de verificação de identidade de um ti- querente para confirmar dados que a empresa tenha
tular que requer acesso aos dados é bastante relevan- em seu banco para identificar o titular ou (ii) verificar
te visto que, caso a incorporadora acabe fornecendo documentos oficiais do requerente para checar sua
dados para pessoas não autorizadas, pode ser carac- identidade. Qualquer procedimento adotado deve ser
terizado um incidente. documentado e refletido no treinamento daqueles
que trabalham diretamente com o público externo.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 74
8.1.1.
Atendimento a
petições e
reclamações de
titulares
Considerando os direitos previstos na LGPD e tam-
bém o artigo 43 do Código de Defesa do Consumi-
dor, que dispõe sobre o dever de disponibilização de
informações aos titulares de dados, é essencial que
as incorporadoras, enquanto agentes de tratamento
de dados pessoais, criem mecanismos para o recebi-
mento e atendimento de solicitações de titulares.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 75
/ Na prática
As seguintes soluções representam boas
alternativas:
(i) Disponibilizar um canal de contato (e-mail, por exem- É importante mencionar que, quando houver uma so-
plo) para que o titular possa enviar seus requerimentos licitação de exclusão de dados por um titular e esta for
de direitos; cabível, toda a cadeia de tratamento de dados também
deve providenciar a exclusão - ou seja, a incorporadora
(ii) Desenvolver um privacy dashboard, em atendimen- terá também que providenciar o encaminhamento da
to aos requisitos de acessibilidade e transparência, per- comunicação aos seus parceiros que eventualmente
mitindo aos titulares ter acesso a seus dados pessoais e tenham recebido dados do titular solicitante.
exercer seus direitos diretamente na ferramenta. Para
clientes, a incorporadora pode criar uma funcionalida- Especificamente sobre a criação de canal de contato
de no portal do cliente para isso; e para requerimento de titulares (item “i” ao lado), é re-
comendável que, considerando as diversas categorias
(iii) realizar ajustes nas plataformas e sistemas da incor- de titulares com as quais as incorporadoras mantêm
poradora para que os titulares possam ter acesso a in- relações – colaboradores, clientes, fornecedores etc. –
formações sobre o tratamento de seus dados pessoais seja realizada a segmentação dos canais de contato, de
e, quando cabível, solicitar a exclusão. modo a facilitar o tratamento interno das requisições.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 76
9
Obrigações
impostas aos
agentes de
tratamento
A LGPD estabelece uma série de obrigações que devem ser
seguidas pelos agentes de tratamento – controladores ou
operadores. Dentre estas, destacam-se:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 77
9.1.
Registro das
Atividades de
Tratamento
Os controladores e operadores têm a obrigação de
manter registro das operações de tratamento de da-
dos pessoais que realizarem. Tal obrigação demanda
não só o mapeamento das atividades de tratamento,
mas também sua constante revisão e atualização.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 78
/ Na prática Exemplos:
O mapeamento das atividades pode ser realizado / Após a conclusão do mapeamento das atividades
com soluções tecnológicas (sistemas que identificam de tratamento da incorporadora, as informações po-
e desenham o caminho dos dados dentro da em- derão ser armazenadas em ambiente virtual acessí-
presa) ou através de entrevistas e preenchimento de vel pelos líderes das áreas de negócio – vendas, co-
questionários junto às áreas estratégicas da empresa. mercial, marketing, relacionamento com o cliente
etc. Sempre que uma nova atividade de tratamento
Todo o material reunido e classificado constituirá o for iniciada o respectivo líder será responsável por
registro de atividades de tratamento da empresa, efetuar o registro na plataforma criada. O prazo para
que precisará ser constantemente revisto – para tan- registro e a responsabilidade por tal ação devem es-
to pode-se concentrar as tarefas no Encarregado (ou tar previstos em política interna da incorporadora.
equivalente) ou, de forma descentralizada, atribuir
responsabilidade para que as áreas de negócio da / O registro deve refletir a realidade atual de trata-
empresa estabeleçam processos de revisão periódica mento de dados pela incorporadora, de modo que é
do mapeamento das atividades de tratamento. importante estabelecer periodicidade adequada ao
modelo de negócio da incorporadora. A ANPD pode-
rá, futuramente, estabelecer prazo de guarda dos re-
gistros.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 79
9.2. / Na prática
Padrões de
Surgem como boas práticas de segurança a serem
adotadas pelas incorporadoras:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 80
9.3. / Na prática
Privacy by Design
Privacidade por design é uma abordagem de enge-
nharia de sistemas desenvolvida nos anos 1990 e que,
através de alguns princípios, aponta a necessidade de
O conceito de Privacy by Design, também conhecido levar em consideração a privacidade dos usuários du-
como “privacidade por concepção”, determina que rante todo o processo de desenvolvimento de um novo
os agentes de tratamento adotem medidas para pro- produto ou serviço. É um conceito amplo, que leva em
teger os dados pessoais desde a concepção de pro- consideração direitos dos titulares, como a autodeter-
dutos ou serviços e durante todo os respectivos ciclos minação informativa, a inviolabilidade da intimidade
de vida. e direitos humanos. Ainda que haja críticas por essa
abordagem ser considera vaga e de difícil aplicação
prática, a LGPD prevê o tema no art. 46, § 2º.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 81
9.4.
(i) Avaliar a finalidade da coleta dos dados;
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 82
Hipóteses de Atuação da ANPD Na prática
transferência
Para países ou organismos Avaliação de adequação do país. Espera-se que a partir da decisão de
internacionais que adequação da ANPD, o fluxo internacio-
proporcionem grau de proteção nal de dados pessoais será viabilizado
adequado ao previsto na LGPD com este país, sem a necessidade de
adoção de salvaguardas adicionais ou
qualquer outro tipo de autorização es-
pecífica por parte da ANPD.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 84
Hipóteses de Atuação da ANPD Na prática
transferência
Transferência necessária para Sem atuação específica. Transferência seria possível quando
cumprimento de obrigação legal necessária para o cumprimento de uma
ou regulatória pelo controlador obrigação legal ou regulatória decor-
rente da legislação brasileira ou uma
obrigação estrangeira homologada de
acordo com o direito brasileiro.
Transferência necessária
para o exercício regular Sem atuação específica. Quando a transferência internacional
de direitos em processo dos dados é necessária para a incorpo-
judicial, administrativo ou radora ou suas afiliadas atuarem em
arbitral processo judicial, administrativo ou
arbitral.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 85
Exemplos:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 86
10
Encarregado
(DPO)
Em sua primeira versão, a LGPD definia o Encarregado como uma “pessoa
natural, indicada pelo controlador, que atua como canal de comunicação
entre o controlador e os titulares e a autoridade nacional”. A redação foi pos-
teriormente alterada e o termo “natural” foi excluído, abrindo a possibilidade
de indicação de uma pessoa natural ou jurídica para o cargo.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 87
/ Comprometimento da organização
com a privacidade e proteção de
dados dos titulares
Boas Práticas
Guia Boas e Governança
Práticas em Proteção
e Governança de Dados
em Proteção Pessoais
de Dados • Agosto
Pessoais de 2020
na Incorporação Imobiliária • Agosto de 2020
índice 88
/ Na prática
O escopo de atividades do Encarregado, nos termos
do artigo 41 da LGPD, está relacionado a:
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 89
11
Segurança da
Informação
A segurança é um dos princípios que regem a LGPD, de-
mandando que os agentes de tratamento utilizem medidas
técnicas e administrativas aptas a proteger os dados pes-
soais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou
difusão, ou qualquer outra forma de tratamento inadequa-
do ou ilícito.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 90
11.1.
Normas técnicas e
padrões de segurança
A LGPD não traz padrões técnicos de segurança da informação
específicos a serem seguidos. Em termos de legislação, atualmen-
te o Brasil conta com o regulamento do Marco Civil da Internet
para trazer diretrizes nesse sentido. Porém, é possível que a ANPD
regule este tema no futuro16. Sem prejuízo disso, as medidas de
segurança da informação devem levar em conta a criticidade dos
dados tratados e considerar que medidas de segurança não sa-
nam o descumprimento da legislação como um todo, apenas re-
duzem o risco de incidentes.
sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e
segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especial-
mente a necessidade e a transparência”.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 91
/ Na prática
Considerando as disposições do Marco Civil da In-
ternet e outras obrigações de leis sobre proteção
Exemplos:
padrões de segurança merecem especial atenção
de dados pessoais, sugerimos implementar:
em situações como:
(i) Hierarquias de acesso aos sistemas e banco de da-
dos; A operacionalização do banco de dados de pros-
pects e clientes, que constitui um ativo das incorpo-
(ii) Sistema de identificação eletrônica e autenticação radoras e deve ser armazenado em local protegido
de usuários, de modo a evitar acessos não autoriza- e em formato que assegure a integridade, disponi-
dos; bilidade e confidencialidade dos dados. Corretores
parceiros devem acessar o banco através de meca-
(iii) Registro e a documentação de todas as etapas de nismos de autenticação e visualizar apenas os da-
processamento dos dados dentro dos sistemas e rea- dos dos clientes que de fato atenderão, minimizan-
lização de verificações internas regulares para garan- do assim a possibilidade de vazamento de dados e
tir que todos os acessos tenham a correta autorização; o compartilhamento com empresas concorrentes.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 92
11.2. / Na prática
Incidentes
Um plano eficaz deve definir de maneira clara as eta-
pas que serão internamente seguidas pelo agente de
tratamento, desde a identificação do incidente, passan-
O conceito de incidentes contempla toda e qualquer do por sua análise e classificação de criticidade, ações
atividade relacionada ao tratamento de dados pesso- de contenção, eliminação e recuperação, até a final ela-
ais realizada em desacordo com os preceitos da LGPD boração de respostas e notificações cabíveis. Posterior-
– o não atendimento, por parte do controlador, de um mente, é fundamental que ocorra o monitoramento da
direito exercido pelo titular de dados pessoais confi- efetividade das ações adotadas (vale também se aten-
gura, assim, um incidente. Incidentes de segurança, tar para possíveis efeitos nas esferas judiciais e adminis-
por sua vez, referem-se a eventos que impliquem em trativas).
falha na proteção de dados pessoais em posse do
agente de tratamento, prejudicando assim o cumpri- A notificação à ANPD e aos titulares deve mencionar,
mento do princípio da segurança. no mínimo:
O artigo 48 da LGPD determina que os controladores (i) a descrição da natureza dos dados pessoais afetados;
deverão comunicar a ANPD e o titular sobre a ocor-
rência de incidentes de segurança da informação que (ii) as informações sobre os titulares envolvidos;
possam acarretar risco ou dano relevante aos titula-
res. para isso, é fundamental a criação de um plano (iii) a indicação das medidas técnicas e de segurança
de resposta a incidentes capaz de (i) avaliar os riscos utilizadas para a proteção dos dados, observados os se-
aos titulares derivados do incidente de segurança da gredos comercial e industrial;
informação; (ii) ativar procedimentos internos para
que os incidentes de segurança da informação sejam (iv) os riscos relacionados ao incidente;
informados à ANPD e aos titulares, quando necessá-
rio; e (iii) indicar os procedimentos internos necessá- (v) os motivos da demora, no caso de a comunicação
rios para a continuidade de negócios. não ter sido imediata; e
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 93
12
Supervisão,
responsabiliza-
ção e sanções
A própria LGPD dispõe em seus artigos 52 a 54 as sanções
aplicáveis pelo descumprimento da legislação. Porém, as
incorporadoras podem sofrer outros tipos de penalidade,
como responsabilização no âmbito civil, autuações do Pro-
con, no caso de dados de clientes e investigações do Minis-
tério Público. Neste tópico, avaliaremos a situação atual de
cada uma dessas frentes, propondo medidas que podem
ser adotadas para reduzir danos.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 94
as penalidades. 18
Exemplificativamente, a lei anticorrupção e seu
regulamento, nos termos do artigo 5º, § 4º, Decre-
to 8.420/2015.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 95
12.2. 12.3.
Procon, Senacon e Contencioso em
Ministério Público proteção de dados
Nos temas que são de sua competência, outras au- Por fim, o próprio titular dos dados pessoais pode
toridades podem vir a atuar como fiscalizadores das pleitear direitos perante as empresas e judicializar de-
regras de proteção de dados, independentemente mandas de proteção de dados. Da mesma forma que
da efetiva constituição da ANPD – inclusive porque, ocorre em outros setores regulados da economia20, o
como visto, não apenas a LGPD dispõe sobre prote- titular pode apresentar reclamações diretamente à
ção de dados pessoais no Brasil19. Essas entidades empresa, perante a ANPD ou ao judiciário, visando a
podem investigar e aplicar penalidades, conforme o obtenção de indenizações. Para reduzir danos, reco-
caso, considerando eventuais práticas inadequadas menda-se que as incorporadoras, com base nas suas
ou incidentes envolvendo dados pessoais. atividades de tratamento de dados e fragilidades en-
contradas, antecipem-se a este cenário e busquem
Atualmente, tem-se visto uma atuação forte do Minis- avaliar como mitigar a existência de um contencioso
tério Público e da Secretaria Nacional do Consumidor nesse caso.
(Senacon), tendo aplicado multas e investigado em-
presas com práticas mais agressivas de tratamento
de dados pessoais. Da mesma forma como foi expres-
samente previsto na LGPD, as penas, em geral, são
mais tênues quando as empresas colaboram com as
investigações e prestam informações corretamente.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 96
13
Checklist de
adequação
Para adequar-se à LGPD e conseguir atender às obrigações
legais dispostas na legislação, conforme analisado neste
Guia, propõe-se o seguinte passo-a-passo. Estas instruções
podem servir como inspiração para que as empresas criem
um checklist de medidas que as incorporadoras podem se-
guir para ter um nível mínimo de adequação.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 97
Ação Objetivo
Mapear os processos organizacionais que utili- Mapear as atividades de tratamento de dados da orga-
zam dados pessoais nização, as suas relações contratuais com terceiros, os
documentos internos relevantes às atividades e qual-
quer documentação complementar necessária para
entender os processos e elaborar o registro de ativida-
des de tratamento21.
21
Previsto no artigo 37 da LGPD.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 98
Ação Objetivo
Avaliar os contratos com terceiros que tratam Identificar os terceiros que tratam dados pessoais,
dados pessoais para a incorporadora atribuir nível de criticidade e risco das atividades e
verificar se os contratos protegem a incorporadora.
Atribuir a base legal a cada um dos processos Adequar os processos de tratamento de dados
mapeados pessoais aos preceitos legais, conforme requisitos de
determinadas bases legais e dos princípios aplicáveis.
Atribuir a base legal a cada um dos processos Obter o registro de atividades de tratamento,
mapeados contemplando uma visão atualizada e adequada dos
processos mapeados, indicando a base legal.
Elaborar relatórios de impacto à proteção de Realizar a análise de risco necessária nos casos de
dados pessoais, conforme necessário atividades de tratamento de dados de alto risco ou que
se valem da base legal do legítimo interesse.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
índice 99
Ação Objetivo
Elaborar políticas específicas de proteção de Implementar um programa de governança em
dados pessoais privacidade e proteção de dados pessoais.
Implementar um canal de contato para receber Ter uma ferramenta ou um canal de contato que
requisições de direitos de titulares, além de permita a gestão e resposta das demandas de titulares.
contar com uma ferramenta para tanto
Revisar as medidas de segurança da informação, Garantir um nível razoável de proteção aos dados
reforçando os controles e ferramentas, se pessoais e evitar incidentes.
necessário
Treinar colaboradores e corretores, conforme Garantir a eficácia das medidas adotadas e alinhar os
necessário, sobre os novos procedimentos novos processos com aqueles que estão na linha de
adotados frente da operação.
Guia Boas Práticas e Governança em Proteção de Dados Pessoais na Incorporação Imobiliária • Agosto de 2020
abrainc.org.br