LGPD e futuras multas: o que as imobiliárias brasileiras podem antever com o caso francês "Sergic"?

A proteção de dados pessoais vem sendo um tema bastante debatido nos últimos anos, principalmente após a entrada em vigor, em 2018, do General Data Protection Regulation (GDPR)¹, regulamento da União Europeia que dispõe sobre privacidade e proteção de dados ². A referida legislação possui 99 artigos e 173 considerandos que possibilitam uma interpretação mais minuciosa da normativa europeia.

O regulamento europeu serviu de inspiração para a lei Geral de Proteção de Dados Pessoais (LGPD)³, que também dispõe sobre o tratamento de dados pessoais, ainda que de forma mais enxuta, com apenas 65 artigos. A lei brasileira entrou em vigor recentemente e tem sido alvo de muitos questionamentos e suposições.

Uma das formas de responder as dúvidas e buscar soluções acerca da aplicação prática da LGPD nas mais variadas áreas é através de consultas às decisões europeias. Como o regulamento europeu já vem sendo aplicado há mais tempo, os julgados e a jurisprudência em construção funcionam como um parâmetro do que pode vir a acontecer no Brasil, já que as duas leis são bastante parecidas.

Nessa conjuntura, merece destaque a pouco abordada intersecção entre o nicho do ramo imobiliário e a proteção de dados pessoais.  Uma das decisões pioneiras, nesse aspecto, foi a da multa aplicada à imobiliária Sergic, na França, de 400 mil euros⁴. A penalidade foi adotada pela Autoridade Francesa de Proteção de Dados, a CNIL, em virtudes de violações à GDPR.

O caso foi fruto de uma reclamação à Autoridade Francesa e consistia em uma evidente violação à proteção de dados pessoais. A imobiliária Sergic, por sua vez, mantinha um site em que os usuários poderiam criar e fazer o upload de arquivos para solicitar aluguel, bem como de documentos para comprovar a renda.⁵

Ocorre que, os referidos dados, que eram para ser mantidos de forma sigilosa, foram vazados e, consequentemente, os direitos dos titulares foram violados.  A Autoridade Francesa observou, por meio de uma verificação on-line, que os dados estavam disponíveis para livre acesso, sem o consentimento prévio para tanto. Diante dessa situação, a imobiliária foi inicialmente alertada da falha de segurança e, após investigação, constatou-se que a empresa já sabia do problema, contudo, nada tinha feito para repará-lo.

Diante desse contexto de evidente violação à GDPR, em especial aos princípios referentes à segurança, à finalidade e à necessidade, haja vista que (i) a empresa não tomou nenhuma iniciativa para sanar a falha de segurança e (ii) manteve os dados por um período superior ao necessário para a finalidade almejada. O armazenamento - desnecessário - dos dados, dessa maneira, possibilitou o vazamento.

Nesse sentido, voltando os olhares ao Brasil, é fato que as imobiliárias, nas práticas de compra, venda, locação e administração de imóveis coletam dados preciosos de seus clientes, a exemplo de endereços, documentos pessoais, até comprovantes e detalhamentos bancários, o que implica -e, por isso, existe a LGPD - em uma relação de confiança para com a empresa que está de posse de tais informações.

Para detê-las, entretanto, em conformidade com a lei, as imobiliárias precisam cuidar, sobretudo, de cumprir dois princípios. O primeiro deles é o consentimento, que se desdobra na transparência, isto é, a empresa deve exigir que os clientes, expressamente, autorizem a concessão de seus dados, bem como seu armazenamento, estando cientes das finalidades para quais serão utilizados.

Ainda, as imobiliárias necessitam efetivar o princípio do legítimo interesse, que consiste, além do uso de dados autorizados para fins específicos, em utilizá-los para serviços e atividades as quais sejam do interesse de seu titular. Assim, é preciso atentar-se a eventuais transferências e compartilhamento de informações, seja com profissionais associados ou outras empresas parceiras.

No caso francês, a empresa recorreu da decisão de aplicação da multa suntuosa, mas o Conseil d'Etat manteve a penalidade e ressaltou que a Autoridade Francesa poderia impor sanções sem um aviso prévio formal.⁶ Além disso, saliente-se que a condenação foi baseada no art. 5º da GDPR, que trata dos princípios relativos ao tratamento de dados pessoais, temática abordada com bastante similitude no art. 6º da LGPD.

É com fundamento nessa preocupação - inclusive porque a primeira condenação para indenização por violação da LGPD no Brasil foi de uma construtora⁷, no ramo imobiliário - que as empresas devem se adequar, rapidamente, à lei. Para segui-la, é primordial fazer uma revisão na sua base de dados, especialmente quanto à necessidade de obter a autorização para mantê-los e utilizá-los, bem como analisar o lapso temporal de sua obtenção e preservação.

Válido salientar, por fim, que os processos internos de tratamento de dados, aliados ao treinamento e capacitação da equipe que com eles lidarão são pilares fundamentais para evitar amargar prejuízo de uma possível condenação, sendo de bom tom trazer à baila que as sanções pecuniárias da LGPD estão previstas para entrarem em vigor em agosto de ano!

Em que pese a existência do Projeto de lei 500/21 que propõe prorrogar a entrada em vigor das multas administrativas pecuniárias da LGPD apenas para 2022, é imprescindível ressaltar que a atual não vigência dos artigos que dispõem sobre as sanções pecuniárias na referida lei não impede que imobiliárias sejam responsabilizadas e condenadas a pagar indenizações em casos envolvendo o descumprimento da lei e violação aos dados dos titulares.

De toda sorte, é evidente a necessidade de mudanças organizacionais a serem feitas pelas empresas o mais rápido possível, sobretudo, para oferecer um serviço seguro e transparente aos clientes que, a cada dia, estão mais conectados e preocupados com a veiculação e uso de suas informações.

____________

1. Em tradução livre do inglês para o português "Regulamento Geral de Proteção de Dados".