LGPD

crecisp

portalCRECISP

crecispoficial

Lei nº 13.709/2018
Lei Geral de Proteção de Dados

CARTILHA INTERATIVA
 SUMÁRIO
1. PALAVRA DO PRESIDENTE ....................................... 03

2. INTRODUÇÃO ............................................................. 04

3. TERMOS RELEVANTES ............................................... 05

4. PRINCÍPIOS NORTEADORES ...................................... 07

5. OS DADOS E AS POSSIBILIDADES DE TRATAMENTO.... 09

6. DIREITOS DO TITULAR ............................................... 13

7. RESPONSABILIDADES E SANÇÕES ............................ 14

8. SEGURANÇA, SIGILO DE DADOS .............................. 16

9. TÉRMINO DE TRATAMENTO DOS DADOS ................ 17

10. CASOS EXEMPLIFICATIVOS ..................................... 18

11. GOVERNANÇA DE DADOS ..................................... 20

12. CONSIDERAÇÕES FINAIS ........................................ 21

 1. PALAVRA DO PRESIDENTE

No final da década de 40, quando George Orwell lançou o clássico

“1984”, ninguém poderia imaginar que, em um futuro não muito distante,
o monitoramento, o controle e a falta de privacidade pudessem fazer parte
da realidade do mundo. A chegada da internet e o avanço tecnológico
surpreendente em nossa sociedade propiciaram benefícios incontestáveis,
mas, em contrapartida, colocaram em nossas vidas a sensação de que
estamos sendo constantemente observados.

Uma simples ida ao supermercado é suficiente para que passemos

a receber notificações em nossos celulares sobre os produtos em oferta.
Sutilmente, somos ainda convidados a responder o que achamos da visita
àquele local! Nas farmácias e drogarias, somente com o fornecimento de
nosso CPF garantimos descontos nos produtos e medicamentos. Assim,
com tantas formas de acesso às nossas informações pessoais, era mister
que fosse estabelecida uma regulamentação, garantindo o mínimo de
privacidade aos dados disponibilizados.

No mercado imobiliário e, em especial pelo respeito no trato das

informações de seus inscritos, o CRECISP disponibiliza essa Cartilha
Interativa sobre a Lei Geral de Proteção de Dados, com o objetivo de
esclarecer as principais normas e regulamentações vigentes desde agosto
último. Esperamos que esse material possa auxiliar os profissionais em seu
dia a dia, no atendimento a seus clientes e na postura a ser adotada em
relação a suas informações pessoais.

Aproveitem a leitura e mantenham esse material à mão, dirimindo suas

dúvidas e garantindo mais privacidade às suas vidas pessoais e profissionais!

Corretor de Imóveis José Augusto Viana Neto

Presidente | CRECISP

página 3 ÍNDICE
 2. INTRODUÇÃO

Nesses últimos tempos, a preocupação com a proteção de dados

pessoais dos cidadãos vem aumentando. Com o advento das redes sociais,
tal inquietação tomou níveis nunca antes pensados, uma vez que os dados
tornaram-se um produto para inúmeras empresas no ramo da tecnologia.
Nessa toada, vários países tomaram a iniciativa de normatizar a
questão, dentre eles o Brasil, e garantir a proteção e privacidade daqueles que
fornecem os dados, chamados de titulares, os quais, diga-se de passagem,
são todos os indivíduos dentro da sociedade.
Assim, foi aprovada a Lei nº 13.709/2018, sancionada em 14 de agosto
de 2018, comumente chamada de LGPD (Lei Geral de Proteção de Dados)
inspirada na GDPR (General Data Protection Regulation), que está em vigor
na União Europeia desde 2018, esta, sancionada após o vazamento de
dados de uma rede social mundialmente conhecida.
Nota-se, sobretudo, que a LGPD não veio para proibir o tratamento
de dados, mas sim regular tais interações visando à proteção dos direitos
fundamentais de liberdade, privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Importante destacar que a Lei é aplicável a qualquer operação de
tratamento de dados, devendo seguir seus preceitos às pessoas físicas,
no caso de corretores de imóveis autônomos, como também as pessoas
jurídicas, tratando-se das imobiliárias e outra do ramo.
Além disso, considerando que a LGPD entrou em vigor no dia 18 de
agosto de 2020, mesmo que eventuais sanções pecuniárias só poderão
ser aplicadas depois do dia 1º de agosto de 2021, o CRECI/SP 2ª Região
entendeu por bem a produção de uma cartilha prática sobre a norma para
auxílio na aplicação prática de seus preceitos.

página 4 ÍNDICE
 3. TERMOS RELEVANTES

De início, importante destacar alguns termos utilizados na LGPD (SERPRO,

2020) e discriminá-los para melhor interpretação das obrigações legais, que
servirá como um norte para os demais pontos:

I DADO PESSOAL

Toda informação relacionada a pessoa natural identificada ou identificável.

II DADO PESSOAL SENSÍVEL

Dado sobre a origem racial ou étnica, convicção religiosa, opinião política,

filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual e dado genético ou biométrico.

III DADO ANONIMIZADO

Dado relativo a titular que não possa ser identificado.

IV BANCO DE DADOS

Conjunto estruturado de dados pessoais, estabelecido em um ou em vários

locais, em suporte eletrônico ou físico.

V TITULAR

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

VI AGENTES DE TRATAMENTO

O CONTROLADOR, pessoa natural ou jurídica a quem compete as decisões

sobre os dados pessoais e OPERADOR, pessoa natural ou jurídica que
realiza o tratamento de dados pessoais em nome do controlador.

página 5 ÍNDICE
 VII ENCARREGADO

Pessoa indicada pelo controlador e operador para atuar como canal de

comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD).

VIII TRATAMENTO

Toda operação realizada com dados pessoais, como as que se referem a

coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.

IX ANONIMIZAÇÃO

Utilização de meios técnicos razoáveis e disponíveis no momento do

tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo.

X PSEUDONIMIZAÇÃO

Tratamento por meio do qual um dado perde a possibilidade de associação,

direta ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e seguro.

XI CONSENTIMENTO

Manifestação livre, informada e inequívoca pela qual o titular concorda com

o tratamento de seus dados pessoais para uma finalidade determinada.

XII BLOQUEIO

Suspensão temporária de qualquer operação de tratamento, mediante

guarda do dado pessoal ou do banco de dados.

XIII ELIMINAÇÃO

Exclusão de dado ou de conjunto de dados armazenados em banco de dados.

página 6 ÍNDICE
 XIV TRANSFERÊNCIA INTERNACIONAL

Transferência de dados pessoais para país estrangeiro ou organismo

internacional do qual o país seja membro.

XV USO COMPARTILHADO DE DADOS

Comunicação, difusão, transferência internacional, interconexão de dados

pessoais ou tratamento compartilhado de bancos de dados pessoais por
entes privados, reciprocamente, com autorização específica, para uma ou
mais modalidades de tratamento.

4. PRINCÍPIOS NORTEADORES

Quando se tem em mente a adoção de medidas de acordo com

determinada Lei, sempre necessária a indicação dos princípios que a regem,
ou seja, as bases fundamentais que devem pautar as ações na matéria de
tratamento de dados segundo a LGPD.
Logo, toda e qualquer ação dos controladores devem se atentar a eles
(Gov.br, 2020), que são:

. FINALIDADE: o tratamento de dados deve servir propósitos legítimos,

específicos, explícitos e informados ao titular.

. ADEQUAÇÃO: o tratamento de dados realizado deve estar de acordo

com as finalidades que foram informadas ao titular.

. NECESSIDADE: o tratamento deve ser mínimo, necessário apenas para

a realização da finalidade.

. LIVRE ACESSO: deve ser garantido o livre acesso ao titular dos próprios
dados de forma gratuita e simplificada.

. QUALIDADE DOS DADOS: garantia aos titulares da exatidão, clareza,

relevância e atualização dos dados.

. TRANSPARÊNCIA: garantia aos titulares de informações claras,

precisas e facilmente acessíveis sobre o tratamento, observados eventuais
segredos comerciais.

página 7 ÍNDICE
. SEGURANÇA: utilização de medidas técnicas e administrativas para
proteger os dados de acessos não autorizados e de situações acidentais,
ou ilícitas, de destruição, perda, alteração, comunicação ou difusão.

. PREVENÇÃO: adoção de medidas para prevenir danos em virtude de

tratamento de dados.

. NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para

fins discriminatórios, ilícitos ou abusivos.

. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: necessidade de

demonstração da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.

página 8 ÍNDICE
 5. OS DADOS E AS POSSIBILIDADES DE TRATAMENTO

DADOS PESSOAIS

Os dados pessoais são toda e qualquer informação de pessoa natural

que possa identificá-la.
Nesse caso, temos, por exemplo: o nome, estado civil, profissão, inscrição
no Cadastro de Pessoa Física, endereço, e-mail, holerites, declarações
de Imposto de Renda, time do coração, preferências de consumo, dentre
inúmeros outros.
O tratamento de dados pessoais pode ser realizado pelo controlador,
contudo, a LGPD informa em quais hipóteses podem acontecer, as quais,
atentando-se ao ramo imobiliário, pode-se enumerar:

1 Quando há o fornecimento de consentimento do titular

O consentimento do titular tornou-se o pilar central da proteção de dados de

terceiros. Tal expressão de vontade do titular deve ser livre, informada e inequívoca.
A manifestação pode ser fornecida por escrito ou por outro meio idôneo
que demonstre tal vontade. Mas, sempre bom ter em mente que o ônus de
comprovar tal consentimento é do controlador, quem recebe o dado.
Nesse passo, entende-se que a forma escrita a mais adequada para,
eventualmente, demonstrar a expressão da vontade inequívoca do titular.
Isso deve estar atrelado a uma política de privacidade, ou seja, uma
estruturação de documentos específica para a proteção de dados, seguindo
os princípios norteadores destacados no tópico anterior.
Alerta-se que a LGPD exige que esse consentimento deverá constar em
cláusula destacada das demais cláusulas contratuais e o documento deve
referir-se a finalidades determinadas. Logo, qualquer autorização genérica,
será nula e poderá resultar em responsabilidade.
Se houver qualquer mudança na finalidade exposta pelo controlador
no momento da primeira manifestação de vontade, o agente de tratamento
deverá informar ao titular previamente da modificação, devendo receber
novo consentimento.
Se precisar comunicar ou compartilhar dados com outros controladores,
deverá obter o consentimento específico do titular para esse fim. Não
obstante, para segurança, consolidar com o terceiro recebedor dos dados a
necessidade de manutenção do sigilo dos dados recebidos.
Lembra-se que o titular pode revogar o consentimento a qualquer
tempo, a LGPD exige que o agente de tratamento disponibilize procedimento
gratuito e simplificado, pelo qual o titular fará a requisição.
página 9 ÍNDICE
 Por fim, informa-se que é dispensada a exigência do consentimento para
dados tornados manifestamente públicos pelo titular, como no caso de rede
social aberta, sempre lembrando a ponderação para sua disponibilização,
devendo se considerar a finalidade, boa-fé e o interesse público da utilização
de tais dados.

2 Para cumprimento de obrigação legal ou regulatória

pelo controlador
O tratamento de dados pode ser realizado para o cumprimento de
obrigação legal ou regulatória. Nesse caso, o consentimento não é obrigatório,
na medida em que a própria Lei determina que os controladores devem ter
resguardados os dados do titular.
Pode-se citar o caso da Lei 9.613/1998, conhecida como a Lei de Lavagem
de Dinheiro, a qual determina que algumas empresas, dentre elas imobiliárias,
deverão manter cadastro atualizado de seus clientes, bem como o registro de
qualquer transação de ativo que ultrapasse um determinado valor.
Em que pese a desnecessidade de consentimento, importante, tendo
em vista o princípio da transparência, informar ao titular sobre a norma que
determina a obrigação legal ou regulatória que exige o tratamento de dados.
Quando necessário para a execução de contrato ou de
3 procedimentos preliminares relacionados a contrato do qual
seja parte o titular, a pedido do titular dos dados
Quando, a pedido do titular, os dados forem necessários à execução de
contrato ou de procedimentos preliminares, como a redação do instrumento
de contrato por exemplo, o tratamento poderá ser realizado.
Nesse caso, até se vislumbra os dados de praxe na redação de um
contrato, além do endereço do imóvel objeto de compra e venda ou locação
ligada ao titular, número de contas bancárias para depósito de eventuais
valores, todo dado indispensável para a execução da avença.

4 Para o exercício regular de direitos em processo judicial,

administrativo ou arbitral
No mesmo sentido, é possível o tratamento de dados indispensáveis
para o exercício regular de direitos, em processo judicial, administrativo
ou arbitral.
O exercício regular de direito é, na realidade, buscar, por meios
legítimos, a satisfação do que lhe é devido. Pode-se exemplificar a cobrança
de alguma dívida, dentro dos limites razoáveis, por meio administrativo,
judicial ou arbitral.
Nesse passo, importante ter a informação de quem se cobrará, com
dados como nome, RG, CPF, estado civil, endereço, eventual telefone,
e-mail. Tudo quanto necessário para a cobrança administrativa, judicial ou
em arbitragem é passível de tratamento sem o consentimento do titular.

página 10 ÍNDICE
 Quando necessário para atender aos interesses legítimos do
5 controlador ou de terceiros, exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais

Pode-se efetuar o tratamento de dados quando necessários para

atender aos interesses legítimos do controlador. Vislumbra-se a ideia de
modelo de negócio e disponibilização de dados para efetuar o objeto social
de pessoa jurídica.
Nesse caso, pode-se citar a disponibilização de dados pessoais para
comércios diversos, como lojas de móveis ou de construção, por exemplo.
Pode-se citar, também a realização de Marketing Digital, para a captação de
novos negócios, até mesmo a captação de dados nos pré-lançamentos de
empreendimentos imobiliários.
No mais, quando o tratamento for baseado no interesse legítimo
do controlador, este deve adotar medidas para garantir a transparência,
mostrando ao titular a relação entre o tratamento realizado e como isso afeta
seu legítimo interesse, o seu negócio, podendo ser resguardado eventuais
segredos industriais e comerciais.

6 Para a proteção do crédito, inclusive quanto ao disposto na

legislação pertinente

Há maneiras legítimas que a própria legislação determina consolidação

de cadastros de inadimplentes com a finalidade de proteção do crédito, é o
caso do SERASA, SPC, CADIN. A inscrição de devedor em órgãos de proteção
ao crédito, é uma hipótese em que a LGPD permite o tratamento de dados.
Nesses casos, é pressuposto o tratamento de dados de eventual
devedor, devendo o credor informar o nome, CPF, endereço, valor da dívida,
data da compra, vencimentos, ou seja, todos os dados necessários para a
inscrição e a transferência do dados para tais órgãos.

DADOS PESSOAIS SENSÍVEIS

Os dados sensíveis são aqueles dados sobre a origem racial ou étnica,

convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político. Além disso, são sensíveis aqueles
dados referente à saúde ou à vida sexual, dado genético ou biométrico.
Por tocar nuances mais delicadas da vida humana, a LGPD destinou maior
proteção e maiores restrições em seu tratamento por parte dos controladores.
Nesses casos, a questão do consentimento do titular é essencial, devendo
ser informadas as finalidades específicas dos tratamentos.
Sabe-se que inúmeras empresas do ramo imobiliário, atualmente,
utilizam-se de dados biométricos, então, será necessária autorização

página 11 ÍNDICE
específica, sem ser genérica, sob pena de ser considerada nula e poder
incidir eventual sanção.
Existem algumas hipóteses de tratamentos de dados pessoais sensíveis,
em que não é preciso o consentimento, entretanto, o tratamento tem que ser
indispensável sob pena de ser ilegal.
Há três hipóteses apenas em que se vislumbra que a pessoa jurídica
de direito privado no ramo imobiliário poderá exercer o tratamento de
dados sensíveis sem o consentimento, resguardada necessidade de se dar
informação do intuito do tratamento.

I - No caso de cumprimento de obrigação legal ou regulatória pelo controlador.

II - Exercício regular de direitos, inclusive em contrato e em processo judicial,

administrativo e arbitral.

III - Garantia da prevenção à fraude e à segurança do titular, nos processos

de identificação e autenticação de cadastro em sistemas eletrônicos. Aqui
garantido o direito do titular ter acesso facilitado aos dados e todos os demais
direitos do titular.

DADOS ANONIMIZADOS E PSEUDONIMIZADOS

Os dados anonimizados são aqueles dados de titular que este não

possa ser identificado. Os dados anonimizados não são considerados dados
pessoais para os fins da LGPD, até mesmo porque, trata-se de dados que
não possuem o condão de individualizar pessoas.
Já os dados pseudonimizados são aqueles dados em que o titular, por
meio de utilização de técnicas de segurança e organizacionais, não pode ser
identificado. Na verdade, apenas o agente de tratamento responsável, com
a utilização de outros dados em sua posse, mantidos em ambiente diverso,
pode vincular o titular ao dado.
As técnicas de anonimização e pseudonimização podem garantir
maior segurança aos dados pessoais, principalmente, aos dados pessoais
sensíveis e são altamente recomendáveis no tratamento de dados, ainda
mais quando se tratar de dados compartilhados com terceiros.

página 12 ÍNDICE
 6. DIREITOS DO TITULAR

A LGPD traz em seu bojo os direitos dos titulares muito bem definidos e,
portanto, devem ser respeitado pelos controladores. Toda pessoa física tem
assegurada a titularidade de seus dados pessoais e a elas são garantidas a
liberdade, intimidade e privacidade.
Nesse raciocínio, o titular tem o direito de exigir do controlador, de
dados por este tratados, a qualquer momento e mediante requisição:

. Confirmação da existência de tratamento.

. Acesso aos dados.

. Correção de dados incompletos, inexatos e desatualizados.

. Anonimização, bloqueio ou eliminação de dados desnecessários,

excessivos ou tratados em desconformidade da LGPD.

. Portabilidade dos próprios dados a outro fornecedor de serviço ou produto,

resguardado o segredo comercial.

. Eliminação dos dados pessoais tratados mesmo que com o consentimento

do titular.

. Informação das entidades públicas e privadas com as quais o controlador

realizou o uso compartilhado de dados.

. Informação, por parte do controlador, sobre a possibilidade de o titular

não fornecer consentimento para o tratamento de seus dados, bem como as
consequências da negativa.

. Revogação do consentimento dado para o tratamento de dados.

Os direitos previstos na LGPD poderão ser exercidos mediante

requerimento expresso do titular ou de representante legalmente constituído
ao agente de tratamento.
No caso da impossibilidade de se atender à requisição efetuada pelo
titular, o controlador pode informar que não é o agente de tratamento, caso
não o seja, ou indicar as razões de fato ou de direito que impedem a adoção
imediata da providência, podendo ser física ou até mesmo técnica em
decorrência de indisponibilidade de sistema, por exemplo.

página 13 ÍNDICE
 A confirmação de existência de tratamento ou o acesso a dados
pessoais serão providenciados, mediante requisição do titular, em formato
simplificado, em tempo hábil. Ou por meio de declaração clara e completa,
que indique a origem dos dados, a inexistência de registro se o caso, os
critérios utilizados e a finalidade do tratamento, observados os segredos
comerciais, fornecida no prazo de até 15 (quinze) dias, contado da data do
requerimento do titular.
O meio pelo qual as informações e os dados serão fornecidos ficará a
critério do titular, seja de modo eletrônico ou sob a forma impressa.

7. RESPONSABILIDADES E SANÇÕES

Oscontroladoresouoperadorespodemsofrersançõescíveiseadministrativas
em decorrência do descumprimento das normas da LGPD, para facilitar o
entendimento, discorrerá sobre ambas as hipóteses e suas peculiaridades:

RESPONSABILIDADE CIVIL E O RESSARCIMENTO DE DANOS

O controlador ou operador que, em decorrência da atividade de

tratamento de dados, causar dano patrimonial, moral, individual ou coletivo,
em violação à LGPD, é obrigado a repará-lo.
De início, bom destacar que, havendo a distinção entre a pessoa do
controlador e do operador, ou no caso de existir mais de um controlador no
tratamento de dados pessoais, eles responderão solidariamente, ou seja,
um deles pode responder pelo ressarcimento do dano todo.
Caso isso aconteça, aquele que arcou com o pagamento terá direito de
regresso contra os demais na medida da participação individual no evento danoso,
isso se materializa com uma nova ação judicial entre os agentes de tratamento.
Sempre bom reforçar que o ônus da prova, observada a verossimilhança
das alegações do titular, será dos agentes de tratamento.
Os agentes de tratamento também respondem pela violação de segurança
dos dados do titular, no caso de dano, se deixarem de adotar as medidas
de segurança que serão explanadas no capítulo seguinte e ainda serão
regulamentadas pela ANPD (Autoridade Nacional de Proteção de Dados).
EXCLUSÃO DE RESPONSABILIDADE CÍVIL
Os agente de tratamento só não serão responsabilizados civilmente
quando comprovarem:
. que não realizaram o tratamento alegado pelo titular;
. que, embora tenha realizado o tratamento, demonstrarem que não houve
violação da LGPD;
. ou comprovarem que o dano é culpa exclusiva do titular ou de terceiros.

página 14 ÍNDICE
 SANÇÕES ADMINISTRATIVAS

Além da responsabilidade civil de eventuais danos causados pelos

agentes de tratamento, poderá, ainda, haver sanções administrativas, no
caso de descumprimento dos mandamentos da LGPD. Tais sanções serão
aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), são elas:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa

jurídica de direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua

ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua

regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - suspensão parcial do funcionamento do banco de dados a que se refere

a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período, até a regularização da atividade de tratamento pelo controlador;

VIII - suspensão do exercício da atividade de tratamento dos dados pessoais

a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável
por igual período;

IX - proibição parcial ou total do exercício de atividades relacionadas a

tratamento de dados.

As multas poderão ser aplicadas após procedimento administrativo que

possibilite a possibilidade de ampla defesa, tendo como parâmetro de valor
as peculiaridades do caso concreto.

Por fim, vale relembrar que eventuais sanções administrativas só

poderão ocorrem após o dia 1º de agosto de 2021, tendo em vista a entrada
em vigor diferente dos dispositivos que tratam dessas sanções, segundo a
própria LGPD.

página 15 ÍNDICE
 8. SEGURANÇA, SIGILO DE DADOS

Os agentes de tratamento devem adotar as medidas de segurança,

técnicas e administrativas aptas a protegem os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito, mesmo após o término.
A ANPD (Autoridade Nacional de Proteção de Dados) regulamentará os
padrões técnicos mínimos aceitáveis, que ainda não ocorreu, considerando
a natureza das informações tratadas, as características do tratamento e o
estado atual da tecnologia.
No caso de qualquer incidente de segurança que possa acarretar risco
ou dano relevante aos titulares, o controlador deverá comunicar o fato à
ANPD, que deverá ocorrer em prazo razoável e deverá mencionar:

. a descrição da natureza dos dados pessoais afetados;

. as informações sobre os titulares envolvidos;

. a indicação das medidas técnicas e de segurança utilizadas para a proteção

dos dados, observados os segredos comercial e industrial;

. os riscos relacionados ao incidente;

. os motivos da demora, no caso de a comunicação não ter sido imediata; e

. as medidas que foram ou que serão adotadas para reverter ou mitigar os

efeitos do prejuízo.

O fato será analisado pela ANPD e, caso

necessário, poderá determinar que o controlador
adote a providência de efetuar divulgação ampla
do fato no meio de comunicação ou tomar medidas
para reverter ou mitigar os efeitos do incidente.

página 16 ÍNDICE
 9. TÉRMINO DE TRATAMENTO DOS DADOS

O término de tratamento dos dados ocorrerá em quatro hipóteses:

1 Na verificação de que a finalidade foi alcançada ou de que os dados

deixaram de ser necessários ou pertinentes ao alcance da finalidade
específica almejada.

2 Fim do período do tratamento.

3 Comunicação do titular, inclusive no exercício de seu direito de
revogação do consentimento.

4 Determinação da ANPD, quando houver violação dos dispositivos da LGPD.

Em regra, os dados deverão ser eliminados após o término de seu

tratamento, ficando autorizada a conservação apenas para quatro finalidades:

1 Cumprimento de obrigação legal e regulatória pelo controlador.

2 Estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados.

3 Transferência a terceiro, desde que respeitado os requisitos e princípios

dispostos na LGPD.

4 Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde

que anonimizados os dados.

página 17 ÍNDICE
 10. CASOS EXEMPLIFICATIVOS

Ao se assimilar um novo conjunto de normas a se seguir, bom se

faz analisar alguns casos que podem, porventura, ocorrerem. Dividir-se-á
em alguns momentos observáveis na realização de um negócio, desde a
captação até o pós venda.

10.1. CAPTAÇÃO DE CLIENTELA

A captação de clientes é o primeiro momento para se analisar a

constituição de um negócio.

I - A captação pode se dar por iniciativa do titular dos dados, que pode ocorrer
por presencialmente, e-mail, telefone ou eventual sistema online de comunicação.
O corretor ou pessoa jurídica do ramo imobiliário, em um primeiro
momento, deve analisar quais dados serão necessários coletar. Não obstante,
precisa verificar como tais dados serão armazenados, se de forma física
ou digital. Além disso, após a elaboração de uma política de privacidade, a
forma com que o cliente irá recebe-la e subscrever os seus termos.
No contato telefônico e presencial, o atendente precisa deixar clara
intenção de coletar dados, apontando a finalidade deles, como, por exemplo,
a necessidade de contato posterior, pedindo o telefone ou e-mail. Poderá
informar sobre a possibilidade de se ter acesso à política de privacidade.
É comum a emissão de formulários para preenchimentos, seja
presencialmente, por e-mail ou até mesmo em formulários do próprio site. É
imprescindível que tais formulários coletem apenas os dados estritamente
necessários, deixando evidente a finalidade de cada um deles.
Exemplo: telefone e e-mail para contato posterior.
No caso de necessidade de transmissão dos dados a terceiros, importante
tem em mente quais dados serão compartilhados, garantir que terceiro não
vazará tais informações, com um acordo de confidencialidade, por exemplo
e verificar a possibilidade técnica de anonimizar ou pseudonimizar os dados.
Deixar a possibilidade de compartilhamento clara no formulário ou
por e-mail, mencionando o porquê os dados serão repassados, bem como
pedindo o consentimento do titular.

II - A captação também pode se dar com anúncios destacados em

redes sociais para pessoas específicas, programas de adsense, em suma, a
realização de Marketing Digital.

página 18 ÍNDICE
 Lembrando que a LGPD não proíbe a prática de utilização de dados
para a captação de clientela, tendo em vista que se trata de legítimo
interesse por parte do controlador. Contudo, algumas precauções devem
ser seguidas.
Bom destacar que ao se utilizar de dados de titulares para a captação
de clientela, necessário que tais dados venham de uma fonte confiável, que
respeite a LGPD e seja transparente para com o titular.

10.2. ELABORAÇÃO DE INSTRUMENTO DE CONTRATO E ANÁLISE

DE CRÉDITO

Após a captação, necessária se faz a fase de formalização do contrato e,

para elaboração do documento, é preciso se ter alguns dados indispensáveis,
além de comprovante de renda no tocante a eventual financiamento.
No momento da confecção do contrato, entende-se que o titular deve
dar o seu consentimento, quanto aos dados, sempre lembrando a estrita
necessidade e a informação de finalidade.
Importante disponibilizar a política de privacidade e deixar claro que os
dados serão tratados de acordo com os termos lá expostos e deixar claro
que o titular pode revogar qualquer consentimento dado.
O armazenamento posterior do instrumento de contrato é importantíssimo,
para manter a segurança e o sigilo, seja por meio digital ou físico.
Se eventualmente terceiros têm acesso aos documentos, reforce a
importância do sigilo dos dados, informando que o compartilhamento com
pessoas não autorizadas, poderá resultar em penalidade.
Informe ao titular quais terceiros terão acesso aos documentos, mesmo
que seja com a Instituição Financeira no caso de financiamento de compra e
venda de imóvel, por exemplo.

10.3. FINALIZAÇÃO DO CONTRATO

Ao finalizar a relação contratual, necessário alguns cuidados com

relação ao titular.
No caso de transferência de dados a controlador diverso, seja para
empresas que efetuam cobrança, administradoras de condomínio ou até
mesmo comércios que utilizam os dados, deixar o titular ciente da transferência.
No caso de terceiros terem acesso a dados que serão conservados no
banco de dados, sempre firmar um termo de sigilo e proteção dos dados,
deixando expresso que o compartilhamento de dados com pessoas não
autorizados poderá ensejar responsabilidade.

página 19 ÍNDICE
 11. GOVERNANÇA DE DADOS

Todos os agentes de tratamento têm que ter em vista uma boa

organização com relação aos dados de seus clientes. A aplicação de uma
boa governança de dados é medida que materializa todos os mandamentos
da LGPD.
De acordo com o volume de dados e a complexidade destes, o agente
de tratamento deve, atentando à necessidade de proteção e sigilo, definir
padrões para qualquer tratamento de dados.
Alguns pontos que se entende relevante para a elaboração de um
programa de governança de dados:

I. Mostrar o comprometimento na adoção de processos internos para fiel

cumprimento da LGPD no tocante à proteção de dados pessoais dos titulares.

II. A aplicação a todos os dados pessoais constante em banco de dados,

sem distinção quanto ao modo de coleta.

III. Observar a estrutura do negócio, o tipo de dados tratados e o volume dos

tratamentos.

IV. Análise sistemática de impactos e riscos à privacidades dos titulares.

V. Ter como objetivo principal a construção de uma relação de confiança

com os titulares.

VI. Supervisionar a estrutura montada, tanto com mecanismos internos,

quanto externos.

VII. Montar procedimentos de remediação em caso de extravios, bem como

procedimentos de respostas ágeis aos titulares.

VIII. Atualizar sempre as informações obtidas e realizar avaliações periódicas,

tudo de acordo com os preceitos regulatórios que serão postos.

página 20 ÍNDICE
 12. CONSIDERAÇÕES FINAIS

A LGPD traz modificações importantes no modo de operação de

tratamento de dados por parte de corretores e imobiliárias, que terão que
criar um mecanismo de proteção dos dados e consentimento específico
para compartilhamento de dados, inclusive tendo atenção na utilização dos
dados para futuros negócios.
Os corretores precisarão criar uma política de privacidade. Será uma
mudança expressiva no comportamento do mercado, principalmente no que
se trata de compartilhamento de informações.
Lembrando que todos que tratarem os dados serão considerados
operadores e a responsabilidade passa a ser de todos os envolvidos no
tratamento de dados, inclusive podendo o operador responder solidariamente.
Deve-se ter atenção inclusive aos dados sensíveis, que são utilizados
pela área de marketing para traçar o perfil do consumidor, devendo haver
uma preocupação redobrada com a segurança e privacidade de tais dados,
sempre deixando o titular a par sobre o tratamento e suas finalidades.
Resta patente que o importante é sempre abarcar os princípios do
direito à informação, da transparência e ter em mente que não é vedado
tratar os dados, porém, a finalidade deve estar clara para o titular dos dados.
O controlador precisará criar uma política de dados e treinar seus
operadores constantemente, para que todos compreendam a dimensão e a
intenção da lei.
Segundo especialistas, a aplicação da LGPD é uma tarefa que
deverá ser enfrentada de forma multidisciplinar entre os profissionais do
direito, de TI, marketing e RH e tem como escopo primordial a proteção da
sociedade como um todo. Portanto, é de vital importância a implementação
de suas exigências.

página 21 ÍNDICE
 13. REFERÊNCIAS

BRASIL, Lei nº 13.709, de 14 de agosto de 2018.

Lei Geral de Proteção de Dados.

Gov.br (Secretaria de Governo Digital).

Programa de Governança em Privacidade. Disponível em

www.gov.br/governodigital/pt-br/governanca-de-dados/OficinaPGP.pdf

Acesso em: 28 dez. 2020.

SERPRO. Glossário LGPD. Disponível em:

www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd

Acesso em: 28 dez. 2020.

página 22 INÍCIO