Business">
Cartilha LGPD Abrainc 16.02
Cartilha LGPD Abrainc 16.02
Cartilha LGPD Abrainc 16.02
Governança em
Proteção de Dados
Pessoais
Fevereiro de 2022
índice 2
ÍNDICE
Apresentação ..............................................................................................................................05
O mercado de incorporação e a importância dos dados .....................06
Contexto de legislações de proteção de dados.............................................08
Aplicação da LGPD ...................................................................................................................10
PARTE I........................................................................... 12
1. Proteção de dados no mercado de incorporação.................................13
1.1. Captação de clientes..................................................................................................14
1.2. Estande de vendas.......................................................................................................19
1.3. Confecção de contrato e análise de crédito.........................................20
1.4. Pós-venda...............................................................................................................................22
1.5. Gestão da base de clientes...................................................................................23
4. Governança de privacidade......................................................................................38
4.1. Boas práticas de organização e funcionamento.........................39
4.2. Políticas...................................................................................................................................40
4.3. Ações educativas e mecanismos internos de supervisão......42
PARTE II.......................................................................43
5. Conceitos ...............................................................................................................................44
10. Encarregado (DPO).....................................................................................................87
6. Princípios................................................................................................................................47
11. Segurança da Informação.......................................................................................90
7. Bases legais...........................................................................................................................53
11.1. Normas técnicas e padrões de segurança.........................................91
7.1. Bases legais para Dados Pessoais..............................................................54
11.2. Incidentes......................................................................................................................93
7.1.1. Legítimo interesse.................................................................................................58
7.1.2. Consentimento.........................................................................................................61
12. Supervisão, responsabilização e sanções ..............................................94
7.2. Bases legais para Dados Sensíveis...........................................................64
12.1. ANPD ................................................................................................................................95
7.2.1. Garantia da prevenção à fraude e à segurança
12.2. Procon, Senacon e Ministério Público.................................................96
do titular....................................................................................................................................66
12.3. Contencioso em proteção de dados.....................................................96
Apresentação
O Brasil, seguindo uma tendência mundial de regulação do uso de
dados pessoais, aprovou em agosto de 2018 a Lei Geral de Proteção
de Dados Pessoais (LGPD – Lei nº 13.709/2018). Essa lei impacta to-
dos os setores da economia, incluindo o setor público, exigindo que
organizações revisem suas práticas e adaptem seus processos.
O mercado de
incorporação e
a importância
dos dados
1
Lei nº 6.530/1978, art. 3º.
Contexto de
legislações de
proteção de
dados
Aplicação
da LGPD
PARTE I
Esta primeira parte busca oferecer diretrizes
práticas a serem aplicadas às principais ativi-
dades de negócio das incorporadoras, inician-
do pelos dados dos clientes e, em seguida,
avaliando relações com colaboradores e for-
necedores. Finalizando esta primeira sessão,
consta uma análise de aspectos de governan-
ça em proteção de dados.
1
Proteção de
dados no
mercado de
incorporação
1.1. Captação de
clientes
O contato da incorporadora com possíveis clientes pode
se dar por iniciativa do próprio titular ou por campanhas
e análise de dados das incorporadoras.
A incorporadora deve verificar quais dados serão Especificamente em relação aos formulários de con-
necessários coletar, onde eles serão armazenados e tato, é importante que eles coletem apenas os dados
como o titular pode receber informações sobre a po- estritamente necessários às atividades de prospec-
lítica de privacidade da incorporadora. Uma possibi- ção, deixem clara a finalidade de coleta de cada dado
lidade é instruir os atendentes a indicar onde encon- e tenham link para a política de privacidade da incor-
trar a política de privacidade da empresa no site, por poradora, além de avisos de privacidade, se necessá-
exemplo, ou, em caso de contato por escrito, disponi- rio.
bilizar um aviso de privacidade no momento da cole-
ta dos dados. Quanto aos chats, as plataformas costumam ser ope-
radas por empresas terceiras e a incorporadora deve
Caso a pessoa responsável por atender o prospect se certificar se essas empresas têm acesso aos dados
seja um terceiro – como um corretor ou um atenden- e se nos contratos há disposições específicas de pro-
te terceirizado – a incorporadora deve considerar fir- teção de dados.
mar com esses indivíduos termos específicos de pro-
teção de dados e confidencialidade. Além disso, por Além disso, a incorporadora deve fornecer ao titular
serem terceiros não subordinados à incorporadora, a informações suficientes sobre o tratamento dos da-
empresa pode adotar medidas técnicas de mitigação dos pessoais. Enumeramos abaixo possíveis mensa-
de riscos ao compartilhar esses dados ou minimizar gens para incluir em cada uma dessas situações:
os dados que serão compartilhados.
/ Na prática
/ Com os dados recebidos ou coletados diretamente
do prospect, a incorporadora poderá (i) rresponder a
! Caso a incorporadora precise compartilhar esses
dados com terceiros, como imobiliárias ou corre-
demanda do prospect; (ii) cadastrar o prospect em
tores, a empresa deve (i) verificar quais dados pre-
sua base de dados, conforme interesse demonstrado
cisam ser compartilhados para o atendimento; (ii)
na mensagem; (iii) enviar novas mensagens relacio- certificar-se pela via contratual de que os terceiros
nadas a esse interesse, exceto se o titular se opuser ao não utilizarão os dados para outras finalidades; (iii)
seu recebimento. utilizar meios técnicos de mitigação de riscos para
fins do compartilhamento.
/ O formulário de contato do site deve perguntar
como o prospect prefere ser contatado (telefone,
e-mail, mensagens de texto etc.) e, a partir da respos-
ta, requerer apenas o dado necessário para realizar
aquele contato.
/ Marketing digital
A LGPD não proíbe a realização de marketing digital. Por
outro lado, as incorporadoras devem adotar uma postu-
ra proativa para minimizar o uso de dados de fontes não
confiáveis ou que não tenham rastreabilidade, além de
trabalharem na conscientização dos terceiros que aces-
sam suas bases de dados.
1.2. / Na prática
vendas
gere-se que as incorporadoras:
De forma geral, é comum as incorporadoras (ii) Reforcem junto aos terceiros a importância de
manter os dados em sigilo e que o compartilha-
(i) Contratem recepcionistas terceirizados, que ficam mento com pessoas não autorizadas pode ensejar
responsáveis por coletar os dados iniciais do cliente responsabilidades;
para direcioná-lo ao corretor;
(iii) Firmem um termo de sigilo e proteção de da-
(ii) Contem com corretores terceirizados ou imobili- dos com os terceiros que trabalham no estande; e
árias parceiras para a realização do atendimento no
estande; e (iv) Caso o titular tenha informado e-mail ou tele-
fone, enviem a Política de Privacidade e os canais
para exercício de direitos, o que também deve es-
(iii) Tenham parceiros para realizar análise de crédito
tar disponível para consulta no local.
e confeccionar contratos.
1.3.
O Comprador recebeu e está ciente da Política de Pri-
vacidade da [incorporadora], cujas cláusulas fazem
parte deste contrato. O Comprador compreende que,
contrato e análise
dados de identificação (como nome completo, estado
civil, profissão, RG, CPF) e dados relativos a endereço
de residência, além de dados referentes a renda. Os
de crédito dados são necessários para a execução do objeto do
Contrato ou para atender a interesses legítimos da [in-
corporadora], sempre que estes não se sobrepuserem
Caso o prospect decida adquirir uma unidade da in-
aos direitos garantidos ao Comprador.
corporadora, mais dados serão necessários para for-
malizar o negócio. Legalmente, diversos dados são
§ 1º A [incorporadora] se compromete a tratar os Da-
necessários para elaborar o contrato, realizar a análise
dos Pessoais do Comprador de acordo com a política
de crédito, possibilitar o financiamento e, futuramen-
de privacidade disponibilizada. Ainda, quando houver
te, firmar a escritura de compra e venda. Para endere-
necessidade, a [incorporadora] poderá compartilhar
çar esses aspectos, recomenda-se a inclusão de uma
os dados pessoais com seus fornecedores, parceiros
cláusula de proteção de dados nos contratos padrão,
órgãos da Administração Pública ou terceiros autori-
conforme exemplo ao lado:
zados para que a [incorporadora] ou tais terceiros pos-
sam resguardar seus direitos em relação às obrigações
aplicáveis.
Nessa etapa de fechamento do negócio, é comum que
a incorporadora faça cópias de documentos, peça para
§ 2º Caso o Comprador tenha qualquer dúvida em rela-
que o cliente preencha formulários, forneça certidões e
ção ao tratamento de seus Dados Pessoais pela [incor-
comprovantes de renda, entre outros. Além disso, é pos-
poradora] ou queira requerer o exercício de qualquer
sível que terceiros elaborem os contratos.
direito, poderá utilizar os canais disponíveis para tanto,
nos termos da Política de Privacidade.
/ Na prática
De forma a ter um nível mínimo de adequação, su-
gere-se que as incorporadoras: Caso a incorporadora queira melhorar seus contro-
les e nível de proteção de dados, além das medidas
(i) Verifiquem se são necessárias cópias de docu- acima, sugere-se a adoção das seguintes práticas:
mentos além dos dados inseridos nos formulários e,
em caso positivo, armazenem-nas em local seguro; (i) Implementar tecnologia para recebimento de do-
cumentos, por meio da qual o próprio cliente possa
(ii) Instruam terceiros que recebam estes documen- realizar o upload dos documentos necessários, sem
tos a armazená-los no local correto e excluam cópias necessidade de enviá-los por e-mail; e
eventualmente recebidas por e-mail ou celular;
(ii) Criar uma central de privacidade para os clien-
(iii) Informem o titular sobre a existência de decisões tes, que poderão acessar seus dados pessoais, reti-
automatizadas, se houver, especialmente relativas à ficá-los e verificar os terceiros com quem os dados
análise de crédito; foram compartilhados. Essa central pode ser uma
funcionalidade do portal do cliente, caso exista.
(iv) Tenham cláusulas contratuais específicas de pro-
teção de dados no contrato de compra e venda e com Concluída a venda, o prospect passa a ser um
os terceiros que acessam os dados pessoais; cliente e outras atividades de tratamento de da-
dos se iniciam, como cobrança, entrega de chaves,
lavratura da escritura e assistência técnica. Nesse
(v) Forneçam, de forma facilitada, informações sobre os
ponto, o contato do cliente passa a ser com a área
terceiros com quem a incorporadora irá compartilhar
de relacionamento com o cliente da incorporado-
os dados, tais como instituições financeiras, securitiza-
ra e vê-se a diminuição do contato com o corretor
doras, gestoras de condomínio e seguradoras; e
de imóveis. Por outro lado, vislumbram-se novos
terceiros na cadeia, como instituições financeiras,
(vi) Reforcem junto aos terceiros a importância de
administradoras de condomínio, empresas que re-
manter os dados em sigilo, destacando que o com-
alizam reparos e assistência técnica, entre outros.
partilhamento com pessoas não autorizadas pode
ensejar responsabilidades.
1.4. Pós-venda
/ Na prática
De forma a ter um nível mínimo de adequação,
sugere-se que incorporadoras:
Gestão da Base
/ Em relação à porção das bases de dados pessoais
de prospects da incorporadora relativas a coletas an-
teriores ao advento da LGPD, é importante que a in-
de Clientes corporadora analise a situação de cada uma dessas
bases legadas e avalie as medidas necessárias para
sua adequação às novas exigências legais.
As atividades associadas à captação de leads levam as
incorporadoras à formação de bases de dados pesso-
O exame citado pode considerar aspectos como a
ais com significativo volume. É essencial que as incor-
minimização (aplicação dos princípios da finalidade,
poradoras considerem algumas questões específicas
necessidade e adequação), a licitude e confiabilidade
e tenham controles de gestão dessas bases.
da origem desses dados pessoais e, principalmente, a
existência e adequação de base legal que justifique o
tratamento.
2
Proteção de
dados de
colaboradores
2.1.
Os colaboradores são peças-chave para o sucesso do
programa de governança em proteção de dados da
empresa. Ao mesmo tempo em que atuarão direta-
mente nos processos de tratamento de dados pesso-
ais, são titulares de dados pessoais tratados pela in-
Recrutamento e
seleção
corporadora.
/ Na prática
Em relação ao processo de recrutamento, destacamos os
seguintes pontos de atenção em relação à proteção de da-
dos:
/ Na prática
2.2.
Admissão
Quanto ao processo de seleção, destacamos os
seguintes pontos de atenção em relação à prote-
ção de dados:
No momento da admissão, a incorporadora irá apre-
(i) Abster-se de realizar perguntas com fins discrimi- sentar o contrato de trabalho ao futuro empregado e
natórios ou que possam constranger o candidato; coletar alguns documentos adicionais, como cartei-
ra de trabalho, dados de dependentes – a depender
(ii) Evitar buscar as redes sociais do candidato com o da oferta de benefícios –, dados bancários e outros.
propósito de inferir dados sensíveis, como orientação Nesse cenário, recomenda-se a inclusão de cláusulas
política ou convicção religiosa. Caso dados sensíveis específicas no contrato de trabalho, além de incluir
sejam acessados, não os anotar na ficha do candidato; um treinamento básico de proteção de dados pesso-
ais como treinamento obrigatório. Via de regra, a in-
(iii) Evitar pedir ou buscar antecedentes criminais, ex- corporadora irá valer-se da base legal de execução de
ceto se necessário para o exercício da função2, hipóte- contrato e de cumprimento de obrigação legal para o
se em que poderá ser feito e informado ao candidato; tratamento de dados nessa fase.
Conforme decisão do TST, a empresa pode verificar antecedente cri- (i) Incluir cláusula específica de proteção de dados no
2
Monitoramento de
devem ser claras aos colaboradores. Em geral, a base
legal utilizada para o monitoramento é o legítimo in-
teresse da incorporadora.
2
Conforme decisão do TST, a empresa pode verificar
antecedente criminal quando “amparada em expres-
sa previsão legal ou justificar-se em razão da nature-
za do ofício ou do grau especial de fidúcia exigido, a
exemplo de empregados domésticos, cuidadores de
menores, idosos e pessoas com deficiência, em cre-
ches, asilos ou instituições afins, motoristas rodoviá-
rios de carga, empregados que laboram no setor da
agroindústria no manejo de ferramentas de trabalho
perfurocortantes, bancários e afins, trabalhadores
que atuam com substâncias tóxicas e entorpecentes
e armas, trabalhadores que atuam com informações
sigilosas”. (IRR-243000-58.2013.5.13.0023)
/ Na prática
Quanto ao monitoramento de empregados, recomenda-se:
2.4. / Na prática
Desligamento e Quanto ao desligamento de empregados, a
3
Fornecedores,
parceiros e
terceiros em
geral
É natural que empresas atuem em conjunto com Uma cláusula adequada deve garantir, em geral,
parceiros e fornecedores para melhorar a eficiência que a empresa:
de seus serviços. É o caso das imobiliárias parceiras,
das administradoras de condomínio e das empreitei- (i) Tratará os dados apenas para as finalidades do
ras, por exemplo. Na contratação desses terceiros, é contrato, conforme instruções da incorporadora;
importante que a incorporadora se certifique de que
haja um nível mínimo de adequação – o que pode ser (ii) Informará a incorporadora imediatamente caso
feito por meio de um checklist prévio à contratação receba solicitações de exercício de direitos de titula-
– e inclua cláusulas específicas a esse respeito nos res ou tenha ciência de incidentes;
seus contratos. Tanto o nível de adequação quanto a
complexidade das cláusulas deve ser verificada caso (iii) Atenderá, conforme instruções da incorporadora,
a caso, considerando o volume e a criticidade dos da- os pedidos de direitos de titulares;
dos a que o terceiro terá acesso.
(iv) Adotará medidas de segurança da informação
adequadas à criticidade dos dados tratados;
Uma política específica para corretores é fortemen- (vi) Que somente entram em contato com prospects
te recomendada, a qual pode ser disponibilizada em em relação aos quais há razoável indicação de legitima
diversos canais de contato, inclusive nas páginas de expectativa de contato, devendo realizar a exclusão da
cadastro da incorporadora, se houver. base, sempre que solicitado; e
3.1.
associadas ao tratamento de dados pessoais, perante
to à incorporadora;
terceiros e com o Poder Público.
Vendedores de
por exemplo) para receber contatos de proprietários
que queiram vender seus imóveis. Nesse caso, o formu-
lário de contato deve seguir as mesmas práticas apon-
4
Governança
de privacidade
As incorporadoras, por se relacionarem com diversos parceiros, for-
necedores e colaboradores, apresentam estrutura complexa de tra-
tamento de dados pessoais. A criação e implementação de um pro-
grama de governança em privacidade e proteção de dados revela-se
medida adequada para garantir a internalização da LGPD no dia a dia
de atividades, estabelecendo as melhores práticas para o tratamento
de dados pessoais de acordo com o volume de operações, a escala e a
estrutura da incorporadora, assim como o risco de danos aos titulares.
/ Na prática
4.1. Boas
De forma geral, o programa deve:
funcionamento
(ii) Ser aplicável a todo o conjunto de dados pessoais
que estejam sob controle da incorporadora, indepen-
dentemente do modo de coleta;
O objetivo de estruturar um programa de go-
vernança em privacidade e proteção de dados (iii) Adequar-se à estrutura, à escala e ao volume das
é definir padrões para as atividades da incor- operações;
poradora que dependam do uso de dados pes-
soais, documentá-las e tornar possível a verifi- (iv) Estabelecer políticas e salvaguardas adequadas
cação periódica dessas práticas. com base em processos de avaliação sistemática de
impactos e riscos à privacidade;
4.2. Políticas
(v) Visar ao estabelecimento de uma relação de
confiança com os titulares de dados pessoais,
por meio de atuação transparente e que asse-
gure mecanismos de participação; A consolidação de um programa de governança em
privacidade e proteção de dados passa, necessaria-
(vi) Estar integrado à estrutura geral de gover- mente, pelo desenvolvimento e implementação de
nança da incorporadora, estabelecendo e apli- políticas internas e externas, incluindo a atualização
cando mecanismos de supervisão internos e das já existentes. O sucesso do programa dependerá
externos; de (i) revisão periódica do programa de governança,
com definição de metodologia de revisão, equipe
(vii) Contar com planos de resposta a inciden- responsável e mecanismos para comunicação in-
tes e procedimentos de remediação; e terna do resultado; e (ii) treinamentos e conscien-
tização, com definição de periodicidade, formatos,
(viii) Ser atualizado constantemente com base público-alvo e conteúdo abordado.
em informações obtidas por meio de monitora-
mento contínuo, avaliações periódicas e novos
preceitos regulatórios.
/ Na prática
(v) Política de Privacidade Interna (recursos huma-
Devem ser elaboradoras documentos e políticas nos), com informações relacionadas ao tratamento
relacionados a: de dados de colaboradores, além de uma política es-
pecífica para corretores associados, se aplicável;
(i) Política de Privacidade e Proteção de Dados Pes-
soais, identificando e detalhando as atividades de (vi) Política de Retenção e definição do ciclo de vida
tratamento realizadas pela incorporadora; dos dados, com regras para armazenamento, aces-
so, retenção e descarte de dados pessoais tratados;
(ii) Política de Segurança da Informação, continui-
dade dos negócios e Manual de Resposta a Inciden- (vii) Política de Cookies e tecnologias similares, es-
tes, de viés mais técnico, estabelecendo os padrões pecialmente para sites e aplicativos, definindo as
e regras de segurança adotados pela incorporadora tecnologias e regras de utilização; e
e as ações a serem tomadas no caso da ocorrência
de incidentes; (viii) Modelo de Relatório de Impacto à Proteção de
Dados Pessoais, com definição das situações que re-
(iii) Política de Exercício de Direitos dos Titulares, querem sua elaboração, metodologia a ser aplicada
estabelecendo os canais de comunicação, equipes e regras para armazenamento e consulta.
responsáveis, fluxos internos e procedimentos para
registro e atendimento de pedidos;
/ Na prática
Tais ações devem transmitir a mensagem e os parâme-
tros ideais de privacidade para toda a empresa, poden-
internos de
(ii) Métodos informais: campanhas visuais no escritório,
criação de grupos de discussão sobre temas e aconteci-
mentos do mundo da privacidade e proteção de dados,
supervisão informes constantes e ativos etc.
PARTE II
Nesta parte apresentaremos os princi-
pais conceitos da lei, indicando exem-
plos e formas de cumprir as regras de
proteção de dados.
5
Conceitos
5.2. Dado pessoal sensível: categoria de dado pessoal que, por re-
velar características da esfera íntima do indivíduo e potencializar situações
discriminatórias, requer proteção especial. Essa categoria inclui dados so-
bre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato, saúde, vida sexual, dentre outros.
5.3. Dado anonimizado: tipo de dado que não pode ser vinculado
ao titular. A anonimização, processo que deve contar com a utilização de
meios técnicos razoáveis e disponíveis, impossibilita a reidentificação dos
dados pessoais ou a individualização do titular. Em razão disso, os dados
anonimizados não são considerados dados pessoais e estão fora do esco-
po da LGPD.
6
Princípios
A LGPD estabelece dez princípios que devem ser observados
em todas as atividades de tratamento de dados pessoais. A
adequação de um produto ou processo deve atentar-se ao
atendimento desses dez princípios e identificar uma base le-
gal3 que autorize o tratamento do dado pessoal. A análise pri-
vacy by design de um processo ou produto busca justamente
verificar a conformidade em relação aos princípios de prote-
ção de dados pessoais. Apresentaremos estes dez princípios
por meio de uma análise privacy by design4 do seguinte caso:
Livre acesso A incorporadora deve garantir A incorporadora deve ter meios A Incorporadora ABC indica, na
aos titulares consulta facilitada e canais de contato dedicados ficha de cadastro, o canal por
e gratuita sobre a forma e a para que os titulares possam meio do qual o cliente pode ter
duração do tratamento de acessar ou requerer o acesso a acesso aos seus dados ou obter
dados pessoais, bem como seus dados pessoais. informações sobre a duração
sobre a integralidade de seus do tratamento, como tempo de
dados pessoais. guarda do cadastro.
Transpa- Os titulares devem receber A incorporadora deve adotar A Incorporadora ABC incluiu na
rência informações claras, precisas e medidas para informar o ficha de cadastro um aviso de
facilmente acessíveis sobre os titular sobre o tratamento de privacidade indicando finalidade,
tratamentos de dados pessoais. seus dados pessoais, como (i) meio de tratamento, terceiros
just-in-time notice5 no caso com quem os dados serão
de cadastros eletrônicos; (ii) compartilhados (incluindo a
treinamento dos responsáveis imobiliária), tempo de guarda,
por coletar dados pessoais; canal de contato e link para
(iii) disponibilização de um política de privacidade – ou outro
canal de contato para que meio de consultá-la.
os titulares possam requerer
informações adicionais.
5
Just-in-time notices são breves avisos de
privacidade que aparecem conforme o ti-
tular avança no preenchimento dos cam-
pos. Ex.: vamos compartilhar seu nome
com o corretor para atendimento aqui no
estande.
Segurança A incorporadora deve Este princípio está diretamente A Incorporadora ABC mapeou
utilizar medidas técnicas relacionado às recomendações todo o percurso do dado do
e administrativas aptas a do item 10. deste Guia. De cliente dentro do estande, desde
proteger os dados pessoais de forma geral, a incorporadora a recepção até a finalização do
acessos não autorizados e de deve mapear os dados tratados atendimento, eliminando acessos
situações acidentais ou ilícitas e segmentá-los de acordo com desnecessários.
de destruição, perda, alteração, sua sensibilidade e criticidade,
comunicação ou difusão. implementando medidas A Incorporadora ABC
de segurança adequadas e implementou medidas de
proporcionais. segurança, incluindo controle
de acesso, dupla autenticação e
registro de acessos ao sistema de
cadastro.
Prevenção A incorporadora deve adotar A incorporadora deve mapear Ciente do risco de o cliente ser
medidas no sentido de prevenir e registrar os principais riscos importunado por terceiros que
a ocorrência de danos em a que o titular está sujeito tiveram o acesso ao cadastro de
virtude do tratamento de dados em razão do tratamento de forma indevida – como outras
pessoais. dados realizados e indicar imobiliárias e fornecedores de
as medidas adotadas para móveis – a Incorporadora ABC
prevenir a ocorrência de danos adotou medidas de segurança
decorrentes da materialização para minimizar esse risco.
do risco.
Não-discrimi- A incorporadora não deve A incorporadora não deve A Incorporadora ABC decidiu
nação tratar dados pessoais para fins tratar dados pessoais ou segmentar a base de dados dos
discriminatórios, ilícitos ou utilizar o resultado de uma clientes em grupos distintos
abusivos. atividade de tratamento para de acordo com seu perfil e
discriminar os titulares. interesse, sem considerar critérios
discriminatórios.
7
Bases legais
Os dados pessoais, triviais ou sensíveis, só podem ser tra-
tados com a utilização de pelo menos uma das hipóteses
previstas na LGPD – tais hipóteses são popularmente co-
nhecidas como “bases legais”.
7.1.
Bases legais para
Dados Pessoais
A LGPD prevê dez bases legais para o tratamento de dados
pessoais. Considerando as particularidades do mercado de
incorporações, seis6 delas merecem destaque:
6
Além das bases legais destacadas, a LGPD prevê outras quatro hipóteses para
o tratamento de dados: (i) pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de políticas públicas previstas
em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres; (ii) para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais; (iii) para a proteção da
vida ou da incolumidade física do titular ou de terceiro; e (iv) para a tutela da saú-
de, exclusivamente, em procedimento realizado por profissionais de saúde, servi-
ços de saúde ou autoridade sanitária.
7.1.1.
Legítimo
interesse
O legítimo interesse é uma base legal aberta que permite a contro-
ladores e operadores tratarem dados pessoais para situações con-
cretas que não sejam proibidas por lei e que não conflitem com
direitos e liberdades individuais dos titulares. Para ser válido, esse
tratamento deve ter como referências uma finalidade legítima, uma
expectativa aceitável do titular e deve ocorrer somente com o uso
de dados necessários, dando transparência ao titular e observando
também seus direitos, previstos na LGPD.
Condições Essenciais
/ Na prática
Para justificar o tratamento com base / Necessário verificar se a atividade de tra-
no legítimo interesse é necessário que tamento a ser realizada envolve direitos
algumas premissas sejam atendidas e liberdades fundamentais do titular e se
pelo controlador – tais premissas po- esses direitos prevalecem em relação aos
dem ser organizadas em Condições Es- interesses do controlador.
senciais e Condições de Validade:
/ O uso do legítimo interesse sempre deve
ser feito com fundamento em uma situa-
ção concreta.
x
Caso prevaleçam direitos e liberdades fun-
damentais do titular ou se não for identi-
ficada uma situação concreta que revele
a necessidade de tratamento de dados, a
base legal do legítimo interesse não pode-
rá ser utilizada.
Condições de Validade
/ Na prática
7.1.2. (i) A não utilização dos dados pessoais do titular para
Consentimento
a finalidade determinada deve ser a única consequ-
ência de eventual recusa do consentimento pelo ti-
tular;
Para utilizar o consentimento - manifestação livre, in-
formada e inequívoca do titular de dados, autorizan- (ii) O titular deve receber informações sobre a possibi-
do o tratamento para finalidades específicas - o con- lidade de não fornecer seu consentimento, incluindo
trolador deverá se atentar para o atendimento dos explicação sobre as eventuais consequências de tal
seguintes requisitos: recusa, e ter a possibilidade de revogar o consenti-
mento já fornecido; e
Livre:
(iii) Situações de assimetria de poder entre o contro-
A manifestação do titular deve ser uma ação espon- lador e o titular, como no caso da manutenção das
tânea, que não seja objeto de pressão ou ameaça de relações existentes entre a incorporadora e seus cola-
nenhuma natureza. O titular deve ter a opção de não boradores - relação trabalhista e/ou de prestação de
dar o seu consentimento para a finalidade específi- serviço – requerem maior atenção. Isso porque pode
ca almejada pelo controlador, sem que isso acarrete ser argumentado que, na maioria das situações, não
consequências negativas além daquelas das quais a existiria possibilidade de recusa sem potenciais con-
ausência de consentimento derive diretamente. sequências negativas aos colaboradores, o que faria
com que eventual consentimento solicitado não fos-
se considerado livre. No entanto, em casos excepcio-
nais, havendo efetiva possibilidade de recusa por par-
te do colaborador e sem possibilidade de existirem
consequências negativas a este (como nos casos de
autorização de uso de imagem de colaboradores para
a elaboração de materiais institucionais), o consenti-
mento pode vir a ser considerado livre.
Informado: Inequívoco:
O titular deve, no momento do fornecimento do O consentimento só será considerado legítimo quan-
consentimento, ter acesso a todas as informações do houver demonstração da efetiva manifestação de
relevantes sobre o tratamento, as quais podem ser vontade do titular - isto é, por meio de uma ação afir-
fornecidas por meio da Política de Privacidade da mativa de sua parte.
incorporadora.
/ Na prática
/ Na prática
É recomendável que o controlador tenha condições
(i) É recomendável apresentar, no contexto da ob- de verificar se o titular realizou alguma ação afirmati-
tenção do consentimento do titular, informações va no fornecimento do consentimento, como assina-
claras e objetivas a respeito do tratamento do qual tura de um termo de consentimento em papel ou a
o consentimento depende, incluindo, por exemplo, seleção voluntária de um checkbox em sistemas ele-
quais dados pessoais serão tratados, com quais ter- trônicos (quando o titular estiver devidamente identi-
ceiros tais dados serão compartilhados e qual será ficado/autenticado). A ideia de “concordância tácita”
a finalidade do tratamento e compartilhamento de com termos de uso, regimentos internos ou com uma
tais dados. política de privacidade disponibilizada pela incorpo-
radora e não necessariamente validada pelos titulares
não poderá ser considerada uma ação afirmativa de
(ii) Ao longo do processo de obtenção do consen-
fornecimento de consentimento.
timento, uma boa prática são as chamadas just-in-
-time notices, em que são apresentadas “pílulas de
informação” ao titular; da mesma forma, práticas de
consentimento granular (diferentes checkboxes ao
invés de somente um) são também boas práticas;
Privacy Dashboards
São áreas do site ou aplicativo do controlador, que permitem
o exercício dos direitos dos titulares de forma facilitada e intui-
tiva, por meio de uma CMP e/ou outras soluções de software
conectadas a essa página.
7.2.
Bases legais para
Dados Sensíveis
Quando o tratamento envolver dados sensíveis, a LGPD privilegia o
uso da base legal do consentimento, devendo as demais bases ser
aplicadas apenas na impossibilidade de obtenção de consentimen-
to e exclusivamente quando o tratamento for imprescindível para o
atingimento das finalidades pretendidas.
7
A LGPD prevê, para além do consentimento e da garantia da prevenção à fraude e à se-
gurança do titular, a possibilidade de tratamento de dados sensíveis nas seguintes hipó-
teses: (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) tratamento
compartilhado de dados necessários à execução, pela administração pública, de políticas
públicas previstas em leis ou regulamentos; (iii) realização de estudos por órgão de pes-
quisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; (iv)
exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e
arbitral; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; e (vi) tutela
da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária.
Consenti- Para dados sensíveis, além dos / Caso a incorporadora deseje iniciar um pro-
mento requisitos mencionados no item 7.1.2., grama de incentivo à prática de atividades
o consentimento também deve ser físicas entre seus colaboradores e, para tan-
destacado. to, necessite coletar e compartilhar dados de
saúde com uma consultoria especializada,
O destaque está relacionado à deverá, no momento da adesão, apresentar
necessidade de se reservar espaço
ao colaborador as regras do programa e co-
dedicado (seja no contexto de um termo,
letar o respectivo consentimento destacado
autorização, contrato ou até de uma
relação verbal) exclusivamente para que o para o tratamento de dados sensíveis.
titular possa manifestar, de forma positiva,
a sua vontade de autorizar o tratamento
de seus dados sensíveis para finalidades
informadas.
/ Na prática
7.2.1. (i) Finalidade de garantia da prevenção à fraude e à se-
Garantia da gurança do titular: o objetivo primordial do processo deve
ser a segurança do próprio titular, não do controlador. Por-
à fraude e à
cabilidade da base legal.
8
Direitos dos
titulares
A LGPD trouxe uma série de direitos que os titulares podem
requerer aos controladores dos dados pessoais. Alguns des-
ses direitos decorrem do cumprimento dos princípios – já
analisados no item 6 deste Guia – e outros da correta apli-
cação das bases legais, conforme avaliado no item 7. Neste
tópico, vamos analisar os direitos previstos no Capítulo III
da LGPD, denominado “dos direitos do titular”. O objetivo
é analisar cada um desses direitos, indicando seu escopo e
possíveis limitações.
Recebimento de Receber cópia Aplicável quando a base art. 19, § 3º Não há previsão legal
cópia integral integral dos dados legal for consentimento ou
tratados pela execução de contrato.
incorporadora.
Poderá haver limitações
baseadas na proteção
do segredo comercial e
industrial, conforme o caso.
Boas Práticas e Governança em Proteção de Dados Pessoais • Fevereiro de 2022
índice 69
Correção Corrigir os dados Aplicável ao tratamento art. 18, III Não há previsão legal
incompletos, inexatos baseado em qualquer
ou desatualizados base legal.
sob controle da
incorporadora, a A incorporadora deve
pedido do titular. certificar-se de que
o titular apresenta
informação correta com
seu pedido de correção.
Anonimização, Anonimizar (passar o Aplicável quando os da- art. 18, IV Não há previsão legal
bloqueio ou dado por um processo dos forem desnecessários,
eliminação que não permita mais excessivos ou tratados em
à incorporadora a desconformidade, como
identificação do titular); quando não há mais uma
bloquear (tornar o dado base legal válida (ex.: op-
inacessível) ou eliminar t-out em lista de e-mail
(excluir o dado da base). marketing criada com base
no legítimo interesse).
Portabilidade Possibilidade de Aplicável, a princípio, a to- art. 18, V Não há previsão legal
mudar de fornecedor dos os casos, pendente de
de produto ou regulamentação futura da
serviço para outro, ANPD.
levando consigo uma
cópia de seus dados Poderá haver limitações
pessoais em formato baseadas na proteção do
interoperável. segredo comercial e indus-
trial, conforme o caso.
Eliminação Excluir do dado, a Aplicável quando a base art. 18, VI Não há previsão legal
pedido do titular, legal for consentimento.
caso seja requerido
pelo titular e quando
não houver outro
motivo legítimo para
manter o dado.
Informação Obter do controlador Aplicável ao tratamento art. 18, VII Não há previsão legal
sobre uso uma lista das entidades baseado em qualquer base
compartilhado públicas e privadas com legal.
as quais o controlador
compartilhou os dados.
Informação sobre Informar o titular, no Aplicável quando a base art. 18, VIII Não há previsão legal
possibilidade momento da solicitação legal for consentimento.
de não fornecer do consentimento, as
consentimento consequências de não
e sobre as consentir. (Ex.: você é livre
consequências da para escolher fornecer
negativa seus dados para nós.
Porém, caso não consinta,
não poderemos fornecer
alguns serviços.)
Revogação do Informar o controlador Aplicável quando a base art. 18, IX Não há previsão legal
consentimento sobre o término legal for consentimento.
do consentimento,
deixando claro que, a Não prejudica o
partir dali, não haverá tratamento de dados
autorização para anterior e não pressupõe
tratamento de dados a exclusão dos dados
realizado com esta base tratados anteriormente.
legal.
Oposição Informar o controlador Aplicável a todos os casos, art. 18, § 2º Não há previsão legal
que não concorda com exceto quando a base
o tratamento de dados legal for consentimento.
pessoais realizado. Neste caso, poderá valer-
(Ex.: após recebimento se da revogação do
de um e-mail marketing, consentimento.
decide opor-se e sai da
lista - unsubscribe. A
partir desse momento, a
incorporadora não tem
legítimo interesse para
enviar e-mail marketing
a esse titular.)
Revisão Informar o titular sobre Aplicável a casos em que o art. 20 Não há previsão legal
a existência de um titular é submetido a uma
processo de decisão decisão automatizada.
automatizada e, caso
requerido pelo titular,
submeter essa decisão a
um processo de revisão.
(Ex.: a incorporadora
utiliza um software
para análise de crédito,
o qual define linhas
de crédito possíveis
com base no perfil do
cliente. A incorporadora
deve informar o cliente
e permitir a revisão da
decisão apresentada pelo
software.)
8.1.
Exercício de
direitos por
titulares
Conforme previsto na LGPD, o titular dos dados pes- Nesse sentido, seguindo as melhores práticas, deve-se
soais tem o direito de peticionar em relação aos seus verificar a identidade do titular por meio de procedi-
dados contra o controlador e perante a autoridade mento que não (i) colete ainda mais dados de forma
nacional. As incorporadoras devem estar prontas desproporcional ao pedido feito e (ii) dificulte o acesso
para receber um volume considerável de requisições, do titular aos seus direitos garantidos por lei.
especialmente no início da vigência da legislação,
atentas aos prazos de resposta. Não há um modelo único e ideal para checagem
de identidade e cada incorporadora deve verificar
Além disso, deve ser definido, internamente, um pro- os dados que coleta de cada categoria de titular e o
cedimento de checagem da identidade do titular. O que seria razoável. Algumas opções são (i) pedir ao
procedimento de verificação de identidade de um ti- requerente para confirmar dados que a empresa te-
tular que requer acesso aos dados é bastante relevan- nha em seu banco para identificar o titular ou (ii) ve-
te, visto que, caso a incorporadora acabe fornecendo rificar documentos oficiais do requerente para che-
dados para pessoas não autorizadas, isso pode ser ca- car sua identidade. Qualquer procedimento adotado
racterizado como um incidente. deve ser documentado e refletido no treinamento
daqueles que trabalham diretamente com o público
externo.
8.1.1.
Atendimento a
petições e
reclamações de
titulares
Considerando os direitos previstos na LGPD e tam-
bém o artigo 43 do Código de Defesa do Consumi-
dor, que dispõe sobre o dever de disponibilização de
informações aos titulares de dados, é essencial que
as incorporadoras, enquanto agentes de tratamento
de dados pessoais, criem mecanismos para o recebi-
mento e atendimento de solicitações de titulares.
/ Na prática
As seguintes soluções representam boas
alternativas:
(i) Disponibilizar um canal de contato (e-mail, por exem- É importante mencionar que, quando houver uma so-
plo) para que o titular possa enviar seus requerimentos licitação de exclusão de dados por um titular e esta for
de direitos; cabível, toda a cadeia de tratamento de dados também
deve providenciar a exclusão - ou seja, a incorporadora
(ii) Desenvolver um privacy dashboard, em atendimen- deverá encaminhar a comunicação aos seus parceiros
to aos requisitos de acessibilidade e transparência, per- que eventualmente tenham recebido dados do titular
mitindo aos titulares o acesso a seus dados pessoais e solicitante.
exercer seus direitos diretamente na ferramenta. Para
clientes, a incorporadora pode criar uma funcionalida- Especificamente sobre a criação de canal de contato
de no portal do cliente para isso; e para requerimento de titulares (item “i” ao lado), é re-
comendável que, considerando as diversas categorias
(iii) Realizar ajustes nas plataformas e sistemas da incor- de titulares com as quais as incorporadoras mantêm
poradora para que os titulares possam ter acesso a in- relações – colaboradores, clientes, fornecedores etc. –
formações sobre o tratamento de seus dados pessoais seja realizada a segmentação dos canais de contato, de
e, quando cabível, solicitar a exclusão. modo a facilitar o tratamento interno das requisições.
9
Obrigações
impostas aos
agentes de
tratamento
A LGPD estabelece uma série de obrigações que devem ser
seguidas pelos agentes de tratamento – controladores ou
operadores. Dentre estas, destacam-se:
9.1.
Registro das
Atividades de
Tratamento
Os controladores e operadores têm a obrigação de
manter registro das operações de tratamento de da-
dos pessoais que realizarem. Tal obrigação demanda
não só o mapeamento das atividades de tratamento,
mas também sua constante revisão e atualização.
/ Na prática Exemplos:
O mapeamento das atividades pode ser realizado por / Após a conclusão do mapeamento das atividades
meio de soluções tecnológicas (sistemas que iden- de tratamento da incorporadora, as informações po-
tificam e desenham o caminho dos dados dentro derão ser armazenadas em ambiente virtual acessí-
da empresa) ou de entrevistas e preenchimento de vel pelos líderes das áreas de negócio – vendas, co-
questionários junto às áreas estratégicas da empresa. mercial, marketing, relacionamento com o cliente
etc. Sempre que uma nova atividade de tratamento
Todo o material reunido e classificado constituirá o for iniciada, o respectivo líder será responsável por
registro de atividades de tratamento da empresa, efetuar o registro na plataforma criada. O prazo para
que precisará ser constantemente revisto – para tan- registro e a responsabilidade por tal ação devem es-
to, pode-se concentrar as tarefas no Encarregado (ou tar previstos em política interna da incorporadora.
equivalente) ou, de forma descentralizada, atribuir
responsabilidade para que as áreas de negócio da / O registro deve refletir a realidade atual de trata-
empresa estabeleçam processos de revisão periódica mento de dados pela incorporadora, de modo que é
do mapeamento das atividades de tratamento. importante estabelecer periodicidade adequada ao
modelo de negócio da incorporadora. A ANPD pode-
rá, futuramente, estabelecer prazo de guarda dos re-
gistros.
9.2. / Na prática
Padrões de
Surgem como boas práticas de segurança a serem
adotadas pelas incorporadoras:
9.3. / Na prática
Privacy by Design
Privacidade por design é uma abordagem de enge-
nharia de sistemas desenvolvida nos anos 1990 e que,
através de alguns princípios, aponta a necessidade de
O conceito de Privacy by Design, também conhecido levar em consideração a privacidade dos usuários du-
como “privacidade por concepção”, determina que rante todo o processo de desenvolvimento de um novo
os agentes de tratamento adotem medidas para pro- produto ou serviço. É um conceito amplo, que leva em
teger os dados pessoais desde a concepção de pro- conta direitos dos titulares, como a autodeterminação
dutos ou serviços e durante todo os respectivos ciclos informativa, a inviolabilidade da intimidade e direitos
de vida. humanos. Ainda que haja críticas por essa abordagem
ser considerada vaga e de difícil aplicação prática, a
LGPD prevê o tema em seu art. 46, § 2º.
9.4.
(i) A finalidade da coleta dos dados;
Para países ou organismos Avaliação de adequação do país. Espera-se que, a partir da decisão de
internacionais que adequação da ANPD, o fluxo internacio-
proporcionem grau de proteção nal de dados pessoais será viabilizado
adequado ao previsto na LGPD com este país, sem a necessidade de
adoção de salvaguardas adicionais ou
qualquer outro tipo de autorização es-
pecífica por parte da ANPD.
Transferência necessária para Sem atuação específica. A transferência seria possível quando
cumprimento de obrigação legal necessária para o cumprimento de uma
ou regulatória pelo controlador obrigação legal ou regulatória decor-
rente da legislação brasileira ou de uma
obrigação estrangeira homologada de
acordo com o direito brasileiro.
Transferência necessária
para o exercício regular Sem atuação específica. Quando a transferência internacional
de direitos em processo dos dados é necessária para a incorpo-
judicial, administrativo ou radora ou suas afiliadas atuarem em
arbitral processo judicial, administrativo ou
arbitral.
Exemplos:
10
Encarregado
(DPO)
Em sua primeira versão, a LGPD definia o Encarregado como uma “pessoa
natural, indicada pelo controlador, que atua como canal de comunicação
entre o controlador e os titulares e a autoridade nacional”. A redação foi pos-
teriormente alterada e o termo “natural” foi excluído, abrindo também a pos-
sibilidade de indicação de uma pessoa jurídica para o cargo, além da pessoa
natural.
/ Comprometimento da organização
com a privacidade e proteção de
dados dos titulares
/ Na prática
O escopo de atividades do Encarregado, nos ter-
mos do artigo 41 da LGPD, está relacionado a:
11
Segurança da
Informação
A segurança é um dos princípios que regem a LGPD, de-
mandando que os agentes de tratamento utilizem medidas
técnicas e administrativas aptas a proteger os dados pes-
soais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou
difusão, ou qualquer outra forma de tratamento inadequa-
do ou ilícito.
11.1.
Normas técnicas e
padrões de segurança
A LGPD não traz padrões técnicos de segurança da informação
específicos a serem seguidos. Em termos de legislação, atualmen-
te o Brasil conta com o regulamento do Marco Civil da Internet
para trazer diretrizes nesse sentido. Porém, é possível que a ANPD
regule este tema no futuro10. Sem prejuízo disso, as medidas de
segurança da informação devem levar em conta a criticidade dos
dados tratados e considerar que medidas de segurança não sa-
nam o descumprimento da legislação como um todo, apenas re-
duzem o risco de incidentes.
sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e
segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especial-
mente a necessidade e a transparência”.
/ Na prática
Considerando as disposições do Marco Civil da In-
ternet e outras obrigações de leis sobre proteção
Exemplos: padrões de segurança merecem es-
pecial atenção em situações como:
de dados pessoais, sugerimos implementar:
11.2. / Na prática
Incidentes
Um plano eficaz deve definir, de maneira clara, as eta-
pas que serão internamente seguidas pelo agente de
tratamento, desde a identificação do incidente, passan-
O conceito de incidentes contempla toda e qualquer do por sua análise e classificação de criticidade, ações
atividade relacionada ao tratamento de dados pesso- de contenção, eliminação e recuperação, até a etapa fi-
ais realizada em desacordo com os preceitos da LGPD nal de elaboração de respostas e notificações cabíveis.
– o não atendimento, por parte do controlador, de um Posteriormente, é fundamental que ocorra o monitora-
direito exercido pelo titular de dados pessoais confi- mento da efetividade das ações adotadas (vale também
gura, assim, um incidente. Incidentes de segurança, se atentar para possíveis efeitos nas esferas judiciais e
por sua vez, referem-se a eventos que impliquem fa- administrativas).
lha na proteção de dados pessoais em posse do agen-
te de tratamento, prejudicando, dessa forma, o cum- A notificação à ANPD e aos titulares deve mencionar,
primento do princípio da segurança. no mínimo:
O artigo 48 da LGPD determina que os controladores (i) A descrição da natureza dos dados pessoais afetados;
deverão comunicar a ANPD e o titular sobre a ocor-
rência de incidentes de segurança da informação que (ii) As informações sobre os titulares envolvidos;
possam acarretar risco ou dano relevante aos titula-
res. Para isso, é fundamental a criação de um plano (iii) A indicação das medidas técnicas e de segurança
de resposta a incidentes capaz de (i) avaliar os riscos utilizadas para a proteção dos dados, observados os se-
aos titulares derivados do incidente de segurança da gredos comercial e industrial;
informação; (ii) ativar procedimentos internos para
que os incidentes de segurança da informação sejam (iv) Os riscos relacionados ao incidente;
informados à ANPD e aos titulares, quando necessá-
rio; e (iii) indicar os procedimentos internos necessá- (v) Os motivos da demora, no caso de a comunicação
rios para a continuidade de negócios. não ter sido imediata; e
12
Supervisão,
responsabiliza-
ção e sanções
A própria LGPD dispõe, em seus artigos 52 a 54, as sanções
aplicáveis pelo descumprimento da legislação. Porém, as
incorporadoras podem sofrer outros tipos de penalidade,
como responsabilização no âmbito civil e autuações do Pro-
con, no caso de dados de clientes e investigações do Minis-
tério Público. Neste tópico, avaliaremos a situação atual de
cada uma dessas frentes, propondo medidas que podem
ser adotadas para reduzir danos.
12.2. 12.3.
Procon, Senacon e Contencioso em
Ministério Público proteção de dados
Nos temas que são de sua competência, outras au- Por fim, o próprio titular dos dados pessoais pode
toridades podem vir a atuar como fiscalizadores das pleitear direitos perante as empresas e judicializar de-
regras de proteção de dados, independentemente mandas de proteção de dados. Da mesma forma que
da efetiva constituição da ANPD – inclusive porque, ocorre em outros setores regulados da economia14, o
como visto, não apenas a LGPD dispõe sobre prote- titular pode apresentar reclamações diretamente à
ção de dados pessoais no Brasil13. Essas entidades empresa, à ANPD ou ao judiciário, visando a obtenção
podem investigar e aplicar penalidades, conforme o de indenizações. Para reduzir danos, recomenda-se
caso, considerando eventuais práticas inadequadas que as incorporadoras, com base nas suas atividades
ou incidentes envolvendo dados pessoais. de tratamento de dados e fragilidades encontradas,
se antecipem a este cenário e busquem avaliar como
Atualmente, tem-se visto uma atuação forte do Minis- mitigar a existência de um processo contencioso nes-
tério Público e da Secretaria Nacional do Consumidor se caso.
(Senacon), tendo aplicado multas e investigado em-
presas com práticas mais agressivas de tratamento
de dados pessoais. Da mesma forma como foi expres-
samente previsto na LGPD, as penas, em geral, são
mais tênues quando as empresas colaboram com as
investigações e prestam informações corretamente.
13
Destaca-se no cenário norma-
tivo o Código Civil, o Código de
14
Exemplificativamente o setor
Defesa do Consumidor, o Marco financeiro, regulado pelo Banco
Civil da Internet e a Lei do Cadas- Central, ou de telecomunicações,
tro Positivo regulado pela Anatel.
13
Checklist de
adequação
Para adequar-se à LGPD e conseguir atender às obrigações
legais dispostas na legislação, conforme analisado neste
Guia, propõe-se o seguinte passo-a-passo. Estas instruções
podem servir como inspiração para que as empresas criem
um checklist de medidas que as incorporadoras podem se-
guir para ter um nível mínimo de adequação.
Ação Objetivo
Mapear os processos organizacionais que utili- Mapear as atividades de tratamento de dados da orga-
zam dados pessoais. nização, as suas relações contratuais com terceiros, os
documentos internos relevantes às atividades e qual-
quer documentação complementar necessária para
entender os processos e elaborar o registro de ativida-
des de tratamento15.
15
Previsto no artigo 37 da LGPD.
Ação Objetivo
Avaliar os contratos com terceiros que tratam Identificar os terceiros que tratam dados pessoais,
dados pessoais para a incorporadora. atribuir nível de criticidade e risco das atividades e
verificar se os contratos protegem a incorporadora.
Atribuir a base legal a cada um dos processos Obter o registro de atividades de tratamento,
mapeados. contemplando uma visão atualizada e adequada dos
processos mapeados, indicando a base legal.
Elaborar relatórios de impacto à proteção de Realizar a análise de risco necessária nos casos de
dados pessoais, conforme necessário. atividades de tratamento de dados de alto risco ou que
se valem da base legal do legítimo interesse.
Ação Objetivo
Elaborar políticas específicas de proteção de Implementar um programa de governança em
dados pessoais. privacidade e proteção de dados pessoais.
Implementar um canal de contato para receber Ter uma ferramenta ou um canal de contato que
requisições de direitos de titulares, além de permita a gestão e resposta das demandas de titulares.
contar com uma ferramenta para tanto.
Revisar as medidas de segurança da informação, Garantir um nível razoável de proteção aos dados
reforçando os controles e ferramentas, se pessoais e evitar incidentes.
necessário.
Treinar colaboradores e corretores, conforme Garantir a eficácia das medidas adotadas e alinhar os
necessário, sobre os novos procedimentos novos processos com aqueles que estão na linha de
adotados. frente da operação.