A controversa u�lização da base legal do legí�mo interesse no setor
imobiliário
The controversial use of the legal basis of legi�mate interest in the real estate
sector
Thiago Bilik Domingos 1
Orientado por Ana Catarina de Alencar
Resumo
O presente ar�go busca analisar e compreender a u�lização da base legal do legí�mo
interesse nas operações de tratamento de dados pessoais realizadas pelo setor imobiliário,
especialmente, naquelas que envolvam o compar�lhamento de dados pessoais entre vários
agentes de tratamento que par�cipam da cadeia de negócios do ramo. Pretende-se ressaltar
os riscos e violações que a ampla u�lização dessa base legal pode ocasionar. Para tanto, será
analisada a legislação, a doutrina e alguns casos concretos observados em território
brasileiro e na União Europeia. Ao final, busca-se trazer uma discussão sobre a u�lização
adequada dessa base legal, visando a prevenção de danos quanto aos dados dos �tulares.
Palavra-chave: Proteção de dados, legí�mo interesse, setor imobiliário.
Abstract
This ar�cle seeks to analyze and understand the use of the legal basis of legi�mate interest in
personal data processing opera�ons carried out by the real estate sector, especially in those
involving the sharing of personal data between various processing agents that par�cipate in
the business chain of the sector. It is intended to highlight the risks and viola�ons that the
wide use of this legal basis can cause. To this end, the legisla�on, doctrine and some specific
1 Graduando em Direito pela Unisociesc. E-mail: [email protected]
cases observed in Brazilian territory and in the European Union will be analyzed. At the end,
it seeks to bring a discussion on the proper use of this legal basis, aiming to prevent damage
to the data of the holders.
Keyword: Data protec�on, legi�mate interest, real estate sector.
1. Introdução
Com a vinda da Lei Geral de Proteção de Dados (Lei n° 13.709/18), iniciou-se a
discussão sobre a sua aplicabilidade em território brasileiro, tendo em vista que a referida lei
possui inúmeras controvérsias quanto à interpretação de seu texto legal.
Com base no modelo europeu do General Data Protec�on Regula�on (GDPR), a Lei n°
13.709 criada em 2018, tem como finalidade a proteção no uso e compar�lhamento de
dados pessoais de todos os �tulares de dados que dispõem de seus dados aos 2
Controladores e Operadores, nascendo uma necessária observância para o manuseio
consciente e efe�vo de tais dados, a fim de proteger direitos e garan�as cons�tucionais,
preservando seus �tulares.
Para tanto, os agentes de tratamento de dados pessoais deverão u�lizar de algumas
“hipóteses autorizadoras” para realizar as operações de tratamento de dados, como o
compar�lhamento, sendo que essas hipóteses constam em um rol taxa�vo na lei estão
mencionadas como “bases legais”. Assim, os agentes de tratamento deverão u�lizar os dados
enquadrando-se em alguma base legal, caso contrário, estarão em dissonância com a lei,
tratando os dados do �tular de forma ilegal ou irregular, podendo até mesmo sofrer sanções
administra�vas e judiciais.
Uma das bases legais da lei, e objeto deste ar�go, é a base legal do legí�mo interesse,
que possibilita, por exemplo, o compar�lhamento de dados sem que haja o consen�mento
do �tular. Segundo estudiosos, como a DPO Fernanda Nones, o compar�lhamento dos dados
pessoais com base no legí�mo interesse deve ser realizado unicamente quando: “a) o
consen�mento do usuário for muito di�cil de ser ob�do; b) o consen�mento do usuário
pode ser considerado desnecessário; c) houver um impacto mínimo no indivíduo ou uma
jus�fica�va convincente para a sua u�lização;” (NONES, 2020). Adicionalmente, podemos
2 Art. 1°, da LGPD
mencionar que a base legal também pode ser adotada quando há jus�fica�va plausível e
proporcional à sua u�lização.
Portanto, destacado que a lei abrange toda a população nacional, tem-se levantado o
ques�onamento sobre a u�lização do legí�mo interesse nas operações de compar�lhamento
do setor imobiliário, tendo em vista que é de notoriedade que tal setor u�liza diversos dados
dos �tulares para a confecção do contrato, fechamento do negócio, análise de crédito
bancário e demais serviços prestados. Muitas vezes, esses dados são compar�lhados entre
Construtoras, Incorporadoras, Imobiliárias, Corretores, Agências de Financiamento Bancário,
entre outras empresas par�cipantes da cadeia de negócios do setor, conforme no�ciado em
âmbito nacional através do emblemá�co processo judicial envolvendo a construtora Cyrela
promovido no ano de 2019 e sentenciado em 2020.
Em meio a tantos compar�lhamentos de dados, resta controverso o uso da base legal
do legí�mo interesse em boa parte das a�vidades de tratamento deste setor, vez que, a base
legal é de extrema flexibilidade e subje�vidade, fazendo com que muitas vezes os dados dos
�tulares sejam compar�lhados e u�lizados sem que haja transparência mínima,
conhecimento ou mesmo consen�mento e do �tular sobre essa operação.
Sendo assim, o obje�vo deste ar�go é analisar e compreender a subje�vidade
interpreta�va da lei quanto ao compar�lhamento dos dados pessoais dos �tulares nas
a�vidades do setor imobiliário, conforme a aplicação da base legal do legí�mo interesse,
trazendo reflexões sobre esta controvérsia e indicando possíveis meios adequados à
u�lização dessa base legal.
2. Controladores de dados pessoais no setor imobiliário brasileiro
Após a sua promulgação, a LGPD trouxe consigo alguns termos e definições para as
partes direcionadas pela lei, como os �tulares de dados, os agentes de tratamento, o
controlador de dados e o operador de dados.
Na figura dos agentes de tratamento, a ANPD (Autoridade Nacional de Proteção de
Dados), em pequeno guia de orientações, define que: “são agentes de tratamento o
controlador e o operador de dados pessoais, os quais podem ser pessoas naturais ou
jurídicas, de direito público ou privado. Ressalta-se que os agentes de tratamento devem ser
definidos a par�r de seu caráter ins�tucional.” (AUTORIDADE NACIONAL DE PROTEÇÃO DE
DADOS, 2021).
Portanto, aqueles que detenham a posse dos dados dos �tulares, são chamados de
agentes de tratamento, dividindo-se em operador e controlador de dados.
Enquanto o controlador de dados define e decide acerca do tratamento devido sobre
os dados dos �tulares, o operador apenas realiza as funções estabelecidas pelo controlador,
se atentando aos interesses e finalidades definidas por este.
Aplicando no setor imobiliário, temos como exemplo de controladores as
Imobiliárias, as Construtoras e Incorporadoras, as Agências Bancárias e até mesmo os
Corretores Autônomos.
Infelizmente, por terem uma ampla afinidade entre os integrantes que compõem o
setor imobiliário, é recorrente que parceiros de negócios compar�lhem os dados de seus
consumidores, visto a busca pela obtenção de bene�cios para a sua empresa, seja por
comissões de venda ou indicações de compra, fato é, que devido a esse compar�lhamento
indevido, o �tular de dados começa a receber diversos disparos de mensagens, seja via
e-mail, WhatsApp ou SMS e recebimento de diversas mensagens não consen�das, e,
consequentemente, sendo lesado pelo compar�lhamento indevido de seus dados.
O controlador do setor imobiliário muitas vezes parte do princípio de que o dano a
sofrer em uma possível ação judicial, tendo em vista o compar�lhamento dos dados e
aborrecimento do consumidor, possui um valor ínfimo, visto o lucro que irá arrecadar com
tais “disparos” em massa, fazendo com que a prá�ca do compar�lhamento seja cada vez
mais usual, sendo, portanto, uma espécie de “gasto programado”.
No que tange a principiologia consumerista, percebemos que, com o
compar�lhamento indevido dos dados dos �tulares, há a quebra de alguns princípios
primordiais para a relação de consumo, como por exemplo, o princípio da confiança, no qual
o fornecedor deve agir com lealdade para com o consumidor. Cita-se também o princípio da
transparência, pelo qual o fornecedor tem o dever de informar sobre todos os riscos do
negócio, preservando a boa-fé obje�va e consagrando a relação de consumo existente.
Desta forma, a legislação consumerista já em seu ar�go 6º, sinaliza quanto aos
direitos do consumidor, sendo defeso a eles a informação adequada, proteção contra
publicidade enganosa, prevenção e reparação de danos morais e materiais, bem como, no
que tange ao compar�lhamento dos dados pessoais, pode-se encontrar amparo no Capítulo
V, Seção VI, in�tulada “Dos Bancos de Dados e Cadastros de Consumidores”, nos ar�gos 43 e
44, que o �tular de dados/consumidor, terá acesso às suas informações, podendo ser
“cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como
sobre as suas respec�vas fontes” (CÓDIGO DE DEFESA DO CONSUMIDOR, 1990).
Quanto aos dados pessoais, em recente decisão histórica, o STF (Superior Tribunal
Federal) reconheceu o direito fundamental autônomo a proteção de dados pessoais e o
direito à autodeterminação informa�va, fazendo com que não se tenha mais discussão sobre
“dados neutros” ou “dados insignificantes”, tendo em vista que qualquer dado, sendo esse
capaz de iden�ficar ou deixar iden�ficável uma pessoa merece proteção cons�tucional.
Destaca-se que, até a vinda da LGPD, o Brasil demorou cerca de anos até a
promulgação de uma legislação específica que tratasse sobre os dados pessoais dos �tulares,
tal promulgação par�u do escopo do regulamento europeu, a GDPR, conforme confirma
Teixeira:
O GDPR é um regulamento do direito europeu que unificou as leis de privacidade de dados em toda Europa e tem como principal obje�vo a proteção de todos os cidadãos europeus da violação de dados e de sua privacidade, estabelecendo regras e sanções, que serviram de base para muitos ar�gos da lei brasileira. (TEIXEIRA, 2020, p. 28).
Portanto, a LGPD tem como fundamento a proteção devida do uso e
compar�lhamento de dados pessoais de todos os �tulares que concedem seus dados aos
Controladores e Operadores, nascendo observâncias necessárias para o manuseio de tais
dados, a fim de proteger direito e garan�as cons�tucionais, não lesando o �tular dos dados,
conforme dispõe a Lei em seu Art. 1°:
Art. 1° Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o obje�vo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018).
E, em consonância com a lei, Patricia Peck (2020, p. 70) relata: "A LGPD surge com o
intuito de proteger direitos fundamentais como privacidade, in�midade, honra, direito de
imagem e dignidade”.
Conforme observado, a lei versa sobre os direitos e garan�as das pessoas �sicas,
chamadas “�tulares de dados” que compar�lham seus dados, seja para acessar um site ou,
contratar outro produto ou serviço.
Para isso, a lei es�pula métodos adequados para o tratamento de dados dos �tulares,
sendo tais métodos in�tulados como “base legal”, conforme dispõe Mario Viola e Chiara
Spadaccini de Teffé:
Diante do cuidado com o tema, foi estabelecido como regra geral (Art. 1.º) que qualquer pessoa que trate dados, seja ela natural ou jurídica, de direito público ou privado, inclusive na a�vidade realizada nos meios digitais, deverá ter uma base legal para fundamentar os tratamentos de dados pessoais que realizar. (VIOLA; TEFFÉ, 2020, p. 131).
E, não havendo o enquadramento em nenhuma base legal, na qual, possuindo seu rol
taxa�vo nos Art. 7° e Art. 11° da lei, tem-se o uso dos dados ilegí�mo e ilícito, conforme
dispõe Viola e Teffé (2020, p. 131). “[...] não sendo uma hipótese de exclusão, deverá ocorrer
o encaixe do tratamento realizado em pelo menos uma das hipóteses legais para que ele seja
considerado legí�mo e lícito, sendo possível inclusive cumular as mesmas, assim como no
GDPR.”
Porém, a lei destaca que, não havendo o uso devido, legí�mo e lícito dos dados
pessoais, o controlador e/ou o operador poderão responsabilizar-se por todos os danos a
que causou a outrem, conforme es�pula o Art. 42 da LGPD (BRASIL, 2018): “O controlador ou
o operador que, em razão do exercício de a�vidade de tratamento de dados pessoais, causar
a outrem dano patrimonial, moral, individual ou cole�vo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.”
Destaca-se que, além da reparação pelos danos causados a outrem, a lei prevê
punições para aqueles que atuarem em desacordo com o previsto em lei, sendo cada
punição aplicada administra�vamente e variando conforme o grau do dano, conforme
preceitua Patricia Peck (2020, p. 46): “A Lei prevê que as sanções serão aplicadas após
procedimento administra�vo que possibilite a oportunidade da ampla defesa, de forma
grada�va, isolada ou cumula�va, de acordo com as peculiaridades do caso concreto.”
Portanto, observamos que a LGPD não veio para ser uma lei “complementar” ao CDC,
mas sim, tratar de especificidades que anteriormente não eram discu�das e tampouco
observadas.
Par�ndo dessa premissa, observa-se a existência de certo conflito entre as normas da
LGPD e a sua interpretação no Setor Imobiliário, onde a LGPD por meio da sua base legal do
legí�mo interesse (e tema do presente ar�go), autoriza o compar�lhamento dos dados
desde que certas salvaguardas sejam aplicadas para não extrapolar as legí�mas expecta�vas
do �tular.
Tal conflito fica evidente no famoso caso da construtora e incorporadora Cyrela, onde
em sentença proferida em setembro de 2020, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de
São Paulo, condenou a empresa pelo compar�lhamento dos dados de seu consumidor com
parceiros comerciais, embasando sua decisão não só no Código de Defesa do Consumidor
(CDC), mas, também na LGPD. Destaca-se que tal julgado foi o primeiro a ser proferido em
território brasileiro u�lizando-se a LGPD, iniciando a discussão quanto a sua aplicabilidade a
par�r desta decisão.
Para tanto, a juíza explica a u�lização da LGPD : 3
É incontroverso que o autor celebrou com a ré instrumento contratual por meio do qual forneceu seus dados pessoais, dentre os quais nome, endereço, profissão, estado civil. Acerca do tratamento de tais dados, as cláusulas 2.21.8 apontou a autorização do ora autor em ter seus dados incluídos em cadastro posi�vo. Não há dúvida que a relação entre as partes é de natureza consumerista como restou assentado na decisão de fls. 627/630 de sorte que um dos direitos fundamentais do consumidor é de acesso à informação adequada acerca dos serviços que lhes são postos à disposição . Especificamente sobre o assunto referente ao tratamento de dados, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados LGPD) prescreve que são fundamentos da disciplina da proteção de dados , dentre outros, o respeito à privacidade, a autodeterminação informa�va, a inviolabilidade da in�midade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade (art. 2º). Vê-se, portanto, que os referidos diplomas (CDC e LGPD) encontram-se em consonância com os princípios fundamentais da República expressos na Cons�tuição Federal de 1988, especialmente o respeito à dignidade humana (art. 1º, III, CF/88), a construção de uma sociedade livre, justa e solidária (art. 3º, I, CF/88) e a promoção do bem de todos sem preconceitos (art. 3º, IV, CF/88). (grifos nossos)
3 BRASIL. Foro Central da 13ª Vara Cível da Comarca de São Paulo/SP. Sentença nº 1080233-94.2019.8.26.0100. Requerente: Fabricio Vilela Coelho. Requerido: Cyrela Brazil Realty S/A Empreendimentos e Participações. Relator: Juiza Tonia Yuka Koroku. Sentença. São Paulo, p. 1253-1260. Disponível em: https://www.conjur.com.br/dl/compartilhar-dados-consumidor-terceiros.pdf. Acesso em: 20 jun. 2021.
Bem como, a violação da proteção dos dados do �tular por parte da empresa : 4
Patente que os dados independentemente de sensíveis ou pessoais (art. 5º, I e II, LGPD) foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu �tular (art. 6º, I, LGPD). O contrato firmado entre as partes prescreveu apenas a possibilidade de inclusão de dados do requerente para fins de inserção em banco de dados (“Cadastro Posi�vo”), sem que tenha sido efe�vamente informado acerca da u�lização dos dados para outros fins que não os rela�vos à relação jurídica firmada entre as partes . Entretanto, consoante prova documental acima indicada, houve a u�lização para finalidade diversa e sem que o autor �vesse informação adequada (art. 6º, II, LGPD). (grifos nossos)
Porém, mesmo o Autor relatando nos autos que seus dados foram compar�lhados indevidamente, vez que recebia diversos telefonemas e mensagens de bancos e lojas de decoração, interligando-as a operação de compra e venda realizada, o recurso de Apelação Cível proposto pela empresa, acarretou a reversão da decisão de primeiro grau pelo TJSP. Foi considerado pela segunda instância que não foram demonstradas provas suficientes de que a Cyrela teria compar�lhado os dados em questão. Além disso, o grande argumento u�lizado para afastar a responsabilidade da empresa pela operação irregular de compar�lhamento foi o que de a LGPD não estava em plena vigência quando as partes assinaram o contrato. Adicionalmente, entendeu-se que as várias mensagens recebidas pelo consumidor não “ultrapassaram a esfera do mero aborrecimento”, in verbis : 5
Nesse aspecto, de proêmio, destaco que , embora a MM. Magistrada a quo tenha também aplicado a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei n° 13.709/2018) ao caso em tela, não havia fundamento para tanto, eis que, quando da contratação do empreendimento da Cyrella pelo autor (10 de novembro de 2018 - págs. 55/106) e do suposto vazamento de dados, ela ainda não estava em vigor . Note-se que o contrato foi firmado em 10/11/2018 e que o menor prazo de entrada em vigor da referida Lei (dia 28/12/2018) referia-se somente à criação da Autoridade Nacional de Proteção de Dados (ANPD) e à composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. No mais, a vigência plena da Lei Especial ocorreu apenas em 14/08/2020 (Art. 65). As alegadas ligações, mensagens e e-mails recebidos pelo autor, ainda que de forma reiterada e apesar de causar incômodo, não caracterizam, por si
5 BRASIL. 3ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo. Apelação Cível nº 1080233-94.2019.8.26.0100. Apelante/Apelado: Cyrela Brazil Realty S.a. Empreendimentos e Participações. Apelado/Apelante: Fabricio Vilela Coelho. Acórdão. São Paulo.
4 BRASIL. Foro Central da 13ª Vara Cível da Comarca de São Paulo/SP. Sentença nº 1080233-94.2019.8.26.0100. Requerente: Fabricio Vilela Coelho. Requerido: Cyrela Brazil Realty S/A Empreendimentos e Participações. Relator: Juiza Tonia Yuka Koroku. Sentença. São Paulo, p. 1253-1260. Disponível em: https://www.conjur.com.br/dl/compartilhar-dados-consumidor-terceiros.pdf. Acesso em: 20 jun. 2021.
só, violação de in�midade . Na realidade, nas circunstâncias apresentadas, elas não ultrapassaram a esfera do mero aborrecimento . (grifos nosso)
Tal decisão desfavorável ao �tular de dados fez com que se abrisse precedentes potencialmente danosos à aplicabilidade da LGPD em território brasileiro, tendo em vista que independente se a assinatura do contrato foi realizada antes da vigência da lei, a ilegalidade da ação do controlador ocorre no momento em que é descoberta tal ilicitude, e, portanto, é possível defender que o TJSP deveria realizar uma interpretação abrangente da legislação combinando as disposições da LGPD, com os preceitos da Cons�tuição Federal, bem como do próprio Código de Defesa do Consumidor.
Observa-se que embora a tutela consumerista tenha como obje�vo proteger o consumidor, em diversas oportunidades é possível verificar posicionamentos do Judiciário brasileiro que não refletem esse obje�vo, tutelando os interesses comerciais das empresas e não dos consumidores. Ressalte-se que não houve qualquer manifestação de interesse do consumidor no compar�lhamento indiscriminado de seus dados que pudesse levar ao recebimento de inúmeras promoções e envios massivos pela construtora e de seus parceiros, restando caracterizado seu abalo moral.
Lembremo-nos que a Cons�tuição Federal possui garan�as não apenas para a proteção de dados pessoais e da privacidade, mas, também, garante que “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei” (BRASIL, 1988), e, assim, o �tular de dados não é obrigado a receber tais informa�vos excessivos e desinteressantes, de modo que, neste caso, o controlador de dados responsável pela operação de tratamento estará ferindo uma série de direitos que não apenas aqueles expressos na LGPD.
De todo modo, o intuito do presente ar�go não é realizar uma análise profunda da decisão proferida no caso da empresa Cyrela, embora tais aspectos sejam importantes para entender a tutela conferida aos direitos de consumidores que têm seus dados compar�lhados indevidamente no mercado. Ressalte-se que a lei é nova e o entendimento jurisprudencial ainda está em formação no país. Por isso, busca-se destacar a importância dados pessoais e, como essas operações de compar�lhamento acarretam uma série de riscos ao controlador, podendo resultar em multas administra�vas ou em condenações judiciais.
Posto isso, o caso Cyrela abre um interessante precedente para a LGPD e traz inúmeros ques�onamentos sobre a correta interpretação da lei. Trata-se de um importante julgado no âmbito imobiliário, assim como em outros, trazendo atenção para a u�lização da base legal do legí�mo interesse pelas empresas. Deve-se ter de considerar que o legí�mo interesse é a mais flexível entre todas as bases legais, entretanto, não se trata de um salvo-conduto para tutelar apenas os negócios do controlador de dados, sem proteger os interesses do �tular.
3. O que é o legí�mo interesse na LGPD
Conforme observado, para que se possa u�lizar os dados dos �tulares, a lei obriga o
controlador a enquadrar o seu manuseio em pelo menos uma das bases legais presentes na
lei (BRASIL, 2018) “Art. 7º O tratamento de dados pessoais somente poderá ser realizado
nas seguintes hipóteses: (grifo nosso) .”
Quanto à definição do termo “base legal”, temos a explicação de Mariana Barros:
As bases legais da LGPD são os requisitos necessários para o tratamento de dados. Em outras palavras, as bases legais cons�tuem as hipóteses de tratamento de dados pessoais. Elas são as orientações gerais que autorizam a a�vidade de tratamento de dados por qualquer controlador. (BARROS, 2020).
Para tanto, podemos encontrar tais bases na própria lei, presente no ar�go 7° e ar�go
11°, sendo o ar�go 11 referente ao tratamento de dados pessoais sensíveis. Em resumo,
temos as seguintes hipóteses:
Tabela 1 - Bases Legais
Nome da base legal Previsão na lei
Consen�mento Art. 7, I e Art. 11, I
Cumprimento de Obrigação legal ou regulatória Art. 7, II e Art. 11, II, a
Uso compar�lhado de dados pela Administração Pública Art. 7, III e Art. 11, II, b
Realização de estudos e pesquisas Art. 7, IV e Art. 11, II, c
Execução ou preparação de contrato Art. 7, V
Exercício de direitos em processo judicial, administra�vo ou arbitral Art. 7, VI e Art. 11, II, d
Proteção da vida e da incolumidade �sica Art. 7, VII e Art. 11, II, e
Tutela de saúde do �tular Art. 7, VIII e Art. 11, II, f
Legí�mo Interesse Art. 7, IX
Proteção do crédito Art. 7, X Fonte: Produzida pelo autor com base na Lei Geral de Proteção de Dados (BRASIL, 2018)
Podemos observar que cada base legal é autoexplica�va em seu inciso, não havendo
dificuldade para os agentes quanto ao seu entendimento, de todo modo, embora tenha uma
lista respec�vamente extensa de u�lização, é notório que possamos observar com mais
frequência umas a mais que as outras, como no caso da base legal do consen�mento, sendo
uma das mais conhecidas da LGPD, na qual presente no Art. 7 em seu Inc. I, relata que o
consen�mento deverá ocorrer “mediante o fornecimento de consen�mento pelo �tular”
(BRASIL, 2018). Portanto, o �tular demonstra, de boa vontade, seu consen�mento em dispor
de seus dados, seja por escrito ou outro meio que demonstre a vontade de modo cristalino.
Quanto ao consen�mento, Mario Viola e Chiara Teffé destacam que “o
consen�mento representa instrumento de manifestação individual no campo dos direitos da
personalidade e tem o papel de legi�mar que terceiros u�lizem, em alguma medida, os
dados de seu �tular.” (VIOLA; TEFFÉ, 2020, p. 134).
Portanto, para a u�lização da base legal do consen�mento, o controlador deverá
obter o consen�mento do �tular por escrito ou por meio equipara�vo que não cause riscos
de invalidação do consen�mento expressado.
Coligando o tema com as bases legais, insta mencionar uma das possíveis bases legais
presente no setor imobiliário, não sendo o consen�mento e o legí�mo interesse, é a base
legal do cumprimento de obrigação legal ou regulatória, na qual dispõe sobre o tratamento
de dados sob as obrigações, presente no Art. 7 Inc. II da LGPD, que, em seus termos, traz a
possibilidade de tratamento de dados “para o cumprimento de obrigação legal ou regulatória
pelo controlador.” (BRASIL, 2018).
Nesta base legal, é jus�ficável que o controlador u�lize os dados para cumprir uma
obrigação legal ou regulatória, exemplo disso, temos a inadimplência do �tular e o
acionamento do controlador deste na jus�ça, vemos que o controlador dispõe dos dados
para cumprir a obrigação.
A LGPD dispõe em seu Inc. IX do Art. 7° (BRASIL, 2018) que a base legal do legí�mo
interesse poderá ser u�lizada “quando necessário para atender aos interesses legí�mos do
controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades
fundamentais do �tular que exijam a proteção dos dados pessoais”.
Para tanto, tem-se discu�do muito sobre o legí�mo interesse do controlador, sendo,
nacionalmente, chamada de uma das bases legais mais flexíveis da lei. Conforme explica
Mario Viola e Chiara Teffé, "o legí�mo interesse é hipótese legal que visa a possibilitar
tratamentos de dados importantes, vinculados ao escopo de a�vidades pra�cadas pelo
controlador, e que encontrem jus�fica�va legí�ma.” (2020, p. 140).
De todo modo, para que o controlador não venha a sofrer qualquer penalidade com a
u�lização da base legal, é necessário que ele faça um “teste de proporcionalidade”, tendo
alguns ques�onamentos quanto se a finalidade é legí�ma, se há necessidade, o
balanceamento dos dados (a expecta�va do �tular) e as salvaguardas (se o �tular possui
meio de exercer seus direitos), conforme Mario Viola e Chiara Teffé descrevem:
Destaca-se que o legi�mate interest assessment apresenta quatro fases que devem ser cumpridas de modo a se verificar o preenchimento do requisito do legí�mo interesse. São elas: (i) a avaliação dos interesses legí�mos; (ii) o impacto sobre o �tular do dado; (iii) o equilíbrio entre os interesses legí�mos do controlador e o impacto sobre o �tular; e (iv) salvaguardas desenvolvidas para proteger o �tular dos dados e evitar qualquer impacto indesejado. (VIOLA; TEFFÉ, 2020, p. 142).
Mario Viola e Chiara Teffé concluem:
[...] podem ser concluídos alguns pontos em relação ao legí�mo interesse: a) pode ser a base mais apropriada em diversas hipóteses, devendo, porém, ser aplicada de forma proporcional e limitada, quando trouxer bene�cio claro e determinado para o controlador e/ou terceiro; b) poderá ser aplicado quando não causar um impacto elevado aos direitos e garan�as do indivíduo; c) o indivíduo – �tular dos dados – deverá esperar razoavelmente que seus dados sejam usados dessa maneira; e d) poderá ser aplicado quando não for possível ou não se desejar dar ao �tular dos dados total controle ou, ainda, quando o controlador não quiser incomodá-lo com solicitações de consen�mento para tratamentos que muito provavelmente seriam aceitos pelo �tular. (VIOLA; TEFFÉ, 2020, p. 145).
É notório que a base legal possui a sua flexibilidade, e que, portanto, o controlador
deve u�lizar um efe�vo teste de proporcionalidade, visando não só obtenção própria, mas,
também, o mínimo de prejuízo ao �tular.
Neste ponto, ao traçar necessidade da confecção do teste de proporcionalidade,
tem-se levantado a dúvida sobre o ônus probatório do controlador, ou seja, o controlador
arquivar o LIA visando sua proteção em uma possível ação judicial para comprovar que de
fato houve um interesse legí�mo e que esse interesse se baseou em toda a legalidade que a
lei carrega consigo em seu Art. 10.
Comparando a LGPD e a GDPR, podemos observar notáveis disparidades a respeito
deste tema. O pesquisador e membro do Conselho Consul�vo da ANPD, Bruno Bioni, relata
que:
No âmbito da GDPR , ainda há discussão sobre se os agentes de tratamento de dados deveriam se valer e documentar o teste de ponderação do legí�mo interesse sempre que as suas a�vidades de tratamento de dados es�vessem apoiadas em tal base legal. Isso porque a própria estrutura do LIA não está esquema�zada no “texto duro” da lei, mas, tão somente, nas diretrizes para a sua interpretação . E, além disso, o regulamento europeu apenas reforçou o dever de informação junto aos �tulares dos dados (arts. 1333 e 1434 da GDPR), mas não o dever de documentação acerca das a�vidades de tratamento de dados lastreadas no legí�mo interesse. (...) No âmbito da LGPD, a moldura norma�va é substancialmente dis�nta: a ) primeiro , porque as fases do LIA estão talhadas no próprio texto duro da lei, estando distribuídas ao longo dos incisos e parágrafos do art. 10. Ou seja, não se trata de uma diretriz interpreta�va, mas, efe�vamente, do próprio conteúdo norma�vo em torno da licitude de tal base legal; b ) segundo , porque não apenas o dever de informação é reforçado como corolário do princípio da transparência, mas, também e principalmente, o dever de registro das a�vidades de tratamento de dados. Com isso, a racionalidade da LGPD aponta para uma documentação especial, que nos parece ser justamente o LIA. (BIONI, 2020, p.184). (grifos nossos)
Portanto, conclui-se que, enquanto a GDPR, embora tenha sido modelo, não tratou
com clareza a respeito da obrigação e necessidade do arquivo do LIA, a LGPD trouxe a
obrigação já expressa em seus ar�gos. 6
De todo modo, mesmo com a delimitação exata da lei quanto a u�lização e a ilicitude
do compar�lhamento dos dados pessoais, infelizmente, os juízes brasileiros em grande
maioria não aplicam adequadamente as salvaguardas da lei, e, mesmo com a vigência plena
e letra de lei extremamente clara e expressa, negam o direito daqueles mais fragilizados e
lesados, os �tulares de dados.
6 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Em resumo, é recorrente encontrarmos no dia a dia pessoas reclamando de contratações indevidas, emprés�mos indevidos, mensagens de textos, ligações e e-mails recorrentes em seus celulares, chegando a até mesmo necessitarem de perícia grafotécnica para verificar se o consumidor que nega veementemente a contratação do serviço, de fato, assinou ou não o contrato, conforme decisão do estado São Paulo:
Apelação - Ação Declaratória – Apelante que nega ter assinado o contrato objeto da demanda que permite o desconto em seu bene�cio previdenciário. – Julgamento Antecipado - Cerceamento de defesa configurado – Necessidade de se verificar a auten�cidade da assinatura constante do contrato em busca da verdade real. Sentença Anulada – Apelo Provido. (TJSP; Apelação Cível 1026881-80.2020.8.26.0071; Relator (a): Ramon Mateo Júnior; Órgão Julgador: 15ª Câmara de Direito Privado; Foro de Bauru - 5ª Vara Cível; Data do Julgamento: 25/08/2021; Data de Registro: 25/08/2021)
Em estudo realizado no mês de junho de 2021 , observou-se a citação da LGPD em 7
162 (cento e sessenta e duas) decisões nacionais, sendo que cerca de 92% delas foram
proferidas pelo estado de São Paulo.
Portanto, a aplicação da LGPD em solo brasileiro é extremamente importante, visto as
a�tudes recorrentes das grandes empresas que u�lizam não só os dados dos �tulares em
suas serven�as, mas também compar�lham entre os seus parceiros comerciais, gerando um
gigantesco abarrotamento jurídico com inúmeras ações no judiciário brasileiro.
Em contraponto, u�lizando-se de modelos europeus, podemos citar a recente multa
e a maior já aplicada pela GDPR (perfazendo o montante de US$ 887.000.000,00 - cerca de
R$ 4,5 bilhões de reais) devido a compar�lhamentos de dados, no caso da Amazon. Nessa
demanda, a autoridade de proteção de dados do país de Luxemburgo, após a reclamação do
grupo francês “La Quadrature du Net” que acusou o compar�lhamento indevido dos dados
pessoais dos adquirentes da assistente de voz “Alexa”, fazendo com que o histórico de
navegação dos �tulares de dados fosse compar�lhado indevidamente a terceiros.
Portanto, é percep�vel a nível mundial que não havendo regulamentação e efe�va
punição sobre tais a�vidades ilícitas de compar�lhamento de dados, haverá permissividade
para o compar�lhamento indevido de dados pelas empresas.
7 OPICE BLUM (São Paulo). INCIDENTE DE SEGURANÇA É TEMA DE 7 EM CADA 10 DECISÕES JUDICIAIS RELACIONADAS À LGPD, INDICA ESTUDO DO OPICE BLUM . 2021. Disponível em: http://opiceblum.com.br/incidente-de-seguranca-e-tema-de-7-em-cada-10-decisoes-judiciais-relaciona das-a-lgpd-indica-estudo-do-opice-blum/. Acesso em: 20 out. 2021
Bem como, é percep�vel que tais violações geralmente são descobertas por “acaso”
pelos �tulares, mostrando a necessidade da u�lização devida da base legal do legí�mo
interesse, visto que a base em seu texto legal, menciona que o controlador deverá respeitar
as expecta�vas do �tular, e, necessitando o controlador a realizar o efe�vo teste de
proporcionalidade (LIA).
4. A u�lização do legí�mo interesse no compar�lhamento de dados pessoais entre
Controladores de dados no setor imobiliário
Como visto, são várias as a�tudes de compar�lhamentos indevidos e aborrecimento
constantes de �tulares em relação às a�vidades de tratamento no setor imobiliário. Nesse
sen�do, com a vinda da lei, operadores da área do direito e controladores de dados
começaram a se posicionar de modo errôneo quanto a u�lização da base legal do legí�mo
interesse, colocando como uma espécie de cláusula/termo contratual, e em sua redação
trazia o consen�mento do �tular necessitando de assinatura específica, assim, se dizia que
primeiramente estavam u�lizando da base legal do consen�mento e subsidiariamente da
base legal do legí�mo interesse (ou vice versa) para se defenderem de possíveis incômodos
com os �tulares.
Tal posicionamento, seja por um aplicador do direito, DPO ou controlador, está
totalmente equivocado, pois, as bases legais não se somam, bem como, parte de um
entendimento primário e pré-histórico ao achar que a LGPD parte de uma “simples” cláusula
contratual, fato é, mesmo com o consen�mento do �tular e da u�lização do interesse
legí�mo do controlador, o DPO ou controlador poderão infringir sanções administra�vas,
tendo em vista que a lei não dispõe somente sobre o cuidado externo dos dados, mas
também do armazenamento interno e principalmente do manuseio deste.
É notório que a u�lização da base legal do legí�mo nas a�vidades de tratamento que
envolvem o compar�lhamento de dados pessoais entre vários agentes da cadeia econômica
do setor imobiliário parece extremamente fácil de solucionar se pensarmos em usar sempre
o consen�mento neste caso. De todo modo, vale destacar que nenhuma base legal está
acima das demais, não havendo hierarquia entre si, e, portanto, devendo sua u�lização
obedecer a cada caso concreto. Além disso, o consen�mento nem sempre é a base legal
adequada já que pode não ser dado de forma totalmente esclarecida, quando há assimetria
de poder entre as partes e, também pode ser revogado a qualquer momento.
Quando falamos no rol do Art. 7 da lei, inevitavelmente nos vem à cabeça o
“consen�mento do �tular”, onde muitas vezes inconscientemente achamos que tal base é a
maior ou superior hierarquicamente sobre as demais, tendo em vista que se o �tular
consen�u, é porque está tudo certo com o procedimento tomado, porém, segundo Mario
Viola e Chiara de Teffé:
O consen�mento do �tular dos dados recebeu tutela destacada na LGPD, ainda que não seja, vale lembrar, a única hipótese legal para o tratamento de dados pessoais nem hierarquicamente superior às demais con�das no rol do Art. 7.º ou 11 da lei. Aliás, em determinados casos, a obtenção do consen�mento poderá ser até mesmo inadequada, tendo em vista a existência de outra base legal mais precisa para o tratamento em questão. (VIOLA; TEFFÉ, 2020, p. 131).
Portanto, evidenciado que as bases legais são isonômicas entre si, é necessário o
controlador se atentar para que produza de forma documental o mo�vo de sua u�lização no
gerenciamento e compar�lhamento dos dados, nasce assim a figura do LIA e RIPD.
Primeiramente, esclarece-se acerca do RIPD (Relatório de Impacto de Proteção de
Dados), onde podemos encontrar presente no Art. 5, inciso XVII da LGPD, dispondo que o
controlador deverá realizar um relatório de impacto, conforme a lei:
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mi�gação de risco; (BRASIL, 2018).
Portanto, o RIPD seria um documento/relatório que traria consigo o resumo da
aplicação e uso dos dados pessoais do �tular em determinada empresa, salienta-se que a
ANPD poderá solicitar este documento para que possa averiguar possível infração realizada
pelo controlador, conforme dispõe o ar�go 38 da lei:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste ar�go, o relatório deverá conter, no mínimo, a descrição dos �pos de dados coletados, a
metodologia u�lizada para a coleta e para a garan�a da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mi�gação de risco adotados. (BRASIL, 2018).
O controlador ao elaborar o RIPD poderá decidir a par�r do relatório qual base legal
deverá u�lizar para que consiga tratar os dados pessoais de forma lícita e segura, visando
sempre as medidas mi�gatórias e demonstrando os contextos que podem acontecer tais
violações.
Noutro ponto, temos o LIA “Legi�mate Interest Assessment”, que seria o teste de
proporcionalidade da base legal do legí�mo interesse, onde o legislador ao colocar o seu
disposi�vo em seu Art. 7, inciso IX da lei, fez com que fosse necessário a u�lização conjunta
do Art. 10, devendo o controlador se atentar a ambos os ar�gos.
Nesse sen�do, Bioni explica os ar�gos e a u�lização correta da base legal:
Enquanto o primeiro prevê o legí�mo interesse como uma base legal para o tratamento de dados, o segundo disposi�vo detalha a sua operacionalização. Foi uma solução também emprestada da experiência europeia que, após sofrer com uma aplicação pouco uniforme, decidiu elencar fatores de avaliação em torno do que deveria ser considerado como um interesse legí�mo – legi�mate interests assessment/LIA. (BIONI, 2019, p.176)
Portanto, para que o profissional da área imobiliária/controlador, u�lize de forma
correta a base legal, deverá realizar uma “avaliação de impacto”, ou melhor, um “teste de
proporcionalidade”, que deverá atender os parágrafos e incisos presentes no Art. 10:
Art. 10. O legí�mo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legí�mas, consideradas a par�r de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de a�vidades do controlador; e II - proteção, em relação ao �tular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legí�mas expecta�vas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legí�mo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garan�r a transparência do tratamento de dados baseado em seu legí�mo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento �ver como fundamento seu interesse legí�mo, observados os segredos comercial e industrial. (BRASIL, 2018).
Conforme esclarece Bioni (2019, p. 177) “O primeiro passo é verificar se a.1) o
interesse do controlador é contornado por uma finalidade legí�ma, isto é, se não contraria,
por exemplo, outros comandos legais (leis esparsas e legislação infralegal).” e “(...) verificar
se tal interesse está claramente a.2) ar�culado, para que não seja um cheque em branco”,
portanto, primeiramente, deverá observar quanto à finalidade do interesse do controlador,
se esta possui legi�midade sobre a ação de tratamento ou não.
Após a coleta dos dados e iden�ficado o interesse do �tular e do controlador, é
necessário que o controlador reflita se os dados podem a�ngir o mesmo resultado caso
u�lize uma quan�dade de dados e qual seria o impacto no �tular, conforme relata Bioni
(2019, p. 177) “Uma vez bem ar�culado e iden�ficado o interesse do controlador ou do
terceiro, é necessário verificar se: b.1) os dados coletados são realmente aqueles necessários
(minimização) para se a�ngir a finalidade pretendida.”.
Portanto, nesta fase o controlador deverá observar quanto aos dados que u�lizará, se
há a necessidade de u�lização de todos os dados, visando, sempre, a minimização do
compar�lhamento dos dados, focando somente nos dados necessários.
Na terceira fase, o controlador deverá verificar se o �tular será beneficiado com a
u�lização dos dados deste, conforme Bioni nesta fase deverá ques�onar alguns requisitos:
Deve-se perquirir: c.1) se o novo uso atribuído ao dado está dentro das legí�mas expecta�vas do �tular dos dados. Isso é parametrizado pela noção de compa�bilidade entre o uso adicional e aquele que originou a coleta dos dados pessoais. Eles devem ser próximos um do outro, demandando-se uma análise contextual para verificar se esse uso secundário seria esperado pelo �tular dos dados. Aliás, não foi por outra razão a escolha do termo “legí�mo”, o qual qualifica não só a base legal em questão, mas também o princípio da finalidade; e c.2) de que forma os �tulares dos dados serão impactados, especialmente repercussões nega�vas em termos de discriminação e sobre a sua autonomia (liberdades e direitos fundamentais). (BIONI, 2019, p. 178)
Por úl�mo, verifica-se a transparência quanto a u�lização dos dados e a minimização
dos riscos com o �tular destes, para Bioni:
(...) reforça-se d.1) o dever de transparência. Obje�va-se, com isso, franquear ao cidadão d.2) poder de tomada de decisão para se opor a tal a�vidade de tratamento de dados (opt-out), podendo optar por estar fora do que considera ser incompa�vel com as suas legí�mas expecta�vas. Isso porque a legí�ma expecta�va é também dele �tular e é nesse momento que pode levantar a sua voz para controlar seus dados a posteriori, d.3) o controlador deve adotar ações que mi�guem os riscos do �tular dos dados
(v.g., anonimização dos dados), sendo este o sen�do da previsão da eventual necessidade de elaboração de relatório de impacto à privacidade na LGPD. (BIONI, 2019, p. 178).
Portanto, evidenciado tais u�lizações, seja na seara das bases legais, ou, seja na seara
dos testes e relatórios, o controlador do setor imobiliário ao aplicar tais ensinamentos e
disposi�vos, deverá primeiramente se atentar ao RIPD. Caso a empresa chegue à conclusão
de que a base legal terá de ser o legí�mo interesse, deverá promover o teste de
proporcionalidade (LIA), a fim de assegurar salvaguardas não só ao �tular de dados, mas
também a sua empresa e a sua área de atuação, visto as penalidades administra�vas e
judiciais, possuindo sempre uma polí�ca preven�va de atuação.
5. Considerações Finais
Como visto, a LGPD e a GDPR têm como finalidade principal regular o uso e
compar�lhamento de dados pessoais. Tal regulamento reconhece a relação desproporcional
de poder entre os dos �tulares de dados frente à grandiosidade e responsabilidade dos
agentes de tratamento, como visto nos casos da Amazon e Cyrela.
É notório que com a vinda da LGPD em território brasileiro e com a decisão em
primeira instância do caso Cyrela, abriu-se um ponto de atenção e cuidados necessários com
o compar�lhamento de dados no setor imobiliário, portanto, a par�r de agora com a entrada
plena da lei, as empresas que compõe o setor deverão se enquadrar e se aprofundar cada
vez mais na LGPD, contratando profissionais capazes e especialistas na área, estruturando
cada vez mais o seu negócio e deixando em consonância do que a lei es�pula, adotando
prá�cas e providências capazes de antever o dano, e, assim, fazendo com que haja a
u�lização correta da base legal do legí�mo interesse, bem como, as demais observâncias
consumeristas, devendo respeitar os direitos dos �tulares/consumidores, beneficiando não
só a empresa, mas também o �tular de dados.
De todo modo, o fato da empresa se considerar “adequada” do ponto de vista da
LGPD, não quer dizer que futuramente não poderá vir a ser penalizada por operações
irregulares de compar�lhamento de dados. Por isso, as empresas devem adotar parâmetros,
princípios e medidas de contenção que ensejem maior segurança não só para o �tular como
também para o controlador, visto que o manuseio e o cuidado com os dados serão cada vez
mais controláveis e previsíveis, saindo da obscuridade anterior à vinda da LGPD. Por
conseguinte, é notável que a lei não impede a ocorrência de eventuais danos ao consumidor,
mas, possui como fito principal regular o tratamento e uso devido dos dados daqueles que
são os mais vulneráveis nesta relação.
Para isso, inicialmente, a empresa deverá realizar um mapeamento para definir e
estabelecer quais dados irá tratar, de quem vai tratar, como vai tratar e quais medidas de
segurança serão adotadas. Após realizado esse mapeamento inicial, a empresa poderá
realizar um RIPD (como esclarecido anteriormente), para que consiga verificar os riscos e
estabelecer todas as jus�fica�vas para a u�lização da base legal do legí�mo interesse.
Adicionalmente, é possível e recomendável que a empresa elabore o LIA (“Legi�mate
Interest Assessment”), para testar efe�vamente se a base legal do legí�mo interesse se
aplica de modo adequado e seguro à operação de compar�lhamento em questão.
Verificado que a base legal a se u�lizar é a do legí�mo interesse, e, após
confeccionado o LIA, o controlador poderá compar�lhar os dados do �tular, resguardando o
seu ônus probatório, guardando para si o teste para que em uma possível intervenção e
solicitação da ANPD, ele possa comprovar que está u�lizando e preenchendo todos os
requisitos já dispostos em lei.
Insta mencionar que ainda quanto a aplicabilidade da base legal, a empresa do ramo
imobiliário deverá conter uma base de dados eficiente e segura, visando sempre a proteção
dos dados do �tular, ou o consen�mento do �tular em algum termo, caso a empresa escolha
aplicar a base legal do consen�mento no caso específico, visto que, na ausência do legí�mo
interesse, poderá se usar do consen�mento deste ou de outras bases legais que venham a se
aplicar adequadamente.
De todo modo, tal u�lização não quer dizer que uma base se sobressai sobre a outra,
mas, sim, visa-se a transparência no negócio jurídico celebrado.
Conclui-se, portanto, que a u�lização da base legal do legi�mo interesse poderá
ocorrer desde que seja adequada ao contexto e passe pelo LIA ou RIPD, a fim de trazer
transparência sobre a sua adequação à operação de tratamento, sem extrapolar as
expecta�vas dos �tulares. Assim, o controlador de dados deverá se atentar a todas as suas
especificidades, compar�lhando dados com respeito aos �tulares e profissionalismo,
visando, sempre, os parâmetros dispostos na lei.
6. Referências
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Guia Orienta�vo para Definições
dos Agentes de Tratamento de Dados Pessoais e do Encarregado . 2021. Disponível em:
h�ps://www.gov.br/anpd/pt-br/assuntos/no�cias/2021-05-27-guia-agentes-
de-tratamento_final.pdf. Acesso em: 23 out. 2021.
BARROS, Mariana. 10 Bases Legais da LGPD: Quais são? [Guia Completo]. 2020. Disponível
em: h�ps://legalcloud.com.br/bases-legais-lgpd/. Acesso em: 23 out. 2021.
BIONI, Bruno, et al. Tratado de Proteção de Dados Pessoais. Grupo GEN, 2020.
9788530992200. Disponível em:
h�ps://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso em: 23 out.
2021.
BRASIL. 3ª Câmara de Direito Privado do Tribunal de Jus�ça de São Paulo. Apelação Cível nº
1080233-94.2019.8.26.0100. Apelante/Apelado: Cyrela Brazil Realty S.a. Empreendimentos e
Par�cipações. Apelado/Apelante: Fabricio Vilela Coelho. Acórdão. São Paulo.
BRASIL. Cons�tuição da República Federa�va do Brasil de 1988. Brasília, 05 out. 1988.
Disponível em: h�p://www.planalto.gov.br/ccivil_03/cons�tuicao/cons�tuicao.htm. Acesso
em: 24 out. 2021.
BRASIL. Dispõe sobre a proteção do consumidor e dá outras providências. Lei Nº 8.078, de
11 de setembro de 1990. Brasília, 11 set. 1990. Disponível em:
h�p://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 24 out. 2021.
BRASIL. Foro Central da 13ª Vara Cível da Comarca de São Paulo/SP. Sentença nº
1080233-94.2019.8.26.0100. Requerente: Fabricio Vilela Coelho. Requerido: Cyrela Brazil
Realty S/A Empreendimentos e Par�cipações. Relator: Juiza Tonia Yuka Koroku. Sentença. São
Paulo, p. 1253-1260. Disponível em: h�ps://www.conjur.com.br/dl/compar�lhar-dados-co
nsumidor-terceiros.pdf. Acesso em: 23 out. 2021.
BRASIL. Lei Geral de Proteção de Dados Pessoais (Lgpd). Brasília, 14 ago. 2018. Disponível
em: h�p://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em:
24 out. 2021.
DEMARTINI, Felipe. Cyrela é a 1ª empresa condenada por descumprir a LGPD e deve pagar
R$ 10 mil. 2020. Disponível em: h�ps://canaltech.com.br/juridico/cyrela-e-a-1a-emp
resa-condenada-por-descumprir-a-lgpd-e-deve-pagar-r-10-mil-172465/. Acesso em: 23 out.
2021.
FERREIRA, Lucia Maria Teixeira. A decisão histórica do STF sobre o direito fundamental à
proteção de dados pessoais. 2020. Disponível em:
h�ps://www.conjur.com.br/2020-nov-25/lucia-ferreira-s�-direito-protecao-dados-pessoais.
Acesso em: 23 out. 2021.
MIRANDA, Maria Bernadete. Os princípios consagrados no Código de Proteção e Defesa do
Consumidor. 2017. Disponível em:
h�p://estadodedireito.com.br/os-principios-consagrados-no-codigo-de-protecao-e-defesa-c
onsumidor1/. Acesso em: 24 out. 2021.
NONES, Fernanda. LGPD: desmis�ficando a base legal do legí�mo interesse. 2020.
Disponível em: h�ps://resultadosdigitais.com.br/blog/legi�mo-interesse/. Acesso em: 24
out. 2021.
OPICE BLUM (São Paulo). INCIDENTE DE SEGURANÇA É TEMA DE 7 EM CADA 10 DECISÕES
JUDICIAIS RELACIONADAS À LGPD, INDICA ESTUDO DO OPICE BLUM. 2021. Disponível em:
h�p://opiceblum.com.br/incidente-de-seguranca-e-tema-de-7-em-cada-10-decisoes-judiciai
s-relacionadas-a-lgpd-indica-estudo-do-opice-blum/. Acesso em: 20 out. 2021.
PECK, P. Proteção de dados pessoais . Editora Saraiva, 2020. 9788553613625. Disponível em:
h�ps://integrada.minhabiblioteca.com.br/#/books/9788553613625/. Acesso em: 23 out.
2021.
RAMOS, Pedro H. A regulação de proteção de dados e seu impacto para a publicidade
online: um guia para a LGPD. 2019. Disponível em:
h�ps://bap�staluz.com.br/ins�tucional/a-regulacao-de-protecao-de-dados-e-seu-impacto-p
ara-a-publicidade-online-um-guia-para-a-lgpd/. Acesso em: 23 out. 2021.
SAUER, Fernanda. LGPD e CDC: como essas leis interagem em matéria de proteção de
dados. 2020. Disponível em:
h�ps://www.nextlawacademy.com.br/blog/lgpd-e-cdc-como-essas-leis-interagem-em-mater
ia-de-protecao-de-dados. Acesso em: 24 out. 2021.
TEIXEIRA, Tarcisio; ARMELIN, Ruth Maria Guerreiro da Fonseca. Lei Geral de Proteção de
Dados Pessoais: comentada ar�go por ar�go. 2. ed. Editora Juspodivm, 2020. Disponível em:
h�ps://www.editorajuspodivm.com.br/cdn/arquivos/9f74f5d1796969b27aa6
a66908cc65cd.pdf. Acesso em: 23 out. 2021.