Jurídico

Lei Geral de Proteção de Dados Pessoais e condomínio

Segmento condominial ocupa o 4º lugar no ranking de setores com maior volume de infrações à LGPD - a maioria relacionada ao monitoramento de imagens. É também o 1º entre entes despersonalizados (sem personalidade jurídica)

Por Mariana Desimone. Atualizado por Catarina Anderáos e Thais Matuzaki (03/05/2024)

13/09/19 11:43 - Atualizado há 6 meses


Já se passaram quase três anos desde que as sanções administrativas para quem descumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) entraram em vigor (1º de agosto de 2021). E, de fato, as penalidades já se tornaram realidade, inclusive para condomínios.

Segundo um estudo promovido por pesquisadores do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), com apoio da ferramenta Jusbrasil, a quantidade de decisões judiciais relacionadas à LGPD tiveram um aumento de 81,4% entre 2022 e 2023. 

Mas a grande surpresa para os condomínios veio com a emissão do relatório elaborado pela ANPD (Agência Nacional de Proteção de Dados), relativo ao período de janeiro a junho de 2023, que aponta o segmento (condomínio, administradoras, empresas de sindicatura, etc) como o 4º no ranking de setores com maior volume de comunicações de irregularidades informadas à agência.

Neste relatório da ANPD, o segmento de condomínios ficou atrás apenas dos setores de "Telecomunicações", "E-commerce" e Educação, empatando com "Entretenimento" e até "Bancos, Financeiras e Administradoras de Cartão". Ou seja, tratam-se de empresas privadas, que obtêm lucro. 

Então, a partir desse recorte, constata-se que os condomínios ocupam o 1º lugar de entes despersonalizados (não possuem personalidade jurídica) com maior número de infrações relacionadas à LGPD. Essa situação, já concretizada, ainda era uma dúvida quando a lei foi sancionada.

De acordo com Bruna Maia, executiva de contas da DPOnet, empresa que presta assessoria de LGPD para diversas áreas, esses dados mostram que o segmento condominial pode ficar cada vez mais na mira da fiscalização da ANPD.

"Agentes fiscalizadores estão nas ruas, mas até meu conhecimento, ainda não chegaram a visitar os condomínios. No entanto, com esse relatório, é bem provável que a fiscalização se torne frequente", ela alerta.

 Nesta matéria você vai ler: 

Como funciona a LGPD e quais as sanções

Você chega na farmácia e pede um remédio específico. O atendente pergunta “Gostaria de dar o seu CPF e conseguir 20% de desconto?”

A situação é prosaica e muita gente já passou por isso. Mas para quê dar o seu CPF para obter um desconto específico? O que é realmente feito com esse dado?

Para sanar essas dúvidas e trazer mais transparência na gestão de dados pessoais é que a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi sancionada, na esteira da legislação europeia que trata do mesmo tema. 

A lei entrou em vigor em 18/9/2020 com sanção presidencial da lei nº 14.058, mantendo veto ao artigo 4º da Medida Provisória 959, que adiava a vigência da LGPD para 1º de janeiro de 2021.

As empresas dos mais diversos ramos devem se adequar ao que a lei exige: maior segurança, privacidade e transparência no uso de informações pessoais, o que proporciona ao titular maior controle sobre o processamento de seus dados pessoais

Para isso, as empresas devem apresentar mudanças em diversas áreas, como: 

Como no exemplo acima, o atendente da farmácia deverá deixar claro: qual será o uso do CPF do cliente. É para a própria farmácia? Para o laboratório? Por quanto tempo esse dado será armazenado?

A LGPD aponta as seguintes sanções em caso de descumprimento, em vigor desde 1º/08/2021:

Empresas precisam se adequar à lei, inclusive do setor condominial 

Muitas empresas – inclusive do setor condominial – tiveram que apostar em novos procedimentos e tecnologias para atender aos pedidos de segurança da lei, já que deixar dados de usuários ‘descobertos’ pode ser uma dor de cabeça séria. 

Importante dizer que as multas para vazamento de dados são altas, e que as companhias deverão ir à imprensa para dar ciência quando isso ocorrer, acarretando, assim, não apenas em prejuízo financeiro, mas também de imagem pública

Uma lei como essa é importante não só para o cidadão comum, que se vê mais empoderado do uso de seus dados pessoais, mas também responsabiliza empresas de todos os setores a olharem com mais atenção para a gestão desses dados. 

As administradoras de condomínio, por exemplo, devem ser transparentes quanto à gestão dos dados dos seus usuários. Elas devem estar preparadas para responder para os seus clientes perguntas como:

Também vale ressaltar que as empresas com maior ou menor base de dados, mais antigas ou mais novas, todas devem se adequar igualmente.

Outro ponto que gerou dúvidas no mercado condominial é sobre o prazo que as administradoras têm para manter dados de ex-moradores em seu sistema.

“Entendo que, para isso, o prazo seja dois ou até três anos, por ser justamente o prazo para ressarcimento de danos, de eventuais danos que tenham sido causados durante o período que ele ocupou a unidade, por exemplo”, ensina André Luiz Junqueira, advogado especializado em condomínios. 

Adequações dos condomínios à LGPD  

Não sabe por onde começar as adequações do seu condomínio à LGPD? Confira abaixo o mínimo a ser observado para estar em conformidade à lei:

1) Criar e implantar Políticas internas, de Segurança da Informação e de Privacidade

Exemplo: definir o processo de controle de acesso de visitantes/prestadores de serviço na portaria:

2) Treinamento de colaboradores

Funcionários devem ter conhecimento da LGPD no que tange às suas funções e explicar para os visitantes o porquê da coleta dos dados e o ciclo de vida.

3) Adequação dos contratos

Com as empresas com as quais o condomínio já tem contratos vigentes, devem ser feitos aditivos contratuais e os próximos contratos novos já devem ser feitos com empresas em conformidade à LGPD, com cláusulas contratuais sobre atendimento à lei. 

O condomínio é o controlador do dado (ele é quem manda), a empresa contratada é o operador (obedece ao controlador).

“Se houver vazamento de dados, o condomínio é o responsável por essa contratação que está infringindo cláusulas, por isso precisa contratar corretamente para se garantir e se preservar. Tem que fazer um contrato bem feito e fiscalizar o cumprimento do contrato pelo operador. Se algum dos prestadores não estiver cumprindo, o condomínio deve tomar atitudes e documentá-las e, caso não resolva, pode rescindir o contrato”, alerta Marilen Fontana.   

A síndica profissional especializada em condomínios-clube Taula Armentano toma as devidas providências. 

“Fizemos a adequação contratual com empresas terceirizadas e administradoras, responsáveis pelo armazenamento, tratamento e quem tem acesso aos dados de condôminos e visitantes. A equipe de colaboradores agora assina termo de confidencialidade e os moradores foram informados sobre o que é a LGPD, como as atualizações cadastrais foram feitas em atendimento à lei, quem tem acesso aos dados, onde ficam e por quanto tempo são armazenados”, explica. 

LGPD afeta os condomínios diretamente

Lá em 2021, quando a Lei Geral de Proteção de Dados Pessoais entrou em vigor, ainda havia muitas dúvidas se a legislação seria aplicada diretamente aos próprios condomínios. E nem todos estavam ligados nela, afinal, era a época em que a pandemia causava estragos. 

Isso porque, segundo interpretação do advogado especialista em condomínios, André Junqueira, a lei excluía da sua aplicação quando o tratamento de dados (atividade) era feito por pessoa natural (física), e para motivo exclusivamente particular, sem interesse econômico, "que é o que acontece quando um visitante entra no condomínio e seus dados são pedidos”.

O entendimento do advogado Cristiano de Souza caminhava nesse sentido, enfatizando que legislação fazia referência apenas "a pessoa jurídica (empresas) ou naturais (pessoa física)". E o condomínio, de fato, não se encaixa em nenhum desses conceitos, pois como dito acima, trata-se de entes despersonalizados, ou seja, sem personalidade jurídica. 

Porém, Angelica Arbex, diretora de Marketing e Inovação da Lello Condomínios, esclarece que apesar de o condomínio não ser uma pessoa jurídica, era fundamental que toda a adequação fosse feita seguindo os critérios estabelecidos pela ANPD.

A diretora da Lello explica que a coleta de informações pessoais deve obedecer a cinco princípios

  1. finalidade
  2. adequação
  3. necessidade
  4. transparência
  5. auditoria.

"Isso tem que ser traduzido para a rotina dos condomínios, como em uma simples lista de convidados na portaria para a liberação de uma festa. Seja físico ou digital, o condomínio deve tratar este documento sob a luz da lei, e porteiros e zeladores precisam estar preparados para explicar a um visitante, por exemplo, qual a finalidade de seus dados naquela lista e como eles foram armazenados", explica Angelica Arbex, da Lello.

Após quase quatro anos da publicação da LGPD, o que vemos é que, sim, os condomínios estão, definitivamente, obrigados a seguir as medidas de proteção de dados pessoais.

E passados os sufocos da pandemia, a conscientização das pessoas sobre seus direitos cresceu muito. Vide o número considerável de ações judiciais elencados na introdução desta matéria. 

"Principalmente em condomínios de alto luxo. Estamos falando de juízes, advogados, empresários, ou seja, é um público que já tem isso implantado no dia a dia, sua empresa ou negócio. Tem grande consciência e, por isso, são muito exigentes", pontua Mauro.  

Então, não há como fugir: condomínios precisam estar atentos nos mais variados procedimentos internos de tratamento de dados pessoais, como, por exemplo, o monitoramento de imagens - um ponto bastante sensível identificado até então.

Até porque, conforme o relatório da ANPD referente ao 1º semestre de 2023, a maior parte das demandas de irregularidades se relaciona com a coleta de imagens pelas câmeras de segurança dos condomínios, bem como com a suposta ausência de políticas de privacidade e de indicação de encarregado. 

Em relação à privacidade, a síndica profissional Betina Soldatelli comenta que a LGPD ajudou muito os síndicos em situações rotineiras, servindo como argumento forte para explicar aos moradores que o compartilhamento de dados pessoais precisa ser respeitado. 

"Certa vez um condômino que teve sua moto roubada em frente ao condomínio insistiu muito para darmos acesso às imagens de CFTV do momento que ocorreu o delito. Expliquei que isso não seria possível porque, segundo a LGPD, a finalidade das gravações é explicitamente para fins de segurança do condomínio, e não uso pessoal. Fora que outras pessoas (pedestres) estavam sendo expostas nas imagens", ela exemplifica.  

A mesma coisa aconteceu quando um produto da loja de conveniência foi furtado de um condomínio em que Betina era conselheira. O acusado foi identificado e logo rolou um e-mail do síndico, envolvendo todos os conselheiros, para que os devidos procedimentos fossem tomados. 

"Sinceramente, por que eu quero saber quem é a pessoa que fez isso? Ninguém precisa julgar o que meu vizinho faz na vida particular dele. Independente de qualquer coisa, todos têm direito à privacidade - é o que prega a LGPD. Nesse sentido, precisamos trabalhar com dados pessoais mínimos, compartilhando somente com quem é realmente necessário. Do contrário, vira fofoca", reforça Betina. 

Bruna Maria, da DPOnet, relembra de outro caso, em que um morador solicitava o acesso às imagens para saber o horário em que sua empregada doméstica chegava ao condomínio. "O princípio da lei é a finalidade. E a coleta de informações pessoais em condomínios não é controle de ponto", ela define. 

Como prevenção, tanto Betina quanto o síndico Mauro Conte, contrataram os serviços da DPOnet, para sua empresa de sindicatura.

"Eu já tinha um certo conhecimento sobre o assunto, me preparei isso, então antes mesmo da lei os cuidados com os dados pessoais, cadastro, leitor facial, biometria, etc já eram tomados. A diferença é que agora tenho a segurança de ter alguém com competência cuidando disso por mim", afirma Mauro.

A DPOnet é uma plataforma de gestão e adequação de dados pessoais, que funciona como encarregado de dados (detalhes abaixo).

A empresa promove treinamentos para todos os envolvidos na cadeia de tratamento de dados do condomínio, sobretudo, os funcionários, e também elabora procedimentos específicos de portaria, bem como oferece atendimento integral para que moradores possam tirar dúvidas

"O que nós fazemos é mapear os processos de tratamento de dados pessoas, orientando os responsáveis, para mitigar riscos aos condomínios", resume Bruna.

Para Mauro, contar com uma assessoria para questões de LGPD demonstra aos moradores, de forma antecipada, o compromisso com a proteção de dados pessoais, com isso, ele diz, "minha gestão se valoriza muito."

Por enxergar a LGPD "como um item tão importante quanto qualquer outra manutenção", Mauro explica que já inclui esse ponto na previsão orçamentária dos condomínios.

LGPD afeta prestadores de serviço do condomínio

Empresas contratadas para prestação de serviço em condomínios, como administradoras, aplicativos, empresas de portaria remota, terceirizadoras de mão de obra, entre outras devem, sim, se adequar aos ditames da Lei Geral de Proteção de Dados.

E devem fazê-lo com atenção, pois as multas podem ser bastante altas: variam de advertências simples a multas de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil limitadas no total a R$ 50 milhões – por infração. A fiscalização cabe à ANPD.

Há muito a ser feito pelas empresas para se adequarem à nova legislação.

Do jurídico à área de processamento de dados, as empresas devem se conscientizar do tamanho dessa mudança”, alerta Allan Alher Fonseca, cofundador da Guardians, uma consultoria focada na LGPD. 

Ele também alerta que com a vigência da lei. As empresas terão que conseguir comprovar que os dados recolhidos por elas foram obtidos com autorização do titular. Ou que exista uma outra  base legal para o seu tratamento, adiciona a advogada Marilen Amorim Fontana.

Empresas mais afetadas pela LGPD

As prestadoras que lidam com um grande número de clientes, como administradoras de condomínios, devem se apressar para se adequar à nova legislação.

“As grandes administradoras já têm essa política de contar com a anuência do morador para pedir suas informações pessoais, além de cuidados de preservação do seu banco de dados”, explica a advogada consultora do grupo Graiche, Laila Bueno.

Outro caso importante é o das empresas de portaria remota, uma vez que dados biométricos são considerados sensíveis. E, tendo essa característica, o cuidado com esses dados deve ser redobrado. 

Há empresas que estão estudando a legislação para se adequar de uma forma orgânica.

“Aqui criamos um grupo de estudos multissetorial para que as medidas necessárias sejam tomadas e a lei, atendida completamente”, ressalta Carolina Peres Salvador, advogada da Porter Group, que oferece serviços de portaria remota.

DPO: mais um colaborador na folha de pagamento

Independente do nicho, todas as empresas que lidam com dados pessoais deverão contar com um DPO: Data Protection Officer, ou Oficial de Proteção de Dados ou encarregado de dados. 

“Seja um cargo dentro da empresa ou terceirizado, o DPO será responsável por assegurar que a empresa siga o que a lei pede – isso inclui tratar com clientes, com o órgão fiscalizador, e até para falar com a imprensa caso haja um vazamento de dados. Uma mistura de jurídico, TI, compliance”, aponta Allan. 

9 pontos para se adequar à LGPD

Confira abaixo os 9 pontos para condomínios se adaptarem à LGPD:

1) Captação de dados 

Para cada dado pedido por uma empresa, em qualquer formulário, seja digital ou em papel, deve-se esclarecer o motivo da necessidade do mesmo e a base legal para seu tratamento.

2) Consentimento

As empresas devem obter consentimento de seus clientes acerca de todos os dados pessoais ou ter outra base legal para seu tratamento. Uma autorização de uso de dados, de todos os dados que a empresa mantiver em seu poder.

3) Prova

Além do consentimento, as empresas deverão conseguir comprovar que obtiveram a autorização dos titulares dos dados, assim como da gestão dos mesmos. 

4) Dados sensíveis

Religião, sexo, orientação política e social, biometria, câmeras pedem outro tipo de cuidado das empresas que obtiveram esses dados. Mais segurança no cuidado dos mesmos e um consentimento claro por parte do titular.

5) Menores

Dados de menores de 16 anos não devem ser usados, a não ser com anuência expressa dos pais ou responsáveis legais.

6) Acesso aos dados

Solicitação de dados na empresa: um morador ou condômino pode ir até a administradora e pedir para conferir os dados que a empresa tem em mãos. O titular pode pedir alterações e até a exclusão de suas informações pessoais do banco de dados. 

7) Vazamentos

Se houver vazamento de dados, a depender do tipo e da gravidade do vazamento, a empresa deve ir à imprensa noticiar o ocorrido e avisar a ANPD. Se atingiu poucas pessoas, diz Marilen Amorim, algumas vezes basta avisar aos próprios titulares.

8) Corresponsabilidade

Se houver vazamento de dados do condomínio em uma empresa parceira, seja da administradora, portaria remota, ou terceirizadora de mão de obra, a responsabilidade será de quem subcontratou. O condomínio, para se proteger, deve comprovar que contratou bem e fiscalizou o cumprimento do contrato.  

9) Política de privacidade

Ao fechar um novo contrato, ou renegociar um antigo, é fundamental que a empresa tenha uma política de privacidade de acordo com a nova lei, assim como regras de confidencialidade.

Como fica a segurança do condomínio?

O uso sensível de dados pelo condomínio é, muitas vezes, o cadastro de visitantes – uma vez que os dados pedidos para condôminos e moradores atendem, ou devem atender, às necessidades daquela comunidade.

Portanto, a portaria é um dos locais do condomínio mais afetados pela LGPD.

Com a lei, como fica a gestão de dados de visitantes? A pessoa pode pedir para ter seus dados excluídos do banco de dados do condomínio assim que ingressar – ou sair – do local?

Ainda não há uma resposta final para essa pergunta. 

“Enquanto perdurar o acesso ao condomínio, por uma questão de segurança e prevenção de riscos, o condomínio poderá tratar os respectivos dados independentemente do consentimento do seu titular, mas sempre informando a razão da coleta e a sua política de privacidade. Todavia, considero que este mesmo titular poderá, quando encerrado o acesso e assim que superada a questão da segurança e prevenção a riscos, exigir a exclusão de seus dados pessoais dos cadastros”, aponta a advogada Moira Toledo, vice-presidente do Secovi-SP.

“Os condomínios coletam esses dados baseados na boa fé, para a sua própria segurança. Mas é importante explicar para o visitante por quanto tempo essas informações serão armazenadas”, aponta Cristiano Souza.

Outro cuidado é com a gestão dos colaboradores: os mesmos deverão estar a par dessas mudanças, para poder explicar para o visitante como os dados deste serão cuidados.

 “O controlador deve conhecer exatamente para quê faz a coleta de dados e estar habilitado para prestar estes esclarecimentos. Deve ter cláusula de confidencialidade com o condomínio em seu contrato de trabalho. Deve conhecer a política de privacidade. Enfim, deve receber treinamento e capacitação e se comprometer a seguir o estabelecido”, argumenta Moira. 

Os apps de condomínios deverão passar pelo mesmo processo: uma revisão dos cuidados com seus dados – e o consentimento claro dos titulares das informações pessoais sobre seu uso.

Brechas na LGPD

Mesmo após quase quatro anos da publicação da LGPD, ainda não temos respostas para todas as dúvidas. Estas são as brechas na legislação:

Tempo de retenção de dados

Não há prazo definido sobre quanto tempo uma empresa pode manter os dados de uma pessoa em seu sistema – será definido pelo próprio controlador conforme o caso e justificativa jurídica.

Como será a fiscalização

A ANPD é o órgão fiscalizador, mas ainda não está claro como esse acompanhamento é feito junto às empresas. O que se sabe é que fiscais já vem atuando nas ruas, porém, são as denúncias dos próprios titulares que mais têm sido requeridas.

Fontes consultadas: André Luiz Junqueira (advogado); Cristiano Souza (advogado); Marilen Amorim Fontana (advogada); Moira Toledo (VP Secovi-SP); Allan Alher Fonseca (cofundador da Guardians); Laila Bueno (advogada); Angelica Arbex (Lello); Carolina Peres Salvador (advogada da Porter Group), Taula Armentano (sindica profissional), Betina Soldatelli (síndica profissional), Mauro Conte (síndico profissional) e Bruna Maia (DPOnet).