fbpx

Quais as principais dúvidas sobre LGPD e condomínios

 

por André Del Cistia Ravani*

Já se passou um ano e meio da entrada em vigor da Lei Geral de Proteção de Dados, e quase quatro anos de sua promulgação, sendo possível extrair dados importantes para avaliar seus impactos em toda a sociedade.

Se por um lado as notificações de ataques cibernéticos aumentaram exponencialmente (crescimento de 220% no primeiro semestre de 2021, conforme levantamento da CVM), juntamente com notícias cada vez mais corriqueiras de vazamento de dados por diversas instituições e prejuízo efetivo na continuidade de negócios das empresas (veja o exemplo do apagão de dados de saúde sofrido pelo governo desde o final de 2021), por outro lado a sociedade passou, gradativamente, a cobrar cada vez mais, a proteção dos dados pessoais compartilhados.

Estudos apontam que 64% dos consumidores preferem empresas realmente preocupadas com seus dados pessoais e 73% das organizações que implementaram medidas de proteção de dados causaram um impacto positivo na confiança de seus consumidores.

Muito bem, e por que esses dados podem estar relacionados aos condomínios? Simples, se os condomínios podem ser encarados como micro sociedades de pessoas, as expectativas e impactos de uma legislação no mundo externo podem e certamente terão impacto proporcional na vida da massa condominial.

Ou seja, assim como os condomínios estão expostos cada vez mais a ataques cibernéticos e vazamento de dados, sua massa condominial estará, cada vez mais, preocupada com a proteção dos dados pessoais tratados pelo condomínio. Portanto, se você ainda não se deparou com alguma discussão, direta ou indireta, sobre proteção de dados em seu condomínio, não demorará muito para que alguém venha a suscitar essa questão em alguma assembleia ou em discussões de grupos de whatsapp.

Mas depois de tanto tempo de vigência da lei, ainda é possível existir dúvidas sobre o assunto quando falamos de condomínios? A resposta é afirmativa. Vamos a algumas delas:

Quais as principais dúvidas sobre LGPD e condomíniosA LGPD se aplica a condomínios?

Esse é um assunto muito debatido atualmente, com entendimentos diversos muito bem fundamentados. Uma corrente sustentada por excelentes estudiosos entende que a LGPD não seria aplicada aos condomínios pois estes, apesar de possuírem CNPJ, não executam o tratamento de dados com finalidade econômica.

Mas a princípio não parece que esse será o entendimento que prevalecerá, já que outros fundamentos muito bem sustentados são levantados para dar suporte à aplicação da legislação no ambiente condominial.

Na prática, não há dúvidas que diante de um possível vazamento de dados, seja de morador seja de funcionário, a LGPD será trazida à discussão, forçando o síndico, corpo diretivo e administradoras a procurar um meio de evidenciar quais foram as providências adotadas para que aquele evento não ocorresse.

Imaginem, de uma hora para a outra, a estrutura administrativa ter que se preocupar com a rastreabilidade de uma informação vazada, ou ainda ser cobrada por um órgão administrativo que investiga a ocorrência de um crime, da apresentação de dados pessoais de um hóspede temporário que contratou a locação pelo Airbnb.

São questões que mais cedo ou mais tarde farão parte do dia a dia do síndico. De modo que, se a sociedade caminhar pela não aplicação da LGPD aos condomínios (o que não se espera), o curso normal da vida fará com que a administração tenha que se preocupar em implantar medidas similares às exigidas pela lei.

Para alívio esperamos que, em breve, tenhamos uma regulamentação do tema pela Autoridade Nacional de Proteção de Dados, que trará um ponto final a essa discussão.

Mas por que devemos nos preocupar com a aplicação da legislação aos condomínios se os dados coletados são mínimos?

Aqui temos um questionamento comum vindo da massa condominial e de muitos síndicos, já que naturalmente não temos a real visibilidade da quantidade de dados pessoais, inclusive dados sensíveis, que são tratados por um condomínio.

A começar pelos dados de seus colaboradores. Temos aqui uma enorme quantidade de dados pessoais, tanto de colaboradores orgânicos quanto terceirizados, que precisam de atenção, tanto para segurança dos colaboradores quanto para segurança da massa condominial.

Preocupação como o ambiente onde esses dados serão armazenados, com quem serão compartilhados, como serão compartilhados e se existe, no contrato de trabalho, as cláusulas necessárias a resguardar o condomínio contra eventual alegação de inexistência de consentimento para o tratamento.

Além disso, imaginem a enorme quantidade de dados de moradores que são tratados pelo condomínio. Podemos começar com as mais simples possibilidades de tratamento como a coleta da placa do carro para cadastramento de TAGS, até a coleta de biometria (dado sensível) de moradores para autorizar sua entrada no prédio.

Vamos mais além, imaginando como podemos armazenar, e por quanto tempo podemos armazenar os dados de imagem coletadas pelas câmeras de segurança, ou mesmo se existe o termo legal para que a empresa que oferece o mini mercado colete os dados de imagem na câmera que fica instalada no local.

E o que dirá o síndico se eventual dado pessoal for vazado através dos grupos de whatsapp? Teria o condomínio responsabilidade? O grupo é oficial? Quem é o administrador?

Percebem? Existe uma infinidade de dados de moradores, e parentes de moradores, que são tratados pelo condomínio que, em algum momento, será demandado a apresentar esclarecimentos a respeito de eventual vazamento.

Por fim, dados de parceiros técnicos e fornecedores de serviços que invariavelmente são compartilhados entre os próprios moradores.

Portanto, a resposta para a pergunta acima apontada é o condomínio deve ser preocupar muito com a aplicação da LGPD em sua estrutura pois a massa de dados tratados é imensa, sendo coletados por inúmeras portas de acesso.

O condomínio pode ser responsabilizado pelo vazamento de dados ocorrido através de grupos de whatsapp? Mas esses grupos são dos moradores. Qual a responsabilidade do condomínio sobre isso? Tenho certeza que essa pergunta veio à sua cabeça após a leitura do questionamento anterior. E a resposta é: Sim o condomínio tem responsabilidade sobre as informações trocadas no grupo de whatsapp DESDE QUE seja o grupo oficial de comunicação e que o condomínio seja o seu administrador.

Quem aqui já se deparou com vizinhos brigando em grupo de whatsapp e que, logo depois, iniciaram as ameaças de processo contra o condomínio pela exposição e danos sofridos perante toda a massa condominial?

Aqui o cuidado tem que estar na comunicação preventiva aos moradores que precisam ter certeza de qual grupo é, definitivamente, o grupo oficial do condomínio. Nesse grupo o condomínio, comandado pelo síndico, poderá inclusive advertir morador por conduta antissocial, pois será o único administrador do grupo.

Por outro lado, o síndico terá que ter o cuidado de não participar de nenhum outro grupo de moradores e deixar claro que qualquer intercorrência em mencionados grupos não será de responsabilidade do condomínio.

Vale aqui duas dicas:

(i) Síndico orgânico: deixe muito bem esclarecido nos grupos qual é o canal de comunicação oficial pois assim você poderá participar dos demais grupos como efetivo morador. O mais seguro é não participar dos demais grupos enquanto assumir a condição de síndico
(ii) Síndico Profissional: já passou da hora de adequar sua empresa aos termos da legislação pois, se por um lado o condomínio pode suscitar a possibilidade de não aplicação da lei, sob o argumento de que não exerce atividade remunerada, esse fundamento não pode ser aplicado a você, que exerce atividade remunerada e ficará, através de sua pessoa física ou jurídica, responsável pelo tratamento de dados de moradores, colaboradores e terceiros.

Se, por conta de um vazamento de dados o condomínio sofrer um prejuízo, será possível entrar com ação regressiva contra o síndico? Qual o parâmetro para aplicação de multas contra o condomínio?

Dúvida corriqueira em discussões sobre a aplicação da LGPD em condomínios. De quem é a responsabilidade pela não adequação do condomínio? E aqui devemos nos atentar a um fato importante. O síndico poderá sim ser responsabilizado (ainda mais se for síndico profissional), no caso de inexistência de procedimento de adequação se tal tema não for nem sequer proposto para discussão e votação em assembleia.

Para que o síndico tenha respaldo, é importante apresentar o tema para discussão dos condôminos, evidenciando os riscos a que todos estão expostos e registrar em ata a decisão condominial pela realização ou não do processo de adequação.

Ele é o representante da massa condominial e deve adotar todos os procedimentos necessários para que os princípios e diretrizes da lei sejam respeitadas.

Deverá, também, suscitar a inclusão do tema “proteção de dados” na convenção condominial, após aprovação dos condôminos em assembleia.

Com relação às multas, a legislação aplica, como base, o faturamento do controlador com a alíquota de até 2% sobre tal faturamento (limitado a cinquenta milhões de reais por evento de vazamento).

Como o condomínio não possui faturamento, possivelmente a ANPD determinará que o valor da multa será calculado através de aplicação da alíquota prevista em lei sobre o valor da receita condominial anual.

Os funcionários do condomínio devem passar por treinamento constante?

Sim, é muito importante que os colaboradores e, por que não, os próprios moradores, passem por treinamentos constantes sobre proteção de dados e as normas que serão aplicadas internamente a partir da adequação.

Isso porque grande parte dos problemas com vazamento de dados poderiam ser evitados com o a maior difusão da cultura de proteção de dados e demonstração eficaz e corriqueira dos problemas que a falta de consciência de segurança da informação pode causar.

Quem aqui nunca se deparou com colaboradores que, por falta de treinamento, desrespeitaram uma regra condominial, permitindo, por exemplo, a entrada de pessoa não autorizada? Ou mesmo de um condômino que, para alcançar um objetivo pessoal dentro do condomínio, deixa de respeitar uma regra coletiva de convivência?

Pois é nesse sentido que o treinamento constante deve ser aplicado. Para demonstrar a todo o momento da importância da proteção de dados e os motivos da implantação de uma série de procedimentos. Assim poderão ser evitados, por exemplo, que mercadorias pessoais fiquem expostas por longos períodos na portaria, permitindo que qualquer pessoa que ali transite tenha acesso aos dados pessoais constantes das etiquetas das correspondências.

O condomínio será obrigado a contratar um encarregado de dados?

Atualmente é um profissional muito caro para a estrutura do condomínio. Aqui um ponto muito importante. A lei determina que todo controlador de dados (figura que se aplica ao condomínio), contrate um encarregado de dados (ou na sigla europeia DPO – Data Protection Officer).

Esse profissional será responsável pela gestão completa dos dados pessoais dentro das instituições, assumindo os processos preventivo e repressivo de combate e resposta a incidentes.

Atualmente esse profissional tem sido muito requisitado no mercado, sendo que sua faixa salarial tem alcançado números bem expressivos o que, por sua vez, dificulta a sua contratação por empresas de menor porte.

Não à toa que a ANPD, no ano de 2021, abriu consulta pública sobre o regulamento que pretende emitir a respeito da possibilidade de eximir as pequenas empresas da contratação de referido profissional.

A tendência é a de que, na prática, o mesmo entendimento aplicado às pequenas de pequeno porte econômico seja aplicado, também, aos condomínios, juntamente com a normativa que sedimentará a aplicação da legislação à relação condominial.

Por outro lado, por mais que referida normativa venha a ser aplicada aos condomínios, é importante que a estrutura pense em uma forma de adequar a contratação de um profissional ou um serviço para tal atividade, já que tal profissional trará maior segurança e proteção à relação de tratamento de dados pelo Condomínio.

Muitas empresas que oferecem o serviço de DPO terceirizado vem adequando seus preços de acordo com a realidade de cada cliente, sendo essa uma boa alternativa para os condomínios contratarem serviço especializado que trará efetiva proteção e será responsável por intermediar qualquer comunicação com titulares, controlador e Autoridade Nacional de Proteção de Dados.

Como o processo de adequação é aplicado aos condomínios?

Para terminar esse artigo, gostaria de abordar um tema que sempre é apresentado em meus treinamentos. Como é realizado o processo de adequação?

Dependendo do profissional contratado, o processo de adequação pode adotar diversas metodologias diferentes sendo que dois passos são extremamente importantes.

O primeiro é a fase de diagnóstico. Para que o processo de adequação seja realizado de forma eficaz é mito importante que seja realizado um levantamento profundo e fidedigno de todos os dados que são tratados pelo condomínio, desde a sua coleta até o seu descarte. E aqui é preciso avaliar cada acesso de modo individualizado para entender a importância, necessidade e finalidade de cada uma das informações que são tratadas.

Após o levantamento das informações, é muito importante definir uma base legal para cada linha de tratamento. Por exemplo, lembra daquele dado que é tratado através do whatsapp? Se não houver o atendimento de nenhuma outra finalidade da lei, será necessário que o síndico tenha um termo de consentimento do condômino para que seu dado seja tratado para a finalidade apontada para o uso da ferramenta.

A definição dessa linha de tratamento trará a necessidade de, na segunda fase, ser criado o termo de consentimento e as devidas informações que poderão ser apresentadas pelo próprio sistema quando do ingresso do morador no grupo.

Por isso que a primeira fase é a mais importante e a que dispende mais tempo pois o correto acesso às bases de dados tratadas definirá a correta criação dos documentos necessários à adequação do condomínio.

A segunda fase será responsável, também, por colocar em prática os processos técnicos de TI que servirão de base para proteger a estrutura de acessos indevidos, oferecendo a rastreabilidade necessária ao efetivo atendimento da legislação.

Por fim, mas não menos importante, é necessário que o condomínio tenha todos os documentos  para realizar qualquer processo de resposta a incidentes, atendendo, assim, de forma exaustiva, o princípio da transparência.

Assim concluo minhas considerações sobre o tema apresentado. Ainda possuímos um longo caminho a trilhar com relação ao atendimento da legislação de proteção de dados, mas é imprescindível que o condomínio, através de seus síndicos, adote as medidas necessárias para o início dos processos de adequação de suas estruturas.

Muito em breve o assunto baterá à porta.

*André Ravani é o head de Tecnologia e Informação, comandando a equipe de Direito Digital do escritório Amaro Advogados sendo eleito, em 2021, um dos advogados mais admirados do Brasil pela Revista Análise Advocacia. Possui mais de 20 de anos de carreira desenvolvida em escritórios nacionais de médio e grande porte, onde construiu larga experiência no contencioso e consultivo cível digital.
CEO da empresa Laris Consultoria em Proteção de Dados, tornou-se especialista na Lei Geral de Proteção de Dados, obtendo a certificação internacional de DPO emitido pela empresa Exin.
Professor e palestrante, vem utilizando sua experiência para idealizar mecanismos didáticos e simplificados de difusão da cultura da proteção de dados, como agente maximizador de benefícios gerenciais e financeiros adequados à lógica do negócio de cada cliente.

Quais as principais dúvidas sobre LGPD e condomínios

 

Quais as principais dúvidas sobre LGPD e condomíniosCurta nosso YouTube

Curta nosso InstagramCurta nosso Instagram

Curta nosso FacebookCurta nosso Facebook

Quais as principais dúvidas sobre LGPD e condomíniosCurta nosso LinkedIn

Compartilhe com seus amigos

Artigos

Inscreva-se nos cursos SíndicoLab Play!

Colunistas SíndicoLab

Assuntos

Artigos relacionados

Rolar para cima