Você já se perguntou como o condomínio que você mora ou trabalha lida com seus dados pessoais? Muitas vezes focamos nossas atenções às empresas que possuem nossos dados pessoais e o que tais empresas fazem com eles – o que é importante –, mas também devemos nos atentar para a LGPD em condomínios – aqueles que estão conosco no dia a dia.

E se você é síndico ou administrador de um condomínio, ou possui algum tipo de atribuição do ponto de vista administrativo, este artigo também te ajudará bastante!

Você sabia, por exemplo, que o condomínio não é obrigado a nomear um Encarregado pelo Tratamento de Dados Pessoais? Como já falamos em nosso artigo específico sobre o assunto, o Encarregado, ou DPO, como também é conhecido, é o responsável por ser a ponte entre um agente de tratamento, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD) e orientar funcionários e contratados sobre práticas de proteção de dados pessoais.

Os condomínios são agentes de tratamento de pequeno porte e, por isso, de acordo com a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, não são obrigados a indicar o Encarregado pelo tratamento de dados pessoais exigido no artigo 41 da LGPD. É importante ressaltar que devem, contudo, disponibilizar um canal de comunicação com o titular de dados pessoais.

Mas mesmo com esta flexibilização das obrigações dos agentes de tratamento de pequeno porte, há aspectos da Lei que devem ser observados por todos, inclusive pelos condomínios. Dentre eles, o dever de transparência com o titular dos dados. É direito do titular saber o que é feito com seus dados pessoais, como são protegidos, qual é a agenda de descarte, dentre outros.

Continue conosco neste artigo para mais informações sobre a LGPD nos condomínios!

 

Por que condomínios precisam se adaptar à LGPD?

 

Até bem pouco tempo havia um debate sobre a aplicação da LGPD em condomínios; argumentava-se que não haveria a necessidade de adequação dos condomínios à Lei já que a LGPD não se aplicaria a eles.

Isso porque a própria LGPD exclui da sua abrangência aqueles dados pessoais tratados por pessoa natural para fins exclusivamente particulares e não econômicos. Seria o caso, por exemplo, de dados pessoais em uma lista de convidados para uma comemoração realizada no salão de festas do condomínio.

Ocorre que o condomínio não é “pessoa natural” (pessoa física). Tampouco é uma pessoa jurídica, inclusive. E a LGPD, de acordo com seu artigo 3º, é aplicável a operações de tratamento “realizadas por pessoa natural ou por pessoa jurídica de direito público ou privado”.

Ora, se fizermos uma leitura estritamente literal da lei, portanto, não deveria haver a preocupação com a LGPD em condomínios, já que o condomínio não é “pessoa natural” nem “pessoa jurídica”, certo?

Errado! O condomínio é o que chamamos de um “ente despersonalizado”[1] e a Resolução CD/ANPD nº 2/2022 incluiu os entes despersonalizados no conceito de agentes de tratamento de pequeno porte.

 

Mas o que é um ente despersonalizado, afinal?

 

O ente despersonalizado, como o nome já indica, é um ente que não tem personalidade jurídica, mas que tem direitos e deveres. É o que acontece no caso do espólio, por exemplo.

O espólio é um conjunto de bens deixados por uma pessoa falecida; apesar de não ser uma pessoa em si, o espólio tem direitos e deveres. É possível cobrar uma dívida do espólio deixada pelo falecido, por exemplo.

Para o ente despersonalizado, leia-se o condomínio, o princípio da legalidade é mais restrito: tudo é proibido para o ente despersonalizado, salvo aquilo que está expressamente permitido pela lei. No caso dos entes personalizados o caso é o oposto: tudo é permitido, salvo aquilo que está expressamente proibido por lei.

A capacidade de atuação de um ente despersonalizado é, portanto, limitada a atividades estritamente vinculadas à sua natureza e à sua finalidade. O condomínio, por exemplo, pode contratar funcionários que atuarão diretamente para o seu fim (porteiros, supervisores, faxineiros, etc.), podendo inclusive contratar empresas para executar outras ações estritamente ligadas à sua finalidade, como a sua administração.

Desta forma, por ser um ente despersonalizado, aplica-se a LGPD em condomínios, em especial as disposições da Resolução CD/ANPD nº 2/2022, que prevê formas diferenciadas e flexibilizadas da aplicação da LGPD para agentes de pequeno porte.

Esta resolução traz o conceito de “agente de pequeno porte” e inclui expressamente os entes despersonalizados:

 

Art. 2º (…)

I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

 

Quais são as peculiaridades da adequação à LGPD em condomínios?

 

O tópico anterior trouxe uma boa notícia para os condomínios: há flexibilidade na aplicação da LGPD. Isso significa que há algumas determinações da LGPD que o condomínio não precisa observar ou que pode fazê-lo de forma diferenciada, simplificada.

Já falamos aqui no blog sobre a adequação à LGPD na prática; naquela oportunidade ressaltamos que ali traçamos um panorama geral, que não dispensava um desenho específico do processo de adequação de acordo com as características de cada empresa.

Isso continua sendo importante de ser observado no caso dos condomínios; há condomínios com poucos apartamentos; estes contam, portanto, com poucos moradores, o que demandará a estruturação de um projeto de adequação à LGPD mais modesto.

Por outro lado, há condomínios enormes, cujo número de condôminos chega a se assemelhar ao de pequenas cidades. A estes casos deve-se empregar projetos de adequação correspondam ao porte do condomínio.

De qualquer forma, é bom destacar: a flexibilização de algumas das obrigações dos condomínios na adequação à LGPD, não os dispensa do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, das disposições regulamentares e contratuais relativas à proteção de dados pessoais e dos direitos dos titulares.

Feitas estas ressalvas, vamos destacar quais são os aspectos diferenciados na adequação à LGPD de um condomínio, entendido como agente de tratamento de pequeno porte:

 

Registro simplificado de operações

 

Os condomínios podem elaborar o registro das operações de tratamento de dados pessoais que realizarem de forma simplificada. Este registro é um documento que inclui as informações que, geralmente, são coletadas durante a fase de mapeamento de um projeto de adequação à LGPD, que inclui a identificação:

 

  • Da categoria dos titulares dos dados pessoais;
  • Do tipo de dados pessoais coletados;
  • Da forma e da duração da armazenagem de dados pessoais;
  • De eventual compartilhamento de dados pessoais com terceiros;
  • Do fluxo dos dados pessoais.

 

A ANPD fornecerá um modelo para o que o condomínio e os demais agentes de pequeno porte possam realizar o registro simplificado. Quando o modelo for disponibilizado, vamos publicá-lo aqui para facilitar o seu acesso.

 

Menores exigências de segurança da informação

 

A comunicação sobre os incidentes de segurança poderá ser feita mediante um procedimento mais simplificado. A ANPD regulamentará com maiores detalhes o procedimento.

A comunicação sobre os incidentes faz parte de um dos estágios que descrevemos no artigo sobre o verdadeiro custo de um incidente de segurança dados pessoais.

Além do processo simplificado, o condomínio disporá de prazo dobrado para realizar a comunicação. O prazo dobrado só não será observado quando houver potencial comprometimento à integridade física ou moral dos titulares de dados pessoais ou à segurança nacional.

Por falar em segurança, também há flexibilização neste aspecto. Não há, por óbvio, a dispensa da adoção de medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. O diferencial está no fato de que as medidas serão proporcionais ao porte do agente de tratamento e serão delineadas pela própria ANPD por meio de guias orientativos.

Os condomínios podem também estabelecer uma política simplificada de segurança da informação. Essa política deve contemplar, de acordo com a Resolução, “os requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

 

Dispensa de indicação de encarregado (DPO)

 

Como mencionamos no início deste artigo, os condomínios não são obrigados a indicar um Encarregado pelo tratamento de dados pessoais. Permanece, porém, o dever do condomínio de disponibilizar um canal de comunicação com o titular de dados pessoais para aceitar reclamações e comunicações, prestar esclarecimentos e adotar providências. É por meio deste canal, inclusive, que os titulares poderão exercer seus direitos.

 

Prazos estendidos para atender solicitações dos titulares

 

E por falar em direitos dos titulares, o condomínio terá prazos dobrados no atendimento das solicitações dos titulares. Somente o direito de confirmação da existência do tratamento e o direito ao acesso dos dados pessoais tem prazo expresso na LGPD: o prazo é de 15 dias para fornecer uma declaração clara e completa.

No caso dos condomínios, portanto, tal prazo será de 30 dias. No caso de uma declaração simplificada, o condomínio terá o prazo de 15 dias para realizar o fornecimento. Para os demais direitos dos titulares não há prazo estabelecido pela LGPD.

 

Onde há dados pessoais nos condomínios e como se deve lidar com eles?

 

Dados pessoais no condomínio

 

Vamos começar pelo começo? Dados pessoais são informações capazes de identificar alguém; a identificação pode ser feita de forma direta (como no caso de um nome completo ou um CPF, por exemplo) ou de forma indireta. A identificação indireta acontece quando depende de uma combinação com outros dados pessoais.

A profissão de uma pessoa, por exemplo, informada de forma isolada, não é um dado pessoal. Mas se for possível cruzar essa informação (a profissão) com outras informações que permitam identificar a pessoa, tal informação será considerada um dado pessoal.

Há diversos dados que circulam nos condomínios e que permitem a identificação direta ou indireta das pessoas: nome, CPF, RG, endereço completo, telefone, e-mail, etc.

Além desses dados pessoais, há também um outro grupo de informações sobre os quais a LGPD confere uma proteção maior: os dados pessoais sensíveis. Alguns dados são sensíveis porque a sua divulgação não autorizada pode causar ao titular algum tipo de discriminação.

São dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Há muitos condomínios que realizam o controle de entrada e saída das pessoas por meio da identificação biométrica; tais dados são dados pessoais sensíveis. Os condomínios devem proteger tais dados de forma ainda mais cuidadosa, a eles aplicando medidas de segurança aptas a garantir sua proteção.

 

Bases legais adequadas ao tratamento de dados pessoais em condomínios

 

Parte de um processo de adequação à LGPD será, uma vez identificadas as atividades internas que são realizadas com o uso de dados pessoais, atribuir a cada um dos tratamentos uma base legal que o sustente.

É dizer: não deve haver um tratamento de dados pessoais no condomínio sem que haja uma hipótese expressa para tal tratamento na LGPD. Caso o tratamento não se encaixe em uma das bases legais que a LGPD prevê, o tratamento será, necessariamente, irregular.

Por exemplo: para contratar porteiros o condomínio precisará coletar dados pessoais do colaborador para assinar com ele um contrato. Sem a coleta de dados pessoais não é possível executar o contrato. Para esta situação, há uma base legal que sustenta o tratamento, expressamente prevista na LGPD, no artigo 7º, inciso V.

Seguem abaixo , algumas das principais bases legais que serão utilizadas no tratamento de dados pessoais em condomínios:

  • Consentimento: Os condomínios podem coletar os nomes completos de visitantes que utilizam as áreas comuns por meio do consentimento. Como essa base legal é mais complexa do que pode parecer à primeira vista, nós publicamos aqui no blog um artigo dedicado ao consentimento.
    • É necessário, ainda, esclarecer que quando estivermos lidando com dados pessoais sensíveis (como os dados de biometria utilizados para a entrada e saída das pessoas, por exemplo) há um requisito adicional para a validade do consentimento: “destacado”. O termo “destacado” refere-se à forma como o consentimento é expresso pelo titular dos dados. Significa dizer que o titular deve dar uma declaração destacada de consentimento. Uma maneira óbvia de garantir o consentimento destacado seria confirmar expressamente o consentimento em uma declaração por escrito.
  • Cumprimento de obrigação legal ou regulatória: em diversas situações o condomínio deverá coletar e armazenar dados pessoais para cumprir com alguma exigência legal ou regulatória. Isso ocorrerá, por exemplo, quando o condomínio precisar manter dados pessoais de ex-colaboradores para fins previdenciários.
  • Execução de contratos: sempre que o condomínio contratar (seja um colaborador ou um fornecedor/prestador de serviços) haverá a necessidade de tratar dados pessoais.
  • Exercício de direitos em processo judicial, administrativo ou arbitral: o condomínio poderá tratar dados nas hipóteses em que precisar exercer direitos em processos judiciais, administrativos ou arbitrais. É o caso da necessidade de promover cobranças judiciais das cotas atrasadas das contribuições devidas por cada condômino.
  • Legítimo interesse: a coleta de imagem, por exemplo, para fins de segurança, pode ser sustentada sob a base legal do legítimo interesse, desde que tal coleta passe no teste de legitimidade. Tratamos deste teste, que está previsto no artigo 10 da LGPD, em um artigo específico, no qual explicamos os limites e critérios específicos que objetivam impedir que a base legal do legítimo interesse seja utilizada como carta branca para a realização de tratamentos de dados pessoais, servindo para balancear o interesse do agente de tratamento e os direitos e liberdades fundamentais do titular.

 

É preciso ressaltar que em todas estas hipóteses legais a coleta de dados pessoais deve ser limitada; o condomínio deve limitar a coleta de dados pessoais ao mínimo necessário ao tratamento de dados.

 

O que acontece se o condomínio não se adequar à LGPD?

 

Os condomínios, assim como os demais agentes de tratamento, devem adotar as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Caso deixe de aplicar tais medidas, ou se as aplicarem de forma que não evite ou minimize a ocorrência de incidente de dados pessoais, o condomínio pode responder por isso. Desenvolvemos de forma mais detalhada a questão da responsabilidade neste artigo.

Uma das medidas destinadas ao cumprimento dos objetivos da LGPD é a aplicação de sanções administrativas.

Tais sanções já podem ser aplicadas e deverão seguir parâmetros e critérios estabelecidos pela própria LGPD, tais como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator e a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos.

A responsável pela aplicação de tais sanções é a Autoridade Nacional de Proteção de Dados – a ANPD. A ANPD é um órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Assim, é a ANPD quem deve fiscalizar o cumprimento da LGPD no Brasil e aplicar as sanções administrativas. Para saber mais sobre quais são as sanções previstas na LGPD e como ocorre o Processo Administrativo Sancionador, acesse outro de nossos artigos.

 

Responsabilidade civil do condomínio (e dos condôminos)

 

O artigo 42 da LGPD deixa claro que há a possibilidade de responsabilidade civil no que diz respeito à reparação de danos causados pelo tratamento de dados em desacordo com o diploma legal.

Temos um outro artigo no blog em que já discutimos profundamente a questão da responsabilidade civil na LGPD, mas vejamos a sua aplicabilidade em relação aos condomínios.

A LGPD prevê a responsabilidade tanto do controlador dos dados pessoais (na maior parte das situações, o condomínio), quanto do operador (a empresa administradora de condomínios, por exemplo).

Isso porque, ainda que a empresa deva se limitar a executar as ordens do condomínio, haverá a responsabilização se a empresa descumprir a LGPD (quando, por exemplo, deixar de aplicar medidas de segurança aptas a prevenir incidentes com dados pessoais).

Mas não somente pelo descumprimento da LGPD poderá a empresa responder por danos causados ao titular. Também responderá quando esta não seguir as instruções lícitas do condomínio.

Ou seja, caso a empresa não cumpra o que determinou o condomínio (no caso de a ordem ser lícita) e houver algum tipo de incidente que cause danos ao titular dos dados pessoais, certamente a empresa responderá como se controlador fosse. É por isso que é muito importante haver um contrato claro entre controlador e operador que delineia os deveres do operador.

Lembra no início deste artigo quando falamos sobre entes despersonalizados? Naquela oportunidade mencionamos que tais entes possuem direitos e deveres. O condomínio, um ente despersonalizado, terá o dever de responder por incidentes de dados pessoais.

O dever é do condomínio e este deve cumpri-lo. Mas caso não o faça (caso deixe de pagar uma multa, por exemplo) será possível realizar a cobrança dos condôminos, de forma subsidiária.

Como estamos lidando com um ente despersonalizado, não há nem ao menos a necessidade de invocar a teoria da desconsideração da personalidade jurídica; o condomínio não tem personalidade jurídica.

A responsabilidade subsidiária dos condôminos vem do dever de contribuir para as despesas comuns, como previsto no artigo 12 da Lei 4.591/1964, que dispõe sobre condomínio em edificações e as incorporações imobiliárias.

 

Conclusão

 

O debate sobre a obrigatoriedade ou não de adequação à LGPD em condomínios encerrou-se quando da publicação da Resolução CD/ANPD nº 2/2022, que inclui no conceito de agentes de tratamento de pequeno porte os entes despersonalizados, como o condomínio.

A resolução traz alguns aspetos da LGPD que foram flexibilizados, tornando a adaptação dos agentes de tratamento de pequeno porte um pouco mais simples.

Mesmo assim, os condomínios ainda devem observar os aspectos legais, em especial os princípios que norteiam a proteção de dados pessoais, expressamente descritos na LGPD.

Contar com um apoio profissional especializado na adequação e na manutenção das medidas de proteção e dados pessoais nos condomínios é medida fundamental! Somente assim os condomínios conseguirão se resguardar e mitigar os prejuízos advindos da responsabilidade prevista na LGPD.

Precisa de ajuda para a adequação de seu condomínio? Entre em contato conosco, teremos muito prazer em ajudá-lo(a)!

Para receber nossos próximos conteúdos sobre proteção de dados pessoais, cadastre-se abaixo em nossa newsletter.

Você também pode nos avaliar no Google, seu feedback é o que nos motiva a continuar produzindo conteúdos relevantes e atualizados.


[1] É preciso ressaltar que há uma corrente minoritária que entende que o condomínio é pessoa jurídica. Essa corrente sustenta seu entendimento no enunciado nº 90/JDC, que prevê que “Deve ser reconhecida personalidade jurídica ao condomínio edilício”. A corrente que prevalece, contudo, é aquela que considera a ausência da personalidade jurídica do condomínio, sustentando seu entendimento na orientação do STJ (STJ, REsp 1736593/SP, 3ª Turma, Rel. Ministra Nancy Andrighi, DJe 13/02/2020). Além disso, o Código Civil apresenta um rol de pessoas jurídicas nos artigos 41 ao 44 e não inclui o condomínio.

Posts relacionados
Share This