A proteção de dados pessoais deixou de ser uma preocupação restrita a grandes empresas e instituições.
No cenário atual, os condomínios residenciais, onde circulam diariamente informações sensíveis de moradores, visitantes e prestadores de serviços, também precisam se adaptar às exigências da Lei Geral de Proteção de Dados (LGPD).
Em vigor desde 2020, a LGPD impõe uma série de obrigações a todos que tratam dados pessoais, e isso inclui os condomínios. Esses espaços, muitas vezes administrados por síndicos ou empresas especializadas, precisam implementar medidas que garantam a segurança das informações pessoais que são coletadas e armazenadas.
Entre os dados mais comuns coletados em condomínios estão nomes, CPF, placas de veículos, imagens de câmeras de segurança e informações de contato. Assim como relata o empresário Nelson Cristiano Jucoski, que atua no ramo de instalação de redes de proteção na Grande Florianópolis, e tem uma rotina diária intensa de identificação em portarias de prédios.
“Entro e saio de condomínios várias vezes ao dia, e cada vez que precisamos acessar as dependências para fazer um trabalho é necessário informar nossos dados para liberação da entrada no espaço. Daí que me questiono, onde são guardadas essas informações? Quem fica responsável pelo armazenamento?”, questiona Jucoski. Ele lembra ainda que a LGPD visa proteger a privacidade dos cidadãos, estabelecendo regras claras sobre a coleta, uso e compartilhamento de informações pessoais por empresas e organizações. Mas como saber se isso está sendo realizado?
Conforme explica Valzira Gonçalves de Souza, advogada na área condominial e consultora em privacidade e proteção de dados pessoais, a garantia de que o processo está sendo realizado de maneira correta é através do monitoramento. “Os funcionários de portaria devem obrigatoriamente ser conscientizados, treinados e avaliados. Ou, no caso de empresa terceirizada, deverão ser realizadas avaliações temporárias do nível de conformidade da empresa à lei para evitar incidentes com vazamentos desses dados”, pontua.
Explicação complementada por Letícia Mulinari, sócia do Núcleo Empresarial da Menezes Niebuhr Sociedade de Advogados, mestre pela UFSC, com pesquisa focada na LGPD e na legislação internacional de proteção de dados, que diz que para identificar incidentes de segurança e vazamento de dados pessoais é necessário: elaborar procedimentos internos para regrar o tratamento dos dados; realizar auditorias; e estabelecer canais de comunicação para que os titulares possam denunciar eventuais irregularidades.
A advogada lembra que o condomínio, como agente de tratamento, deve adotar medidas de controle para assegurar que os direitos dos titulares sejam respeitados e seus dados pessoais protegidos. “O descumprimento dessas obrigações pode resultar em ações de reparação civil, e ainda, na incidência de multas pela Autoridade Nacional de Proteção de Dados (ANPD)”, destaca Letícia.
Valzira complementa que a lei determina que havendo incidentes de segurança, que acarretem riscos ou danos aos titulares, o controlador deverá comunicar ao titular e a Autoridade Nacional de Proteção de Dados. “O condomínio deve adotar medidas para a reversão ou mitigação dos danos causados. Sendo assim, é fundamental ter um plano de resposta a incidentes e remediação. A recomendação é que os síndicos ajam preventivamente e promovam a adequação dos condomínios à LGPD”, afirma a especialista.
A LGPD veio para ficar
Para os condomínios, o cumprimento dessa lei é mais do que uma obrigação legal, é uma questão de segurança e respeito à privacidade dos seus moradores. A adaptação à LGPD exige uma revisão dos processos de gestão nos condomínios. Isso inclui desde a forma como os dados são coletados, até como são armazenados e compartilhados. A figura do encarregado de dados, também conhecido como Data Protection Officer (DPO), passa a ser de extrema importância nesse contexto, sendo o responsável por garantir que o condomínio esteja em conformidade com a legislação.
Letícia reforça que o síndico, como responsável pelo condomínio, deve executar plano de adequação à LGPD, para garantir que os dados pessoais tratados pelos condomínios estejam em segurança e sejam utilizados exclusivamente para as atividades do condomínio.
“O primeiro passo é identificar quais dados pessoais são coletados, onde estão armazenados e quem tem acesso. Frente a esta verificação, deve-se estabelecer regras para o tratamento dos dados, garantindo que estejam armazenados em lugar seguro, acessíveis ao menor número de pessoas e que sejam utilizados apenas para a finalidade pela qual foram coletados”, exemplifica a advogada.
Desta forma, o condomínio adequado à LGPD deve informar que o espaço coleta apenas os dados necessários para o seu funcionamento, para garantir a segurança dos moradores e prover os serviços ofertados.Além disso, é fundamental deixar claro que adota as medidas de segurança necessárias para resguardar os dados pessoais e para que sejam utilizados apenas para a finalidade pelos quais foram coletados.
Além das penalidades financeiras, a falta de conformidade com a legislação pode gerar danos à reputação do condomínio, afetando a confiança dos moradores e visitantes. Por isso, é fundamental investir em treinamentos e em uma cultura de proteção de dados, envolvendo todos os colaboradores e moradores na conscientização sobre a importância da segurança da informação.
Portarias remotas e circuito interno de TV
Os dados coletados pelo condomínio podem ser armazenados em meio digital, por provedores de serviços em nuvem, ou físico, quando são coletados por funcionários de portaria utilizando folhas de cadastro ou livros destinados às anotações de controle de visitantes.
“Temos três agentes de tratamento de dados envolvidos. Primeiro, o condomínio que é o agente controlador, definido pela lei como responsável pelas diretrizes do tratamento de dados pessoais. Em segundo, a empresa terceirizada, conceituada como agente operador que trata os dados sob as orientações do controlador, e, por fim, os suboperadores, que são as empresas contratadas pelos operadores para armazenar essas informações”, explica Valzira.
No caso das portarias remotas, esses dados geralmente ficam armazenados em servidores, que podem estar situados fisicamente nas empresas de prestação de serviços de portarias remotas ou em servidores na nuvem.
“Para a Lei 13.709/2018 (LGPD), o condomínio como agente controlador de dados é o responsável pelo tratamento dos dados pessoais, contudo, ao compartilhar esses dados com a empresa de portaria remota, ela passa também a ter uma responsabilidade por esse tratamento”, pontua Valzira.
A especialista destaca ainda que a empresa de portaria remota precisa garantir que esses dados sejam tratados de forma lícita e segura. Além disso, deve dispor de políticas claras de retenção e descarte desses dados, controle de acesso, bem como, apenas pessoas autorizadas podem consultar essas informações.
Já as imagens geradas pelo circuito de TV encontram amparo legal nos condomínios em razão da segurança, portanto, elas não podem ser utilizadas para fins pessoais. Sendo assim, elas deverão ser cedidas através de requerimento de autoridade policial ou solicitação judicial.
“Os gestores condominiais não podem expor as telas de transmissão das imagens em local visível aos passantes. Além disso, devem ter cuidados especiais quanto à conscientização e treinamento dos funcionários que possuem acesso a essas imagens, inclusive com a assinatura de termo de confidencialidade. Uma dica não menos importante é o síndico trocar a senha de acesso da gestão anterior”, indica Valzira.
O mesmo vale para as situações que envolvam as locações de temporada. Letícia lembra que os condomínios podem deter câmeras em suas áreas comuns, coletando imagens dos moradores e visitantes - que se configuram como dados pessoais - desde que estas sejam utilizadas exclusivamente para a garantir a segurança dos moradores e visitantes. “Nesta hipótese, o condomínio não deve compartilhar as imagens coletadas com os condôminos e terceiros, restringindo o acesso à gestão interna e eventuais investigações policiais”, reforça a advogada.
Assembleias condominiais
Tanto os áudios como as imagens podem conter dados pessoais, inclusive dados sensíveis e, neste caso, apenas pessoas autorizadas deverão ter acesso. A recomendação, segundo Valzira, é de que é importante ter uma política de retenção e descarte, de forma clara, transparente, com prazos e regras para a eliminação segura desses dados. “É essencial que a plataforma escolhida pelo condomínio ou empresa terceirizada esteja em conformidade com a LGPD, garantindo a proteção dos dados dos participantes”, pontua.
Medidas essenciais de proteção aos dados pessoais e à privacidade
· Os síndicos devem cumprir a lei e promover a adequação dos condomínios à LGPD. Isso inclui a implementação de um programa no qual serão realizados treinamentos e a conscientização sobre a cultura da proteção de dados pautada na transparência e na boa-fé;
· Os arquivos de áudio e vídeos devem ser criptografados e armazenados em servidores seguros. Além de ser uma boa prática de segurança, é uma exigência para a conformidade com a LGPD;
· Incube ao condomínio garantir que eventuais prestadores de serviços e fornecedores tratem adequadamente os dados pessoais, através de verificação da adequação dos mesmos à LGPD e da estipulação de obrigações contratuais;
· Deve ser observado que o registro das operações de tratamento de dados, conhecido como inventário de dados ou Data Mapping, é uma exigência imposta pelo art.37 da lei. Ainda que o condomínio seja de pequeno porte é obrigatório fazê-lo de modo simplificado;
· Outra exigência legal é adotar medidas técnicas e administrativas que protejam os dados pessoais, quer seja dos moradores, prestadores de serviços e visitantes. Isso inclui políticas de privacidade e governança de dados com utilização de recursos de segurança da informação para proteção em meio digital;
· É obrigatório que todo condomínio possua um canal de comunicação para atender aos titulares de dados e a ANPD-Autoridade Nacional de Proteção de Dados. Se o condomínio possuir um site, deve constar nele o nome do encarregado e o meio de contato dele, conforme a Resolução CD/ANPD nº 18 de 16/07/2024.
Fonte: Valzira Souza e Letícia Mulinari