IMPACTO DA LGPD NOS CONDOMÍNIOS
Diariamente, os condomínios têm contato com um volume enorme de informações pessoais, sejam elas de condôminos, de funcionários e de terceiros que precisem e necessitem de acesso ao interior do empreendimento. Como consequência, é notório que os condomínios têm se tornado o centro de valiosas bases de dados, as quais, por negligência, se encontram em sua maioria desprotegidas, por contarem com medidas de segurança ineficazes ou até mesmo inexistirem.
Conforme é sabido, houve reconhecimento da proteção de dados pessoais dos cidadãos enquanto dimensão do princípio da dignidade da pessoa humana, que fundamenta
proteção de dados se incorpora à Constituição Federal como uma cláusula pétrea, ou seja, não pode ser suprimida por uma alteração constitucional posterior.
Neste diapasão, este direito fundamental possui impactos diretos aos condomínios. É o caso de trazer à tona algo corriqueiro, que diz respeito à coleta de dados pessoais de funcionários para realizar qualquer espécie de segregação, a existência do próprio estado democrático de direito.
Agora, a como exemplo a utilização de elevadores ou outras áreas no condomínio. Tal prática poderá ser considerada abusiva, levando-se em consideração que toda pessoa tem o direito à autodeterminação informativa, ou seja, o direito de controlar quem e como as pessoas terão acesso às suas informações pessoais.
De fato, a LGPD veda qualquer discriminação ilícita baseada em dados pessoais, conforme disposto no princípio da não-discriminação, no art. 6o, IX, e, também, no art. 11, §1o, que equipara a dados sensíveis quaisquer informações que possam revelar informações sensíveis sobre o titular e que lhe causem algum tipo dano.
Entretanto, se fizer sentido solicitar esses dados por uma necessidade de fazer a liberação da pessoa a alguns lugares ou horários específicos, logo será possível que seja coletada essa informação, tendo em vista ser uma espécie de discriminação necessária, para a manutenção da segurança do empreendimento, relacionando-se aos princípios da necessidade, da prevenção e da prestação de contas.
Essa necessidade de identificação ou cadastramento de indivíduos para acesso às dependências do condomínio se submete às disposições da LGPD, havendo
inclusive a possibilidade de a responsabilidade recair sobre o síndico no caso de eventuais vazamentos de dados pessoais do condomínio, em uma eventual ação de regresso proposta contra ele.
Embora seja comum a contratação de uma administradora para auxiliar nas rotinas diárias dos condomínios, é importante destacar que a responsabilidade primária é do próprio condomínio. Ainda que este possa ingressar com uma ação de regresso contra a administradora, enquanto isso não ocorrer, quem pagará a conta serão os próprios condôminos através do caixa do condomínio.
De qualquer forma, deve ser analisado o contrato com a administradora de condomínio, que pode abarcar algum tipo de responsabilização em conjunto, haja vista a relação de consumo caracterizada entre as organizações e a hipossuficiência técnica por parte do síndico, que em algumas situações é pessoa leiga e não-especializada.
Deve-se pensar ainda nos casos em que as administradoras se utilizem dos dados provenientes dos condomínios para finalidades diversas, como a transferência da base de dados para uma imobiliária parceira, por exemplo. Portanto, é importantíssima a criação de uma sistemática de
due diligence e prestação de contas do condomínio em conjunto com a administradora, incluindo os fornecedores e parceiros com os quais esta realiza a transferência de dados pessoais.
Todavia, ainda que exista esta possibilidade de responsabilizar a administradora, ainda assim a responsabilidade final será do síndico, nos termos dos incisos II e V do art. 1.348 do Código Civil, vez que cabe a ele “representar, ativa e passivamente, o condomínio, praticando, em juízo ou fora dele, os atos necessários à defesa dos interesses comuns” e “a diligenciar a conservação e a guarda das partes comuns e zelar pela prestação dos serviços que interessem aos possuidores”.
Desta forma, a sua omissão em tomar as medidas de proteção dos dados pessoais enquanto responsável pelo condomínio poderá ensejar em danos de ordem moral e material aos titulares de dados, sejam eles os próprios condôminos, funcionários ou visitantes, que poderão pleitear judicialmente os respectivos reparos.
Isto é ainda mais importante quando informações sensíveis possam ensejar casos de assédio e de perseguição, que por sinal, este último é um crime recentemente adicionado
ao Código Penal, contemplado no seu art. 147-A, estando intimamente relacionado à perturbação da privacidade de alguém, majorando-se a pena se esta perseguição é cometida contra criança, adolescente ou idoso.
Neste sentido, pode-se pensar em uma situação em que há a revelação de informações sobre a rotina de um condômino por parte de algum funcionário do condomínio, o qual assumirá a posição de “controlador” e poderá responder inclusive criminalmente por estes atos. Este vazamento de informações também poderá atingir a esfera patrimonial do condomínio e do síndico, que poderá responder por ato culposo, se comprovada a sua negligência perante as obrigações impostas pela LGPD e pelo Código Civil.
O fato é que, com a chegada da LGPD, os condomínios deverão sofrer algumas mudanças e ajustar diversos procedimentos internos. Contudo, deixar esta situação tão somente no “colo” do síndico parece não ser a melhor alternativa. Deste modo, para evitar alguns dissabores, o melhor que se tem é passar alguns destes itens, sobretudo do ponto de vista de eventuais mudanças de procedimentos, em assembleias condominiais. São eles:
• Discutir sobre a possibilidade de pessoas eventualmente se recusarem a fornecer alguns dados pessoais para ingresso nas dependências do condomínio – o que pode acontecer com celebridades, por exemplo. Uma solução é permitir a entrada deste visitante, no carro, com algum condômino, por exemplo.
• Definir se a utilização de dados biométricos será obrigatória a todos os condôminos, em respeito ao princípio da necessidade dos dados pessoais e da existência de outros meios de identificação. Uma solução é ter uma alternativa diferente de dados biométricos para aqueles que se recusarem a fornecer alguns destes dados.
• Discutir as hipóteses de fornecimento das imagens das câmeras de segurança do CFTV aos condôminos. Embora este fornecimento seja um direito seu como titular de dados pessoais, conforme disposto no art. 19 da LGPD, deve-se discutir se a entrega das imagens se dará em qualquer solicitação ou apenas sob ordem judicial, considerando que as imagens da câmera de
segurança podem revelar dados pessoais de terceiros. De fato, a ausência ou presença de alguém, em determinado lugar, pode ser considerado como um dado pessoal identificável.
• Discutir qual será o período de retenção das imagens no CFTV. Uma boa prática é a manutenção por 30 dias, tendo em vista que as imagens poderão ser solicitadas pelas autoridades, em investigações criminais. Todavia, existirão situações que o condomínio será obrigado a manter as imagens por mais tempo, como, por exemplo, seria o caso de maus tratos a crianças e animais, a ocorrência de assédio, dentre outras.
• Definir se as próprias assembleias virtuais e presenciais serão gravadas.
• Discutir se as hipóteses em que os dados que acarretem o constrangimento de um titular poderão ser dispostos em local público, como listas de devedores, por exemplo. Deve-se discutir especialmente os cuidados com dados que possam identificar e constranger crianças, as quais podem
ser atingidas indiretamente por essas listagens públicas (art. 5o, I da LGPD).
Além destas discussões, diante do tratamento especial de dados de crianças previsto no art. 14 da LGPD, deve-se decidir como serão coletados tais dados (que obrigatoriamente deverá estar acompanhado da assinatura do responsável, destacando as ressalvas do próprio artigo em questão). Da mesma forma, deve-se definir o procedimento quando a criança for visitante, sendo necessário discutir como será e se dará esse acesso.
Esta discussão deve incluir o caso de crianças que estiverem desacompanhadas em festas de aniversário, quando o salão de festas não tiver uma entrada externa, ou seja, se será exigido dos pais o consentimento ou se entrarão todas as crianças desacompanhadas (porém sem o tratamento de dados).
Ainda, quanto a esta discussão sobre dados de crianças, outra interpretação e consequentemente, solução para essa problemática poderia estar no art. 14, §3o, quando se fala da proteção à criança. Se de um lado o legislador foi omisso, de outro indaga-se a possibilidade de associar algumas situações de tratamento de dados das crianças com
base na sua própria proteção, o que seria muito conveniente nos casos de tratamento de dados de crianças nos condomínios edilícios, havendo duas situações:
(i) para acesso da criança ao condomínio, quando desacompanhada: neste caso, poderia ser utilizada este §3o? Não, não seria possível, vez que quando qualquer pessoa deseja acessar um condomínio, a finalidade proposta do tratamento é a proteção e segurança interna no empreendimento e não de quem demanda pelo acesso.
(ii) quando a criança residir ou se encontrar nas dependências do condomínio: neste caso seria possível se valer desta hipótese de tratamento, com fundamento na proteção da criança.
Conforme já abordado acima, como sugestão de um tema de assembleia, há aquela questão delicada relacionada à divulgação de listas de devedores. Como se sabe, há duas correntes de pensamento sobre essa situação, quais sejam:
i) aqueles que entendem que seja possível essa divulgação, tendo em vista a necessidade de prestação de contas. Desta maneira, se fundamentam na ideia de que sejam “sócios” e
assim seria possível que conhecessem os problemas do outro condômino.
ii) os que entendem que não devem ser divulgadas em locais públicos a lista desses devedores.
E como resolver essa situação? É possível que haja duas correntes quando se fala em proteção de dados? Não, não é possível e tampouco há espaço para a primeira corrente.
Para compreender a razão com a qual não seria possível a aplicação da primeira corrente, é importante algumas análises e indagações preliminares, quais sejam: Qual o objetivo da divulgação dessa relação de devedores? A prestação de contas? Qual é a via para se prestar contas? Expondo as pessoas – no caso os condôminos – ao constrangimento?
É Claro que não é essa a via adequada para a prestação de contas, portanto, não é possível e permitido que haja essa espécie de tratamento de dados. Ressalta-se que a divulgação de uma lista já configura o tratamento de dados, de acordo com o art. 5o, X.
Ainda, não se pode esquecer de que a exposição destas listagens feriria ao menos dois princípios da LGPD, dispostos em seu art. 6o, quais sejam:
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Ademais, ainda que fosse possível seguir com essa corrente, logo seria um tanto simples, através do número da unidade ou até mesmo o nome dos pais, identificar as crianças, permitindo colocá-las em exposição ao constrangimento.
Outro ponto relevante e que tem despertado um olhar especial, aos agentes de tratamento condominiais, diz respeito à obrigação de definição de um encarregado de dados. Em um primeiro olhar, houve quem acreditasse na dispensa dessa obrigatoriedade, entretanto, talvez essa interpretação tenha sido fruto de uma falta de atenção à Res.
CD/ANPD no 2/20227, como um todo, em especial aos arts. 3o, I e 4o.
É importante destacar que as operações de tratamento de dados realizadas nos condomínios são consideradas de alto risco aos titulares. Este tratamento de alto risco pelos condomínios pode ser caracterizado pelo encaixe em dois critérios estabelecidos na referida Resolução, conforme o seu art. 4o:
Art. 4o Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I – critérios gerais:
[…]
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – critérios específicos:
7 https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de- 2022-376562019
[…]
b) vigilância ou controle de zonas acessíveis ao público;
[…]
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
[…]
§ 2o O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Desta maneira, analisadas as disposições desta resolução, resta clara a necessidade da figura do encarregado de dados pessoais (DPO).
Outro ponto de tamanha relevância para os condomínios diz respeito ao canal do titular. É importante destacar que a Lei não valeu deste termo, todavia, contemplou em diversos pontos os direitos do titular.
Em decorrência disto, a grande questão está na maneira com a qual esse titular de dados demandaria seus direitos. Em tese, essa demanda poderia ocorrer via telefone, contudo, a problemática está quando se analisa essa situação em conjunto com o art. 43 da LGPD, isto é, a responsabilidade do agente de tratamento é objetiva e, desta forma, há uma inversão do ônus da prova. Ou seja, bastará que um indivíduo demande judicialmente o condomínio, alegando que o mesmo não lhe respondeu, sem sequer tê-lo demandado. Logo, indaga-se: como será possível constituir provas caso o canal com o titular seja o telefone?
Dito isto, é importante que os condomínios detenham uma plataforma centralizada para processar todas as eventuais solicitações dos condôminos, sobretudo do ponto de vista do que diz respeito a seus dados pessoais, isto é, o chamado “canal do titular”.
Com este canal centralizado, torna-se possível a documentação de todas as solicitações e respostas dos condôminos e demais titulares, o que é especialmente importante para fins de constituição de provas.
Não obstante, embora a utilização deste “canal do titular” seja uma alternativa, os condomínios devem se atentar
principalmente com eventuais fraudes, que possam ser realizadas para a obtenção de dados sigilosos dos titulares.
A título de exemplificação, imagine-se uma situação em que um condômino se passe pelo verdadeiro titular perante o condomínio, resultando no risco deste titular pleitear indenizações pela divulgação não autorizada dos seus dados.
A fim de evitar situações desta espécie e de se resguardar contra eventuais condenações, recomenda-se que os condomínios e, de quebra, as administradoras, criem instrumentos robustos de verificação da identidade dos titulares como, por exemplo, a necessidade de uma solicitação formal assinada, com reconhecimento de firma em cartório ou assinatura com certificado digital, com a devida apresentação de documentos de identificação.
Ainda, em se tratando de canal do titular, cumpre realçar a sugestão proposta pela ANPD, ainda na Resolução CD/ANPD no 2/20228, conforme se pode notar:
Art. 8o Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Desta maneira, é possível que uma administradora condominial possa oferecer este tipo de serviço, vislumbrando uma redução de custos para os condomínios, além, claro, de poder oferecer um atendimento mais efetivo para os titulares de dados, com todo um respaldo jurídico.
Nesta toada, cumpre destacar a importância desse conhecimento jurídico, no momento em que o titular realizar a sua solicitação, haja vista que toda a resposta nesse atendimento deverá ser muito bem fundamentada. Importante destacar, por exemplo, que nem todas as solicitações do titular deverão ser atendidas, todavia, a resposta deverá ser baseada nos ditames preceituados pela LGPD.
Assim, após discorrer sobre os pontos de atenção na aplicação da Lei Geral de Proteção de Dados Pessoais aos condomínios, faz-se necessário apresentar alguns casos que têm ocorrido nos condomínios, a saber:
i) Relação íntima no elevador do prédio residencial
Um garoto é flagrado nas câmeras de segurança do elevador do prédio, cometendo atos sexuais com uma adolescente. Prudentemente o síndico convoca o conselho para entender que medida tomar a respeito deste incidente e,
unanimemente, entendem que o melhor a fazer é convocar o pai da garota e expor o caso a ele.
Uma vez reunidos com esse senhor, este, por ser delegado da Polícia Federal, se acha no direito de pressionar o condomínio por terem visto sua filha nessas condições.
Do ponto de vista de LGPD, o erro do condomínio se deu por não informar que o ambiente estava sendo filmado, e poderia ser inclusive responsabilizado nos termos desta Lei.
Note que a realização de qualquer tratamento de dados, para uma determinada finalidade, deverá ser informado ao titular de dados.
A título de curiosidade, corroborando com o que preceitua a LGPD, há uma lei municipal na cidade de São Paulo (Lei 13.541/2003) que determina o uso de placas informativas em ambientes filmados.
ii) Grupo de WhatsApp em condomínio residencial
Um indivíduo, chamado “João”, comprou um carro através de um leilão, com o intuito de presentear sua esposa. Entretanto, João não revelou a origem do carro, que consideraria degradante a ela.
Com o intuito de contratar uma apólice de seguro para o veículo, este se dirige à corretora de seguros “Angra
dos Reis”, local em que é atendido por “Maria”, lhe informando alguns de seus dados pessoais para a contratação do seguro, incluindo o seu endereço.
De posse destas informações, Maria identifica que João reside em seu condomínio, ou seja, no condomínio “Campos Verdes”, e ao chegar a sua casa, revela a “José”, seu marido, a informação de que o vizinho teria comprado carro de leilão.
Dias depois, por um determinado motivo, ocorreu uma discussão acalorada entre João e José, em um grupo de WhatsApp do condomínio, na qual José, com o intuito de humilhá-lo publicamente, afirma que ao menos não havia comprado carro de leilão para sua esposa.
Assim, a esposa de João toma ciência da procedência do veículo que recebera de presente, o que resultou em diversos atritos entre ela e João, seu esposo.
A partir do caso narrado acima, podem ser verificados diversos pontos de infração à LGPD, a seguir mencionados:
a. A divulgação das informações pessoais sobre a origem dos bens de João constitui um incidente de segurança da informação, que teria o condão de causar inúmeros prejuízos reputacionais e econômicos à corretora de seguros, além de processos civis por parte do titular, no caso, João, sem prejuízo de eventuais sanções pela ANPD.
b. Maria, por sua vez, poderia ser condenada a indenizar a corretora através de uma ação de regresso, com fulcro no art. 932, inciso III do Código Civil e também com previsão no art. 42, §4o da LGPD.
c. Maria também poderia ser processada criminalmente e denunciada no crime de violação de sigilo profissional, previsto no art. 154 do Código Penal. Seu marido, José, poderia ser processado pelo crime de injúria, constante do art. 140 do Código Penal.
d. Por fim, o condomínio não poderia ter criado um grupo de WhatsApp em formato aberto, pelo seu potencial de gerar discussões desnecessárias entre os condôminos e por expor indevidamente alguns de
seus dados pessoais, como os seus nomes e números de telefone. O ideal seria, pois, a criação de uma lista de transmissão direta para a comunicação da administração com os condôminos.
iii) Imagem de homem com a amante em condomínio
Neste caso, será analisada uma situação que também envolve uma divulgação não-autorizada de dados pessoais, no âmbito de condomínios residenciais.
Um indivíduo, chamado “Guilherme”, chega de carro com a amante ao condomínio residencial “Vivendas da Prata”, local onde ela residia. Um dos porteiros do condomínio, chamado “Manoel”, reconhece Guilherme através do sistema de câmeras, vez que eram da mesma igreja e sabia, inclusive, que ele era casado com outra pessoa.
Então, Manoel fotografou o monitor do sistema de câmeras do condomínio, no momento exato em que Guilherme estava beijando sua amante. Horas depois, esta fotografia chega até a esposa de Guilherme, o que posteriormente resulta em um divórcio.
O caso narrado acima demonstra a importância que políticas de segurança da informação, bem aplicadas, têm para os condomínios.
Isto porque, embora tivesse o condomínio instalado diversas câmeras de vigilância, com o fim de combater ameaças externas, não se atentou em utilizar o mesmo sistema para coibir a ocorrência de ameaças internas, ou seja, não instalou câmeras também na portaria, que poderiam se mostrar cruciais para ao menos coibir condutas como a do porteiro do caso narrado.
Ainda, em uma eventual ação judicial movida por Guilherme contra o referido condomínio, este poderia provar a culpa de Manoel, o que certamente o faria através de ação de regresso, prevista no art. 42, §4o da LGPD. No entanto, sem as provas contra o porteiro, obtidas pelo sistema de vigilância, esta ação de regresso restaria prejudicada.