Quando foi publicada a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, surgiram muitas dúvidas quanto a sua abrangência e uma das principais discussões era a aplicação da referida lei aos condomínios.
Isso pois, o artigo 3º da lei assevera que seu âmbito de aplicação se restringe ao tratamento de dados realizado por pessoa natural ou por pessoa jurídica de direito público ou privado.
Contudo, como é o entendimento reiterado do STJ, apesar do condomínio necessitar possuir CNPJ para desenvolvimento de suas relações jurídicas, este não possui personalidade jurídica, portanto, não é considerado pessoa jurídica propriamente. Ou seja, sua natureza jurídica é de “ente jurídico despersonalizado”.
Ainda, também era alvo de discussão a aplicação aos condomínios a hipótese de não incidência prevista no artigo 4º, inciso I, da LGPD, segundo o qual assevera que o tratamento de dados por pessoa natural sem fins lucrativos, ou seja, somente para fins particulares não se aplica a LGPD.
Portanto, ante a amplitude da legislação e ausência de expressa regulamentação aos entes jurídicos despersonalizados, grande parte da sociedade civil compreendeu que os condomínios estavam fora do âmbito de aplicação da legislação.
Entretanto, essa não parecia a posição mais acertada, pois para a efetiva e segura administração de um condomínio são coletados diversos dados de natureza pessoal, sensíveis e ultra sensíveis. Ex.: Nome, sobrenome, RG, CPF, gênero, cor, idade, endereço, foto de perfil, dados biométricos faciais, impressão digital, quantidade de carros e entre outros.
Estes dados, via de regra, são coletados por exigência de empresas administradoras, de segurança, cobrança ou qualquer outra prestadora de serviço. As empresas recepcionam estes dados, armazenam e compartilham com outras empresas parceiras para a prestação do serviço e não há qualquer controle quanto ao tratamento.
Em alguns casos ainda são coletados dados de crianças e de natureza intima e privada do condômino. A exemplo, instalação de câmeras de vídeo em frente à entrada da residência de algum condômino ou até mesmo instalação de câmeras com gravação de áudio em áreas comuns.
Como se pode ver são coletados dados suficientes para que, se tratados de maneira inadequada, promoverem uma verdadeira devassa na vida do condômino. O vazamento do banco de dados de um condomínio pode gerar o prejuízo ínfimo, como o recebimento de ligações indesejadas para a oferta de produtos com base em seu perfil, ou graves prejuízos, como a falsificação de documentos e simulação de negócios jurídicos.
Assim, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) editou, em 27 de janeiro de 2022, a Resolução n. 02 CD/ANPD em que regulamentou o tratamento de dados para agentes de pequeno porte.
No artigo 2º, inciso I, da citada resolução a ANPD definiu como agente de tratamento de pequeno porte os entes privados despersonalizados que realizam tratamento de dados pessoais.
A resolução sanou qualquer dúvida que pairava sobre a questão, pois expressamente reconheceu que os entes privados despersonalizados, natureza jurídica dos condomínios, realizam a atividade de tratamento de dados e devem observar as regras da Lei Geral de Proteção de Dados.
Entretanto ao reconhecer como atividades de tratamento de pequeno porte, a ANPD disciplinou um regime diferenciado de adequação à LGPD, dispensando a indicação de Encarregado, simplificando as obrigações de segurança da informação e entre outros benefícios.
A Autarquia ainda divulgará em futuras resoluções os modelos simplificados que deverão ser seguidos pelos agentes de tratamento de pequeno porte, mas é importante deixar claro que apesar de facilitar a vida dos condomínios, a ANPD reconheceu e passará a exigir a adequação à LGPD pelos condomínios.
Dessa forma, qualquer violação às disposições da LGPD por parte do condomínio pode acarretar em responsabilização deste com a aplicação das penalidades disciplinadas no artigo 52 da LGPD, sem prejuízo que o condômino ou terceiros prejudicados possam buscar a reparação cível ou criminal por danos que vier a suportar.
Ainda, não se pode ignorar que sendo negligenciada a adequação à legislação ou não aplicada nenhuma medida corretiva quanto a incidentes de violação à LGPD, poderão tais condutas serem interpretadas como descumprimento de obrigações funcionais cometidas pelo Síndico no estrito exercício de suas funções, havendo o risco de ser responsabilizado solidariamente ou em ação de regresso.
Por tudo isso, como já era esperado, é importante que os condomínios se atentem para as futuras resoluções da ANPD e, se já não tiverem iniciado, que comecem a buscar profissionais especializados para auxiliá-los nesses primeiros passos para a adequação a LGPD.
Marcos Antonio Dias Filho
Bacharelado em Direito pela PUC-GO, Pós-Graduado em Direito Imobiliário pelo CERS e Pós-Graduando em Direito Cibernético pelo IPOG.
Parabéns pelo texto, esclarecedor e de fácil leitura, no entanto, há um equivoco ao citar que os condomínios poderão se beneficiar do regime diferenciado, pois os condomínios NÃO PODERÃO SE BENEFICIAR do tratamento jurídico diferenciado da Res.2/2022, tendo de indicar um DPO, realizar o processo de adequação em sua íntegra e também cumprir os prazos previstos na lei 13.709/2018.
Vamos a sustentação:
O artigo 2º, inciso I, indica como agente de tratamento de dados de pequeno porte os entes privados despersonalizados, o que engloba os condomínios.
Já o artigo 3º estabelece que não poderão se beneficiar do tratamento jurídico diferenciado previsto nesta Resolução os agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares.
E o Art. 4º define que será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I – critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – critérios específicos:
b) vigilância ou controle de zonas acessíveis ao público;
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Fácil observar que os condomínios, quase que na totalidade, se enquadram no item “B” dos critérios gerais e nos itens “B” e “C” dos critérios específicos.
Espero ter contribuído, para maiores detalhes, fico à disposição.
Henrique Xavier
Membro do Comitê de Segurança da ANPPD
DPO com Certificação EXIN (6402784.20821904)