A Lei Geral de Proteção de Dados Pessoais (LGPD) está em vigor há mais de três anos e visa regulamentar o tratamento de dados pessoais de pessoais físicas de modo a garantir-lhes direitos de privacidade, personalidade e liberdade individual. A lei divide dados pessoais em duas categorias:
- Comuns: toda e qualquer informação que identifique ou torne identificável uma pessoa física, como por exemplo, nome, RG, CPF; e
- Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
Já tratamento é toda e qualquer atividade (coleta, compartilhamento, armazenamento, eliminação) realizada com o dado pessoal. Como a lei foi feita para proteger a pessoas físicas, o legislador criou a figura do “Titular de Dados”, ou seja, é aquela pessoa natural que tem seus dados tratados por um agente de tratamento.
Por agentes de tratamento entende-se que pode ser um controlador quando definir as principais regras de tratamento dos dados pessoais, ou operador quando seguir as instruções do controlador de dados. A posição do agente de tratamento dependerá sempre do contexto referente às atividades de tratamento realizadas.
De todo modo, qualquer pessoa, seja física ou jurídica, pública ou privada, que utiliza dados pessoais em sua atividade profissional ou negócio, deverá cumprir a LGPD, independentemente de seu porte. Assim, não seria diferente com os condomínios residenciais e empresariais.
Do ponto de vista do condomínio empresarial, os titulares de dados mais frequentes são: clientes, pacientes de condôminos, colaboradores, profissionais autônomos, sócios de condôminos e colaboradores, prestadores de serviços autônomos do condomínio.
Dentre as atividades de tratamento realizadas pelo condomínio empresarial, é importante destacar o controle de acesso à dependência física do prédio. Normalmente, são coletados dados pessoais comuns, como nome completo, RG e imagem. Contudo, hoje, muitos condomínios têm migrado o controle via digital ou reconhecimento facial, o que implica no tratamento de dados biométricos (sensíveis), o que atrai maiores responsabilidades a serem observadas pelo condomínio em relação à LGPD.
É que a lei determina que o tratamento de dados pessoais somente é lícito quando tiver uma base legal para realizar uma atividade com finalidade específica. Cumpre esclarecer que há bases legais diferentes para tratamento de dados comuns e sensíveis:
Dados pessoais comuns
1 – Consentimento
2 – Cumprimento de obrigação lega ou regulatória pelo controlador
3 – Execução de políticas públicas
4 – Estudo por órgão de pesquisa
5 -Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
6 – Exercício regular de direitos em âmbito de processo judicial, administrativo e arbitral
7 – Proteção à vida ou incolumidade física do titular ou de terceiro
8 – Tutela à saúde
9 – Legítimo interesse do controlador
10 – Proteção ao crédito
Dados pessoais sensíveis
1 – Consentimento
2 – Cumprimento de obrigação lega ou regulatória pelo controlador
3 – Execução de políticas públicas
4 – Estudo por órgão de pesquisa
5 – Proteção à vida ou incolumidade física do titular ou de terceiro
6 – Tutela à saúde
7 – Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral
8 – Garantia de prevenção à fraude e segurança do titular
Assim, para identificar a base legal adequada para cada atividade, é necessário entender o ciclo de vida dos dados dentro do condomínio e as peculiaridades de cada prédio. A lei ainda impõe que tanto o controlador quanto o operador deverão ter e manter atualizado o Registro das Operações de Tratamento de dados (ROT), o qual deve conter, pelo menos nome e contato do agente de tratamento, finalidades, base legal para cada finalidade específica, descrição das categorias de titulares e das categorias de dados pessoais, com quem os dados pessoais são compartilhados, se os destinatários estão localizados em outros países, prazos de eliminação das diferentes categorias de dados, medidas de segurança técnicas e administrativas.
Além disso, quando há tratamento de dados biométricos (reconhecimento facial ou digital) para controle de acesso, é recomendável a realização de relatório de impacto, documento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, uma vez que a lei dispõe a possibilidade da ANPD exigir a apresentação deste relatório na hipótese de tratamento de dados pessoais sensíveis.
Ademais, a ANPD inseriu a necessidade de teste de balanceamento (avaliação de impacto) quando a base legal utilizada for prevenção à fraude e segurança do titular em sua minuta de regulamentação sobre “Hipóteses legais de tratamento de dados pessoais legítimo interesse” cuja consulta pública se encerrou em 30 de setembro último, o reforça a importância de uma avaliação prévia sobre tratamento de dados pessoais sensíveis, em especial, biométricos para controle de acesso em condomínios empresariais.
Outro ponto de atenção é avaliar a obrigatoriedade de nomeação do Encarregado de Dados, popularmente conhecido como DPO (Data Protection Officer), aquele responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. É que Agentes de Tratamento de Pequeno Porte possuem algumas flexibilizações perante a lei, segundo a Resolução CD/ANPD n. 02 de 2022, dentre elas a desoneração de nomear Encarregado de Dados/DPO.
A título de esclarecimento, são considerados agentes de tratamento de pequeno porte:
Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas físicas e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Considera-se microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal cuja receita bruta anual seja igual ou inferior a R$ 4.8 milhões.
Já as startups são organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados com receita bruta anual igual ou inferior a R$ 16 milhões.
No entanto, ainda que a empresa ou ente despersonalizado, no caso o condomínio, se enquadre dentro do quesito financeiro, não se beneficiará do regulamento de agentes de tratamento de pequeno porte se preencher pelo menos um critério geral e um específico:
I – Critérios gerais
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar
significativamente interesses e direitos fundamentais dos titulares;
II – Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Assim, a despeito de ser prática comum em condomínios, especialmente, empresariais antes de definir pela utilização e investimento em controle de acesso por biometria, é recomendável avaliar:
- Realização de teste de balanceamento;
- Realização de relatório de impacto;
- Obrigatoriedade de nomeação de encarregado de dados;
- O nível de maturidade do terceiro fornecedor do produto/serviço de operacionalização da coleta de dados biométricas, em especial, local de armazenamento dos dados pelo operador, se no Brasil ou exterior, pois esta última hipótese implicará em transferência internacional de dados, o que requer procedimentos específicos e as medidas de segurança técnicas e administrativas por ele adotadas;
- Impactos e necessidade de delimitação de responsabilidades entre proprietários, locatários e o condomínio, tendo em vista que os condôminos também são controladores dos dados pessoais dos visitantes, sejam porque são seus clientes, pacientes, sejam porque são seus colaboradores, parceiros, prestadores de serviço.
É fato que os resultados dessas avaliações permitirão a tomada de decisões mais conscientes dos investimentos e medidas necessárias a serem implementadas para conformidade com a LGPD.
Caso o condomínio já utilize controle de acesso através de coleta de dados biométricos deverá providenciar as análises, documentos e práticas sugeridos com urgência de modo a evitar desconformidades legais. É preciso ainda atentar-se para a regularidade do tratamento dos dados comuns.
Assim, além do Registro das Operações de Tratamento, identificação de base legal apropriada para cada atividade, avaliação do nível de maturidade em privacidade de terceiros – como por exemplo: sistema utilizado para registrar cadastro de visitantes – medidas de segurança em documentos físicos e digitais, armazenamento de dados apenas pelo prazo necessário e obrigatório, é fundamental disponibilizarem aviso de privacidade na portaria e informar através de placas sobre gravação de imagens de segurança.
Por fim, mas não menos importante, os síndicos e/ou administradoras, responsáveis pela gestão do condomínio, devem convocar assembleia para informar aos condôminos sobre a necessidade de adequação à LGPD e riscos inerentes às desconformidades legais, sob pena de serem responsabilizados por eventuais prejuízos aos titulares de dados.
Portanto, além de evitar responsabilizações, condomínios empresariais adequados promovem a privacidade e segurança dos titulares e a manutenção de empresas locatários de salas, uma vez que organizações adequadas à LGPD não têm mantido mais relações com terceiros que não estejam em conformidade com lei.
*Por Luiza Patusco, advogada da Duarte Tonetti Advogados, especializada em Privacidade e Proteção de Dados e membro e certificada pela International Association of Privacy Professionals (IAPP) – CIPM e CDPO.
