Índice
Lei Geral de Proteção de Dados Pessoais e condomínio
Sanções administrativas da LGPD estão em vigor desde 1º de agosto e o segmento condominial também deve estar em conformidade à lei, implantando políticas internas, cláusulas contratuais e treinamento de colaboradores
As sanções administrativas para quem descumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) estão valendo desde o dia 1º de agosto de 2021. Isso significa que quem tratar dados fora das bases legais – inclusive o segmento condominial -, estará sujeito a estas sanções: multas e outras penalidades, como suspensão do funcionamento do banco de dados.
A Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável por “zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional”, de acordo com art. 5º, XIX, da LGPD – já foi instituída.
No entanto, depende do Regulamento de Fiscalização e Aplicação de Sanções Administrativas para efetivamente aplicá-las, comenta Marilen Amorim Fontana, advogada especialista em Direito Imobiliário e LGPD. O documento passou por Consulta Pública e a minuta ainda está sujeita a ajustes em razão das contribuições recebidas.
“Tudo indica que, neste início, a atuação da ANPD será mais pedagógica, com aplicação de advertência, tendo em vista também sua estrutura enxuta”, opina a advogada.
Como funciona a LGPD e quais as sanções
Você chega na farmácia e pede um remédio específico. O atendente pergunta “Gostaria de dar o seu CPF e conseguir 20% de desconto?”
A situação é prosaica e muita gente já passou por isso. Mas para quê dar o seu CPF para obter um desconto específico? O que é realmente feito com esse dado?
Para sanar essas dúvidas e trazer mais transparência na gestão de dados pessoais é que a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi sancionada, na esteira da legislação europeia que trata do mesmo tema.
A lei entrou em vigor em 18/9/2020 com sanção presidencial da lei nº 14.058, mantendo veto ao artigo 4º da Medida Provisória 959, que adiava a vigência da LGPD para 1º de janeiro de 2021.
As empresas dos mais diversos ramos devem se adequar ao que a lei exige: maior segurança, privacidade e transparência no uso de informações pessoais, o que proporciona ao titular maior controle sobre o processamento de seus dados pessoais.
Para isso, as empresas devem apresentar mudanças em diversas áreas, como:
- Tecnologia e Segurança da Informação, já que os dados dos clientes devem ser armazenados e geridos com um nível de cuidado extra contra vazamentos e espionagens;
- Jurídico, que deve chamar a atenção para os potenciais problemas com a lei;
- Atendimento ao cliente, uma vez que a lei está em vigor, qualquer pessoa poderá pedir por alterações em seus dados pessoais e até a exclusão completa dos mesmos.
Como no exemplo acima, o atendente da farmácia deverá deixar claro: qual será o uso do CPF do cliente. É para a própria farmácia? Para o laboratório? Por quanto tempo esse dado será armazenado?
A LGPD aponta as seguintes sanções em caso de descumprimento, em vigor desde 1º/08/2021:
- Advertência;
- Multa de até 2% do faturamento (limitada a R$ 50 milhões por infração);
- Multa diária (limitada a R$ 50 milhões por infração);
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão do funcionamento do banco de dados, a que se refere a infração por 6 meses, prorrogável por igual período;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Empresas precisam se adequar à lei, inclusive do setor condominial
Muitas empresas – inclusive do setor condominial – tiveram que apostar em novos procedimentos e tecnologias para atender aos pedidos de segurança da lei, já que deixar dados de usuários ‘descobertos’ pode ser uma dor de cabeça séria no futuro.
Importante dizer que as multas para vazamento de dados são altas, e que as companhias deverão ir à imprensa para dar ciência quando isso ocorrer, acarretando, assim, não apenas em prejuízo financeiro, mas também de imagem pública.
Uma lei como essa é importante não só para o cidadão comum, que se vê mais empoderado do uso de seus dados pessoais, mas também responsabiliza empresas de todos os setores a olharem com mais atenção para a gestão desses dados.
As administradoras de condomínio, por exemplo, devem ser transparentes quanto à gestão dos dados dos seus usuários. As administradoras devem estar preparadas para responder para os seus clientes perguntas como:
- quais informações pessoais são coletadas
- por quanto tempo serão armazenadas
- como esses dados são tratados e protegidos
Também vale ressaltar que as empresas com maior ou menor base de dados, mais antigas ou mais novas, todas devem se adequar o mais brevemente possível.
Outro ponto que gerou dúvidas no mercado condominial é sobre o prazo que as administradoras têm para manter dados de ex-moradores em seu sistema.
“Entendo que, para isso, o prazo seja dois ou até três anos, por ser justamente o prazo para ressarcimento de danos, de eventuais danos que tenham sido causados durante o período que ele ocupou a unidade, por exemplo”, ensina André Luiz Junqueira, advogado especializado em condomínios.
Adequações iniciais dos condomínios à LGPD
Não sabe por onde começar as adequações do seu condomínio à LGPD? Confira abaixo o mínimo a ser observado para estar em conformidade à lei:
- Criar e implantar Políticas internas, de Segurança da Informação e de Privacidade. Exemplo: definir o processo de controle de acesso de visitantes/prestadores de serviço na portaria:
- coletar o mínimo necessário de dados: nome e nº documento
- definir uma base legal para a coleta dos dados de acordo com a sua finalidade. Ex.: cumprimento de obrigação legal de segurança do condomínio (crimes como furto, estupro)
- ciclo de vida dos dados (da coleta à eliminação):
- armazenamento: registro feito em caderno
- quem tem acesso: somente os porteiros, zelador e síndico
- segurança: caderno fica guardado em um gaveta trancada
- periodicidade e forma de descarte: anual em fragmentadora de papel
- gerar evidências de que o condomínio está adequado à LGPD para fins de fiscalização: documentar/comprovar as atitudes tomadas. Ex: apresentar certificados ou a lista de presença de treinamento em LGPD dos funcionários.
- Treinamento de colaboradores: funcionários devem ter conhecimento da LGPD no que tange às suas funções e explicar para os visitantes o porquê da coleta dos dados e o ciclo de vida.
- Adequação dos contratos: com as empresas com as quais o condomínio já tem contratos vigentes, devem ser feitos aditivos contratuais e os próximos contratos novos já devem ser feitos com empresas em conformidade à LGPD, com cláusulas contratuais sobre atendimento à lei.
O condomínio é o controlador do dado (ele é quem manda), a empresa contratada é o operador (obedece ao controlador).
“Se houver vazamento de dados, o condomínio é o responsável por essa contratação que está infringindo cláusulas, por isso precisa contratar corretamente para se garantir e se preservar. Tem que fazer um contrato bem feito e fiscalizar o cumprimento do contrato pelo operador. Se algum dos prestadores não estiver cumprindo, o condomínio deve tomar atitudes e documentá-las e, caso não resolva, pode rescindir o contrato”, alerta Marilen Fontana.
A síndica profissional especializada em condomínios-clube Taula Armentano já está tomando as providências.
“Estão em andamento adequação contratual com empresas terceirizadas e administradoras, responsáveis pelo armazenamento, tratamento e quem tem acesso aos dados de condôminos e visitantes. Equipe de colaboradores está assinando termo de confidencialidade e também estou informando os moradores sobre o que é a LGPD, como as atualizações cadastrais estão sendo feitas em atendimento à lei, quem tem acesso aos dados, onde ficam e por quanto tempo são armazenados”, explica.
LGPD pode não afetar os condomínios diretamente
Uma parte dos advogados especialistas em condomínios tem dúvidas se a LGPD se aplicaria diretamente aos próprios condomínios.
“A lei fala que está excluída da sua aplicação quando o tratamento de dados – a atividade – é feito por pessoa natural (física) e para motivo exclusivamente particular e sem interesse econômico, que é o que acontece quando um visitante entra no condomínio e seus dados são pedidos”, exemplifica o advogado especialista em condomínios André Junqueira.
Esse também é o entendimento do advogado Cristiano de Souza.
“Essa legislação era necessária e será muito benéfica, mas ainda é muito ‘aberta’, restam muitas dúvidas. Por exemplo: ela cita apenas pessoa jurídica (empresas) ou naturais (pessoa física). O condomínio não se encaixa em nenhum desses conceitos”, analisa.
Angelica Arbex, diretora de Marketing e Inovação da Lello Condomínios, enxerga alguns pontos principais nesta questão, como na relação do condomínio com os seus condôminos, funcionários, fornecedores e visitantes. Segundo ela, apesar de o condomínio não ser uma pessoa jurídica, é fundamental que toda a adequação ocorra também dentro deles.
A diretora da Lello explica que a coleta de informações pessoais precisa obedecer a cinco princípios:
- finalidade
- adequação
- necessidade
- transparência
- auditoria.
“Isso precisará ser traduzido para a rotina dos condomínios, como em uma simples lista de convidados na portaria para a liberação de uma festa. Seja físico ou digital, o condomínio deve tratar este documento sob a luz da lei e porteiros e zeladores precisam estar preparados para explicar a um visitante, por exemplo, qual a finalidade de seus dados naquela lista e como eles foram armazenados“, explica Angelica Arbex, da Lello.
LGPD afeta prestadores de serviço do condomínio
Empresas contratadas para prestação de serviço em condomínios, como administradoras, aplicativos, empresas de portaria remota, terceirizadoras de mão de obra, entre outras devem, sim, se adequar aos ditames da Lei Geral de Proteção de Dados.
E devem fazê-lo com atenção, pois as multas podem ser bastante altas: variam de advertências simples a multas de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil limitadas no total a R$ 50 milhões – por infração. A fiscalização cabe à ANPD.
Há muito a ser feito pelas empresas para se adequarem à nova legislação.
“Do jurídico à área de processamento de dados, as empresas devem se conscientizar do tamanho dessa mudança”, alerta Allan Alher Fonseca, cofundador da Guardians, uma consultoria focada na LGPD.
Ele também alerta que com a vigência da lei, as empresas terão que conseguir comprovar que os dados recolhidos por elas foram obtidos com autorização do titular. Ou que exista uma outra base legal para o seu tratamento, adiciona Marilen Amorim Fontana.
Empresas que serão mais afetadas pela LGPD
As prestadoras que lidam com um grande número de clientes, como administradoras de condomínios, devem se apressar para se adequar à nova legislação.
“As grandes administradoras já têm essa política de contar com a anuência do morador para pedir suas informações pessoais, além de cuidados de preservação do seu banco de dados”, explica a advogada consultora do grupo Graiche Laila Bueno.
Outro caso importante é o das empresas de portaria remota (também conhecida como virtual), uma vez que dados biométricos são considerados sensíveis. E, tendo essa característica, o cuidado com esses dados deve ser redobrado.
Há empresas que estão estudando a legislação para se adequar de uma forma orgânica.
“Aqui criamos um grupo de estudos multissetorial. Estamos nos reunindo semanalmente para que as medidas necessárias sejam tomadas e a lei, atendida completamente”, ressalta Carolina Peres Salvador, advogada da Porter Group, que oferece serviços de portaria remota.
DPO: mais um colaborador na folha de pagamento
Independente do nicho, todas as empresas que lidam com dados pessoais deverão contar com um DPO: Data Protection Officer, ou Oficial de Proteção de Dados ou encarregado de dados.
“Seja um cargo dentro da empresa ou terceirizado, o DPO será responsável por assegurar que a empresa siga o que a lei pede – isso inclui tratar com clientes, com o órgão fiscalizador, e até para falar com a imprensa caso haja um vazamento de dados. Uma mistura de jurídico, TI, compliance”, aponta Allan.
9 pontos para se adequar à LGPD
- CAPTAÇÃO DE DADOS: Para cada dado pedido por uma empresa, em qualquer formulário, seja digital ou em papel, deve-se esclarecer o motivo da necessidade do mesmo e a base legal para seu tratamento.
- CONSENTIMENTO: as empresas devem obter consentimento de seus clientes acerca de todos os dados pessoais ou ter outra base legal para seu tratamento. Uma autorização de uso de dados, de todos os dados que a empresa mantiver em seu poder.
- PROVA: Além do consentimento, as empresas deverão conseguir comprovar que obtiveram a autorização dos titulares dos dados, assim como da gestão dos mesmos.
- DADOS SENSÍVEIS: religião, sexo, orientação política e social, biometria, câmeras pedem outro tipo de cuidado das empresas que obtiveram esses dados. Mais segurança no cuidado dos mesmos e um consentimento claro por parte do titular.
- MENORES: Dados de menores de 16 anos não devem ser usados, a não ser com anuência expressa dos pais ou responsáveis legais.
- ACESSO AOS DADOS: Solicitação de dados na empresa: um morador ou condômino pode ir até a administradora e pedir para conferir os dados que a empresa tem em mãos. O titular pode pedir alterações e até a exclusão de suas informações pessoais do banco de dados.
- VAZAMENTOS: Se houver vazamento de dados, a depender do tipo e da gravidade do vazamento, a empresa deve ir à imprensa noticiar o ocorrido e avisar a ANPD. Se atingiu poucas pessoas, diz Marilen Amorim, algumas vezes basta avisar aos próprios titulares.
- CORRESPONSABILIDADE: se houver vazamento de dados do condomínio em uma empresa parceira, seja da administradora, portaria remota, ou terceirizadora de mão de obra, a responsabilidade será de quem subcontratou. O condomínio, para se proteger, deve comprovar que contratou bem e fiscalizou o cumprimento do contrato.
- POLÍTICA DE PRIVACIDADE: Ao fechar um novo contrato, ou renegociar um antigo, é fundamental que a empresa tenha uma política de privacidade de acordo com a nova lei, assim como regras de confidencialidade.
Como fica a segurança do condomínio?
O uso sensível de dados pelo condomínio é, muitas vezes, o cadastro de visitantes – uma vez que os dados pedidos para condôminos e moradores atendem, ou devem atender, às necessidades daquela comunidade. Portanto, a portaria deve ser um dos locais do condomínio mais afetados pela LGPD.
Com a nova lei, como fica a gestão de dados de visitantes? A pessoa pode pedir para ter seus dados excluídos do banco de dados do condomínio assim que ingressar – ou sair – do local?
Ainda não há uma resposta final para essa pergunta.
“Enquanto perdurar o acesso ao condomínio, por uma questão de segurança e prevenção de riscos, o condomínio poderá tratar os respectivos dados independentemente do consentimento do seu titular, mas sempre informando a razão da coleta e a sua política de privacidade. Todavia, considero que este mesmo titular poderá, quando encerrado o acesso e assim que superada a questão da segurança e prevenção a riscos, exigir a exclusão de seus dados pessoais dos cadastros”, aponta a advogada Moira Toledo, diretora do Secovi-SP.
“Os condomínios coletam esses dados baseados na boa fé, para a sua própria segurança. Mas é importante explicar para o visitante por quanto tempo essas informações serão armazenadas”, aponta Cristiano Souza.
Outro cuidado é com a gestão dos colaboradores: os mesmos deverão estar a par dessas mudanças, para poder explicar para o visitante como os dados deste serão cuidados.
“O controlador deve conhecer exatamente para quê faz a coleta de dados e estar habilitado para prestar estes esclarecimentos. Deve ter cláusula de confidencialidade com o condomínio em seu contrato de trabalho. Deve conhecer a política de privacidade. Enfim, deve receber treinamento e capacitação e se comprometer a seguir o estabelecido”, argumenta Moira.
Os apps de condomínios deverão passar pelo mesmo processo: uma revisão dos cuidados com seus dados – e o consentimento claro dos titulares das informações pessoais sobre seu uso.
Brechas na LGPD
- Tempo de retenção de dados: não há prazo definido sobre quanto tempo uma empresa pode manter os dados de uma pessoa em seu sistema – será definido pelo próprio controlador conforme o caso e justificativa jurídica.
- Como será a fiscalização: o que se sabe é que há a ANPD, mas não está claro como será feito o acompanhamento junto às empresas.
Fonte: Sindiconet