Resumo: O advento da Lei Geral de Proteção de Dados Pessoais impeliu empresas de diversos ramos a iniciarem a implementação de projetos de adequação à Lei. Os condomínios, residenciais e comerciais, e as associações de moradores também se incluem neste processo, sendo necessária a adoção de medidas de governança e boas práticas no que tange à proteção dos dados pessoais de moradores, colaboradores e visitantes.
Em vigor desde setembro de 2020, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) apresenta um microssistema jurídico de proteção de dados pessoais, sendo aplicável a qualquer operação de tratamento realizada por pessoa natural ou jurídica, de direito público ou privado, a fim de garantir maior segurança e transparência aos titulares em relação à forma como seus dados pessoais são utilizados.
O presente artigo visa analisar a possibilidade de aplicação da LGPD a condomínios comerciais, residenciais e a associações de moradores, mais especificamente, àquelas que adotam algum sistema de controle de acesso e, assim, realizam a coleta de dados de moradores e de visitantes que pretendam acessar as dependências condominiais ou do loteamento.
Pois bem, o art. 3º, caput, da LGPD dispõe ser esta aplicável a qualquer operação de tratamento realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, a atividade tenha por objetivo a oferta de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
Com propósito de aumentar a segurança dos moradores e funcionários, os condomínios têm reforçado medidas para acesso às suas dependências, por meio, por exemplo, da instalação de câmeras de segurança e da coleta de dados pessoais, como nome, RG, CPF, para fins de consolidação de cadastro, havendo, por vezes, inclusive a coleta de dados pessoais sensíveis, como fotografia e biometria, para controle de acesso.
É evidente que tais atividades envolvem o tratamento de dados pessoais e, eventualmente, de dados pessoais sensíveis, seja de condôminos, visitantes, funcionários ou prestadores de serviços, daí a importância de se pensar a aplicação da LGPD neste caso.
A principal celeuma envolvendo a aplicação das regras da LGPD aos condomínios refere-se à definição de controlador disposta no art. 5º, inciso VI, da lei, que limita este conceito à “pessoa natural ou jurídica” a quem competem as decisões referentes ao tratamento de dados pessoais, ao passo que, a tradição do Direito Civil considera os condomínios como entes despersonalizados. Todavia, destaca-se que as recentes discussões doutrinárias sobre o tema já reconhecem a personalidade jurídica do condomínio edilício (vide os enunciados nº 90, da I Jornada de Direito Civil e nº246, da III Jornada de Direito Civil ). No mais, considerando-se os próprios propósitos da LGPD, quais sejam os de proteger e garantir os direitos dos titulares de dados pessoais, tem-se adotado uma interpretação finalística do conceito de controlador, a fim de abarcar qualquer organização que tome as decisões referentes ao tratamento dos dados pessoais.
Nesse ponto, vale inclusive lembrar que o Regulamento Geral Europeu sobre Proteção de Dados Pessoais (GDRP), principal inspiração de nossa lei de proteção de dados, adota um conceito ampliativo de controlador, sendo este definido como qualquer pessoa natural ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais (art. 4º, item 7).
Quanto às associações de moradores, cabe ressaltar que estas são responsáveis pela administração de estruturas habitacionais popularmente denominadas de “loteamentos fechados”. Neste modelo, após o parcelamento do solo na modalidade de loteamento, seguindo as normas da Lei nº 6.766/79 (Lei do Parcelamento do Solo Urbano), os lotes são comercializados como áreas em “loteamento fechado” ou “condomínio fechado”, geralmente com controle de acesso, segurança e infraestrutura de lazer.
A associação de moradores, é, assim, uma pessoa jurídica de direito privado sem fins lucrativos, constituída na modalidade de Associação Civil, cujas regras de constituição, atividades e distribuição de despesas estão previstas em um Estatuto Social. Via de regra, estas associações possuem permissão da municipalidade para administrar o loteamento, inclusive, com a instalação de guarita com controle de acesso de moradores e terceiros, operação que pode envolver o tratamento de dados pessoais, assim como ocorre nos condomínios edilícios.
Cabe ressaltar, ainda, que a Lei nº 13.465/2017 acrescentou o §8º ao art. 2º, da Lei nº 6.766/1979 para incluir o conceito de “loteamento de acesso controlado”, que consiste na modalidade de loteamento “cujo controle de acesso será regulamentado por ato do poder público Municipal, sendo vedado o impedimento de acesso a pedestres ou a condutores de veículos, não residentes, devidamente identificados ou cadastrados”.
Para além das discussões do âmbito do Direito Imobiliário e do Direito Público, a disposição legal quanto à necessidade de identificação ou cadastramento de indivíduos para acesso às dependências do loteamento, é indício de que este controle de acesso ocorre mediante a coleta de dados pessoais, por isso, submete-se às disposições da LGPD.
Aliás, é inequívoca a existência de personalidade jurídica das Associações de Moradores, assim, esta se inclui na definição de controlador prevista na LGPD, mencionada anteriormente (art. 5º, inciso VI). Nessa linha, também se entende que, tanto o condomínio, quanto a associação de moradores, não se enquadram nas exceções de aplicação da LGPD, elencadas no art. 4º da Lei, as quais constituem um rol taxativo.
Sendo assim, é de se reconhecer a aplicação da Lei Geral de Proteção de Dados Pessoais também às operações de tratamento de dados pessoais realizadas no âmbito dos condomínios edilícios, comerciais e das associações de moradores.
Desse modo, é preciso se atentar para a limitação das finalidades do tratamento de dados pessoais e a identificação da base legal que legitima tal atividade, por exemplo, o consentimento do titular (art. 7º, inc. I, da LGPD) ou o legítimo interesse do controlador em garantir a segurança de suas dependências e dos moradores (art. 7º, inc. IX, da LGPD). Além disso, impõe-se a transparência quanto às finalidades da coleta dos dados (art. 6º, inc. I), a adequação do tratamento à finalidade informada (art. 6º, inc. II) e a utilização de mecanismos de segurança, técnicos e organizacionais, para realização dessas operações (art. 6º, inc. VII).
Em caso de exigência do fornecimento de dados pessoais (especialmente dados pessoais sensíveis) de visitantes e moradores para permitir-lhes o acesso às dependências do condomínio ou do loteamento, estes deverão explicitar, por exemplo, sua política de privacidade, em que estejam enumeradas as finalidades de tratamento, além de observar, quando necessária, a devida obtenção do consentimento do titular, de forma livre, informada e inequívoca. Ainda, pode ser necessária a alteração da convenção ou regulamento interno do condomínio e das associações de moradores para a inclusão de disposições relativas à proteção de dados pessoais. Tem-se, portanto, a exigência de uma governança condominial alinhada às diretrizes da LGPD.
Destaca-se, ainda, as situações de riscos a que se submetem quaisquer atividades de tratamento de dados pessoais, inclusive no contexto de tais estruturas habitacionais. Além do risco tecnológico, relativo a eventual incidente de segurança como os vazamento dos dados pessoais coletados, há riscos regulatórios referentes às sanções administrativas e à responsabilidade civil em caso de descumprimento da Lei. Assim, a adoção de medidas preventivas de governança é essencial para a mitigação de tais riscos.
Vale ressaltar que cabe à Autoridade Nacional de Proteção de Dados (ANPD) regulamentar a aplicação de multas aos condomínios e às associações de moradores, visto que estes não possuem “faturamento”, base de cálculo utilizada pela LGPD para a graduação das sanções administrativas de caráter pecuniário (art. 52, inc. II). Aliás, a regulamentação da aplicação dos artigos 52 e seguintes da LGPD, quanto às sanções administrativas, está prevista na agenda regulatória da ANPD já para o primeiro semestre de 2021.
A devida adequação dos condomínios e das associações de moradores à LGPD mostra-se, portanto, imprescindível, sendo essencial o mapeamento dos processos e operações de tratamento, a fim de visualizar as finalidades dessas atividades e identificar as bases legais mais adequadas, além da adoção de salvaguardas jurídicas e tecnológicas e do treinamento dos funcionários e colaboradores. Em suma, a maneira ideal de evitar prejuízos nesta seara é a completa implementação de um programa de gestão dos dados pessoais, adequação dos processos e adoção de boas práticas e governança.
Ricardo Sordi Marchi é sócio-advogado do escritório Brasil Salomão e Matthes Advocacia, com atuação na área cível.
Maria Eduarda Sampaio de Sousa é estagiária do escritório Brasil Salomão e Matthes Advocacia, com atuação na área de proteção de dados pessoais.
Verônica do Nascimento Marques é estagiária do escritório Brasil Salomão e Matthes Advocacia, com atuação na área de proteção de dados pessoais.