A Lei Geral de Proteção de Dados Pessoais (LGPD) veio para ficar. Privacidade e proteção de dados é um tema atual e urgente. E com isso, síndicos e gestores de condomínios e associações de moradores certamente possuem consideráveis dúvidas.
Na seara cível imobiliária, em virtude da plena vigência da LGPD, existem inúmeros pontos de contato de regras e da gestão condominial com o fluxo e tratamento de dados, que podem atrair a incidência das regras e obrigações da lei, seja para empreendimentos comerciais, seja para condomínios e associações de natureza residencial.
Uma relação mais abrangente, e não apenas com finalidade particular, exige avaliação e todo um trabalho de adequação, visto que estas entidades tratam inúmeros dados pessoais de condôminos, moradores, visitantes, e de prestadores de serviço e colaboradores.
Lembramos que a LGPD visa o regramento de segurança e imposição de limites aos processos de tratamento de dados pessoais, que podem envolver, dentre outros, a coleta, recepção, classificação, utilização, acesso, reprodução, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação e transferência.
Interessa-nos aqui o questionamento sobre a figura do encarregado (DPO), e se seria ou não obrigatória para condomínios e associações de moradores.
Antecipamos nossa opinião de que, como regra geral, entendemos que a indicação do encarregado de tratamento de dados pessoais pelo controlador segue sendo mandatória e obrigatória (art. 41 da LGPD). Existem alguns argumentos práticos para este posicionamento (ao fim damos importante alerta àqueles que optarem pela dispensa).
O tema gira em torno da Resolução ANPD nº 2, de 27 de janeiro de 2022 (Resolução 2/2022) da Autoridade Nacional de Proteção de Dados (ANPD) que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte.
A LGPD determina que o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (art. 5º, VIII, LGPD). Já o art. 41 da LGPD determina a obrigatoriedade de indicação de um encarregado pelo tratamento de dados pessoais, facultando à ANPD, no seu § 3º, cria a possibilidade de editar regras, inclusive de dispensa. E neste sentido, veio a Resolução 2/2022 da ANPD, que regulamenta determinadas dispensas de regras mais rígidas, mas mantém as linhas mestras da LGPD.
O art. 2º da Resolução qualifica quem são “agentes de tratamento de pequeno porte”, incluindo “entes privados despersonalizados que realizam tratamento de dados pessoais”, o que atrairia a possibilidade de enquadramento de condomínios e associações de moradores em geral para fins das dispensas autorizadas, de procedimentos e inclusive da obrigatoriedade de nomeação de um encarregado (DPO).
Mas o mesmo artigo define, ainda, o que seriam “zonas acessíveis ao público”, como espaços abertos ao público, a exemplo de praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
A Resolução 2/2022 da ANPD também preceitua no art. 3º que não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que a) realizem tratamento de alto risco para os titulares; b) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021.
Ou seja, se entendermos que o condomínio realiza tratamento de alto risco, este estaria atraindo a incidência do inciso I e, portanto, não poderia se beneficiar do tratamento jurídico diferenciado previsto no Regulamento.
Por outro lado, se avaliarmos e for constatada que a receita do condomínio ou associação de moradores supera o teto / limite para empresas do simples – com receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) –seria o caso da incidência do inciso II, elidindo a possibilidade do benefício trazido pela Resolução 2/2022.
E entendemos que uma destas alternativas podem efetivamente ocorrer.
Mas, de qualquer forma, a questão não é SE o encarregado / DPO seria dispensado, e sim QUAL o problema de não ter um. Isso em função do disposto no art. 6º da Resolução nº 2/2022 (dentre outros dispositivos), que determina que a dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares. Noutras palavras, a Resolução 2/2022 não afasta a aplicação ou obrigação de cumprimento da LGPD. Ela tão somente dispensa ou simplifica determinadas regras para certas hipóteses.
A norma registra, desta forma, o “alerta” da Autoridade Nacional de que a dispensa de determinados pontos não exime o cumprimento da LGPD por parte de condomínio ou associação de moradores, por exemplo, no atendimento e solicitações de dados de titulares que deverá ser realizado pelo representante legal (síndico) ou alguém que assuma esta responsabilidade.
Via de regra, responde o condomínio pelo prejuízo causado a terceiros por ação ou omissão do síndico. Responde, também, o síndico perante o condomínio por atos que extrapolam as suas atribuições ou que representem falha, omissão ou negligência de sua parte na condução de suas atribuições. Isso porque o síndico, enquanto representante legal é o responsável pelo cumprimento de normas aplicáveis, atuando interna e externamente para e em nome da entidade, o que inclui adotar as medidas necessárias para a adequação do condomínio à LGPD e às exigências de privacidade e proteção de dados pessoais.
Especificamente no tocante ao encarregado pelo Tratamento de Dados Pessoais, caso o síndico e a administração entendam que a Resolução 2/2022 é integralmente aplicável, estaria permitida ao condomínio ou associação de moradores a dispensa de indicação do encarregado, nos termos do seu art. 11 (dispensa apenas de indicação e não de cumprimento das obrigações da função).
Todavia, todo agente de tratamento de pequeno porte que não indicar um encarregado deve obrigatoriamente disponibilizar um canal de comunicação com o titular de dados para atender ao disposto na LGPD, seja um telefone ou um endereço de e-mail, que devem ser efetivamente usados.
Vale a ressalva que a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins de aplicação e gradação da pena imposta pela ANPD em procedimento administrativo (art. 52, §1º, IX da LGPD).
A Resolução 2/2022 estabelece em seu art. 5º que é obrigação do agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º (definições) e do art. 3º (exclusão do benefício do tratamento jurídico diferenciado) da norma em até 15 (quinze) dias. Ou seja, a autoridade poderá intimar o condomínio ou associação de moradores para que preste esclarecimentos relacionados ao enquadramento do mesmo as dispensas previstas ou questionar razões de porque não se considerou enquadrado.
Reforçamos a necessidade de discussão, avaliação e estabelecimento de regras para uso de dados pessoais de pessoas físicas, especialmente por quem administra ou mora em um condomínio ou associação de moradores. A questão fica ainda mais importante se considerarmos que as sanções podem envolver desde advertências, suspensões das atividades de tratamento e ordens para eliminação de dados, até a aplicação de multas no valor mínimo de 2% (dois por cento) da receita, limitada ao total de R$ 50 milhões.
Por fim, advertimos aqueles que serão os responsáveis pela atuação como cana de comunicação entre titulares de dados, controladores, a APND e mercado em geral, que é de extrema importância o cadastramento no Sistema de Peticionamento Eletrônico do Sistema SEI, dado que o sistema somente pode ser utilizado pelos usuários externos, devidamente cadastrados. Ou seja, não deixe para o último dia do prazo para realizar o cadastro, pois o prazo para liberar o cadastro do usuário externo é de até três dias úteis após o recebimento da documentação. Em caso de pendências, o cadastro não será liberado e o solicitante será informado por e-mail para as devidas providências. Recomendamos consulta ao Manual do Usuário Externo – Peticionamento Eletrônico e ao site www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
Seja qual for a decisão dos condôminos, síndico ou administração, é essencial que seja desenvolvida uma eficaz e específica “Política de Privacidade e de Tratamento de Dados Pessoais”, observando as regras e normativas da LGPD, publicando e dando o máximo de publicidade a todas as partes que se relacionem ou venham a se relacionar com o empreendimento, tornando acessível a todos – moradores, colaboradores, prestadores de serviços e até visitantes.
Luís Rodolfo Cruz e Creuz
Advogado e Consultor em São Paulo, Brasil. Sócio de Cruz & Creuz Advogados. Doutor em Direito Comercial pela Faculdade de Direito da Universidade de São Paulo – USP (2019); Certificate Program in Advanced Topics in Business Strategy University of La Verne – Califórnia (2018); Mestre em Relações Internacionais pelo Programa Santiago Dantas, do convênio das Universidades UNESP/UNICAMP/PUC-SP (2010); Mestre em Direito e Integração da América Latina pelo PROLAM – Programa de Pós-Graduação em Integração da América Latina da Universidade de São Paulo – USP (2010); Pós-graduado em Direito Societário – LLM – Direito Societário, do INSPER – São Paulo (2005); Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP.
Mais informações: luis.creuz@lrcc.adv.br
Autor
