A privacidade de dados e a nomeação do DPO em condomínios e associações de moradores

É essencial que seja desenvolvida uma eficaz e específica “Política de Privacidade e de Tratamento de Dados Pessoais”, observando as regras e normativas da LGPD, dando o máximo de publicidade a todas as partes, tornando-a acessível a todos – moradores, colaboradores, prestadores de serviços e até visitantes 

Luís Rodolfo Cruz e Creuz[1]

Um tema em que temos observado determinada recorrência, na seara cível imobiliária, envolve a proteção de dados em condomínios e associações, especialmente em virtude da plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD). Existem inúmeros pontos de contato da norma aos condomínios e associações, especialmente aqueles de cunho empresarial ou comercial. Mas também observamos fluxo e tratamento de dados que podem atrair a incidência das regras e obrigações da LGPD para condomínios e associações de natureza residencial, por não possuírem apenas finalidade particular, pois envolvem uma relação mais abrangente, visto que tratam inúmeros dados pessoais de condôminos, moradores, visitantes e de prestadores de serviço e colaboradores.

Lembramos que a LGPD visa o regramento de segurança e imposição de limites aos processos de tratamento de dados pessoais, que podem envolver, dentre outros, a coleta, recepção, classificação, utilização, acesso, reprodução, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação e transferência.

Interessa-nos aqui o questionamento sobre a figura do Encarregado de Dados (DPO), e se seria ou não obrigatória para condomínios e associações de moradores.

Antecipamos nossa opinião de que, como regra geral, entendemos que a indicação do Encarregado pelo tratamento de dados pessoais pelo controlador segue sendo mandatória e obrigatória (art. 41 da LGPD). Existem alguns argumentos práticos para este posicionamento (ao fim damos importante alerta àqueles que optarem pela dispensa).

O tema gira em torno da Resolução ANPD nº 2, de 27 de janeiro de 2022 (Resolução 2/2022) da Autoridade Nacional de Proteção de Dados (ANPD) que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte.

A LGPD determina que o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (art. 5º, VIII, LGPD). Já o art. 41 da LGPD determina a obrigatoriedade de indicação de um Encarregado pelo tratamento de dados pessoais, facultando à ANPD, no seu § 3º, a possibilidade de editar regras, inclusive de dispensa. E neste sentido veio a Resolução 2/2022 da ANPD, que regulamenta determinadas dispensas de regras mais rígidas, mas mantém as linhas mestras da LGPD.

O art. 2º da Resolução qualifica quem são “agentes de tratamento de pequeno porte”, incluindo “entes privados despersonalizados que realizam tratamento de dados pessoais”, o que atrairia a possibilidade de enquadramento de condomínios e associações de moradores em geral para fins das dispensas autorizadas, de procedimentos e inclusive da obrigatoriedade de nomeação de um Encarregado (DPO).

Espaços abertos ao público

Mas o mesmo artigo define, ainda, o que seriam “zonas acessíveis ao público”, como espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

A Resolução 2/2022 da ANPD também preceitua no art. 3º que não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que a) realizem tratamento de alto risco para os titulares; b) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006, ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021.

Ou seja, se entendermos que o condomínio realiza tratamento de alto risco – estaria atraindo a incidência do inciso I e, portanto, não poderia se beneficiar do tratamento jurídico diferenciado previsto no Regulamento.

Por outro lado, se avaliarmos e for constatada que a receita do condomínio ou associação de moradores supera o teto / limite para empresas do Simples – receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) -, seria o caso da incidência do inciso II, elidindo a possiblidade do benefício trazido pela Resolução 2/2022.

E entendemos que uma destas alternativas podem efetivamente ocorrer.

Mas, de qualquer forma, a questão não é SE o Encarregado / DPO seria dispensado, e sim QUAL o problema de não ter um. Isso em função do disposto no art. 6º da Resolução nº 2/2022 (dentre outros dispositivos), que determina que a dispensa ou flexibilização das obrigações dispostas neste regulamento não isentam os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares. Noutras palavras, a Resolução 2/2022 não afasta a aplicação ou obrigação de cumprimento da LGPD. Ela tão somente dispensa ou simplifica determinadas regras para certas hipóteses.

A norma registra, desta forma, o “alerta” da Autoridade Nacional de que a dispensa de determinados pontos não exime o cumprimento da LGPD por parte de condomínio ou associação de moradores, por exemplo, no atendimento a solicitações de dados de titulares que deverá ser realizado pelo representante legal (síndico) ou alguém que assuma esta responsabilidade.

Ação ou omissão do síndico

Via de regra, responde o condomínio pelo prejuízo causado a terceiros por ação ou omissão do síndico. Responde, também, o síndico perante o condomínio por atos que extrapolam as suas atribuições ou que representem falha, omissão ou negligência de sua parte na condução de suas atribuições.

Isso porque o síndico, enquanto representante legal, é o responsável pelo cumprimento de normas aplicáveis, atuando interna e externamente para e em nome da entidade, o que inclui adotar as medidas necessárias para a adequação do condomínio à LGPD e às exigências de privacidade e proteção de dados pessoais.

Especificamente no tocante ao Encarregado pelo Tratamento de Dados Pessoais, caso o síndico e a administração entendam que a Resolução 2/2022 é integralmente aplicável, estaria permitida ao condomínio ou associação de moradores a dispensa de indicação do Encarregado, nos termos do seu art. 11 (dispensa apenas de indicação e não de cumprimento das obrigações da função).

Todavia, todo agente de tratamento de pequeno porte que não indicar um encarregado deve obrigatoriamente disponibilizar um canal de comunicação com o titular de dados para atender ao disposto na LGPD, seja um telefone ou um endereço de e-mail, que devem ser efetivamente usados.

Vale a ressalva que a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins de aplicação e gradação da pena imposta pela ANPD em procedimento administrativo (art. 52, §1º, IX da LGPD).

A Resolução 2/2022 estabelece em seu art. 5º que é obrigação do agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º (definições) e do art. 3º (exclusão do benefício do tratamento jurídico diferenciado) da norma em até 15 (quinze) dias. Ou seja, a autoridade poderá intimar o condomínio ou associação de moradores para que prestem esclarecimentos relacionados ao enquadramento dos mesmos, as dispensas previstas ou questionar razões de por que não se consideraram enquadrados.

Estabelecimento de regras

Reforçamos a necessidade de discussão, avaliação e estabelecimento de regras para uso de dados pessoais de pessoas físicas, especialmente por quem administra ou mora em um condomínio ou associação de moradores. A questão fica ainda mais importante se considerarmos que as sanções podem envolver desde advertências, suspensões das atividades de tratamento e ordens para eliminação de dados, até a aplicação de multas no valor mínimo de 2% (dois por cento) da receita, limitada ao total de R$ 50 milhões.

Por fim, advertimos aqueles que serão os responsáveis pela atuação como canal de comunicação entre titulares de dados, controladores, a APND e mercado em geral, que é de extrema importância o cadastramento no Sistema de Peticionamento Eletrônico do Sistema SEI, dado que o sistema somente pode ser utilizado pelos usuários externos, devidamente cadastrados.

Ou seja, não deixe para o último dia do prazo para realizar o cadastro, pois o prazo para liberar o cadastro do usuário externo é de até 3 (três) dias úteis após o recebimento da documentação. Em caso de pendências, o cadastro não será liberado e o solicitante será informado por e-mail para as devidas providências. Recomendamos consulta ao “Manual do Usuário Externo – Peticionamento Eletrônico” e ao sítio www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

Seja qual for a decisão dos condôminos, síndico ou administração, é essencial que seja desenvolvida uma eficaz e específica “Política de Privacidade e de Tratamento de Dados Pessoais”, observando as regras e normativas da LGPD, publicando e dando o máximo de publicidade a todas as partes que se relacionem ou venham a se relacionar com o empreendimento, tornando-a acessível a todos – moradores, colaboradores, prestadores de serviços e até visitantes.

[1]              Luís Rodolfo Cruz e Creuz, advogado e consultor. sócio de Cruz & Creuz Advogados. Doutor em Direito Comercial pela Faculdade de Direito da Universidade de São Paulo – USP (2019); Certificate Program in Advanced Topics in Business Strategy University of La Verne – Califórnia (2018); Mestre em Relações Internacionais pelo Programa Santiago Dantas, do convênio das Universidades UNESP/UNICAMP/PUC-SP (2010); Mestre em Direito e Integração da América Latina pelo PROLAM – Programa de Pós-Graduação em Integração da América Latina da Universidade de São Paulo – USP (2010); Pós-graduado em Direito Societário – LLM – Direito Societário, do INSPER (São Paulo) (2005); Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP. E-mail: luis.creuz@lrcc.adv.br – Web:  www.lrcc.adv.br – LinkedIn: https://www.linkedin.com/in/luis-rodolfo-cruz-e-creuz/

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *