Proteção de dados nos condomínios: por onde começar?
Desde o advento da LGPD, síndicos devem ter atenção à legislação, e treinar os funcionários de forma a proteger as informações relativas a moradores e visitantes
JOSÉ ANTÔNIO ZETÓ
O vazamento de dados dos moradores de um condomínio, em especial das informações consideradas sensíveis, pode gerar grandes prejuízos e dor de cabeça. Nessa categoria, podemos listar nome completo, CPF, placa do automóvel, telefone pessoal, biometria e imagens de câmeras de segurança. Tais dados podem servir para falsificações de documentos e cometimento de crimes. Em vigor desde o ano passado, a Lei Geral de Proteção de Dados permite aos cidadãos exigirem de empresas públicas e privadas informações claras sobre quais dados foram coletados, como estão armazenados e para quais finalidades são usados. Mas como deve ser feito um plano de adequação de um condomínio à LGPD?
“Em 14 de agosto de 2018, seguindo um movimento mundial, o Brasil promulgou uma lei de proteção da privacidade e dos dados pessoais, a Lei 13.709. Como o próprio nome da lei preconiza, ela é uma lei geral que traz diretrizes para todas as empresas, grandes ou pequenas, organizações com ou sem fins lucrativos, instituições privadas e o poder público. Como não poderia deixar de ser, condomínios não ficaram de fora. E, caso alguém, ainda, tivesse dúvidas, a Autoridade Nacional de Proteção de Dados, entidade responsável por fiscalizar a aplicação da lei no Brasil, aprovou, em 27 de janeiro deste ano, sua Resolução nº 2, na qual define como agentes de tratamento de pequeno porte, além das microempresas, empresas de pequeno porte, os entes privados despersonalizados que realizam tratamento de dados pessoais, ou seja, os condomínios, bem como espólios, massa falida e outros que se enquadram nesta definição. Assim, mesmo não sendo pessoa jurídica, um condomínio deve se adequar à LGPD”, explica José Antonio Pereira do Nascimento.
Formado em Direito pelo Uerj, fundador da Zetó Consultoria Ltda., e com 21 anos de experiência em gestão de informações e documentos, nosso entrevistado segue em sua análise. “Mas, afinal, os condomínios fazem tratamento de dados pessoais? Bem, se seu condomínio possui cadastro de moradores, ficha destes em fichas, formulários ou sistemas, a resposta é sim. Se seu condomínio tem empregados contratados, é claro que sim! Se seu condomínio possui câmeras que gravam imagens de moradores e visitantes, é óbvio que sim! Caso seu condomínio tenha acessos permitidos por alguma forma de biometria, naturalmente que sim!”, provoca ele, também bibliotecário e mestre em Gestão de Documentos e Arquivos pela UniRio, com MBA em Gestão de Portfólio, Programas e projetos pela Poli/UFRJ.
Segundo Zetó, como é conhecido, que atua como gestor de dados, informações e documentos, é óbvio que os condomínios precisam urgentemente se adequar à LGPD e garantir a proteção dos dados pessoais que coleta, armazena, transfere ou elimina, pois tudo isso são ações de tratamento de dados pessoais. Lembrando ainda que dados biométricos, como imagens e digitais, pertencem à categoria de dados pessoais sensíveis, para s quais a lei prevê cuidado especial e autorizações específicas para seu tratamento. O vazamento do banco de dados, seja ele físico (fichas e formulários em papel), digital ou eletrônico (sistemas e CD-ROM, pen drives…), especialmente aqueles considerados como sensíveis dos moradores de um condomínio podem gerar grandes prejuízos. Como assim? Qualquer um que se sinta desprotegido em sua privacidade por parte do condomínio pode entrar com uma reclamação na ANPD ou mesmo ação judicial com base na LGPD, trazendo prejuízo financeiro para o condomínio com pagamento de multas ou indenizações.
Em linhas gerais, o primeiro passo para a adequação é trabalhar com a conscientização dos responsáveis envolvidos em coletar e armazenar os dados no condomínio. Essas pessoas precisam entender o que é e a importância de cumprir com a LGPD. Depois, fazer um diagnóstico do condomínio, verificar quais dados são coletados, de que forma e qual a finalidade. Com o diagnóstico em mãos, é preciso analisar quais os riscos e traçar o plano de ação para a implementação do programa de ajuste.
“Primeiramente, o condomínio deve tomar ciência de sua condição e se conscientizar da necessidade de se adequar a essa nova legislação. Depois, um bom caminho é ter acesso a uma consultoria especializada, visando aos melhores caminhos para adequação do seu condomínio. O que deverá ser realizado seguindo os passos seguintes em seu condomínio: a criação de Comitê de implantação; a realização de diagnóstico do condomínio para entender a real situação; a realização de Inventário de dados (Data Mapping), produzindo o documento chamado Relatório de Tratamento de Dados (RTD); a definição de prazos para tratamento de dados, incluindo tempo de retenção de imagens captadas; análise de riscos; definição de hipótese de tratamento legal prevista na Lei; prognóstico (To Be)”, relaciona ele.
Outras medidas são um plano de trabalho para a efetiva adequação no que concerne à segurança da informação e outras questões que não possam ser implementadas de imediato; a revisão de contratos com empregados e fornecedores (apoio jurídico); a redação da Política de Privacidade do condomínio; a revisão de sistemas e teste de vulnerabilidade (para grandes condomínios); o treinamentos dos empregados do condomínio; a assinatura de termos de confidencialidade de empregados e fornecedores que tenham acesso a dados pessoais de responsabilidade do condomínio; o tratamento de documentos físicos e digitais do condomínio.
“Pode até parecer muita coisa, mas uma boa consultoria vai fazer tudo isso de acordo com cada condomínio, seu tamanho e sua real necessidade. Lembrem-se que a LGPD não protege dados pessoais tratados no âmbito pessoal, como a troca de telefones e endereços entre os particulares, e isso inclui a fofoca, muito comum entre nós, seres humanos… Contudo, o condomínio deve estar atento para que questões particulares não se tornem de sua responsabilidade. Para que isso não ocorra, o melhor a fazer é se adequar e treinar empregados, comprovando isso por meio dos documentos gerados, pois vazamento de informações pessoais por parte de empregados pode ser de responsabilidade do próprio condomínio. Como se defender? O melhor é conseguir provar que a adequação, de boa-fé, foi realizada, que os empregados foram treinados e os fornecedores do condomínio também foram notificados”, resume Zetó, CIO da SyyS Tecnologia da Informação Ltda.
Eventual vazamento de dados ou mesmo de imagens de câmeras de segurança, por meio físico ou digital, por ação de funcionários, síndicos, moradores ou terceiros, causará danos aos titulares dos dados. E estes poderão buscar seus direitos na Justiça, tanto na esfera administrativa quanto na judicial. Os condomínios podem ser responsabilizados pelo vazamento e mau uso dessas informações, além de estarem proibidos de qualquer atividade relacionada ao tratamento desses dados, e passam a estar sujeitos a penalidades que vão desde uma simples advertência até o pagamento de multas, que podem chegar a R$ 50 milhões.
Regras básicas de dados nos condomínios
Associação das Administradoras de Bens Imóveis e Condomínios de São Paulo (Aabic) preparou um pequeno guia com dicas e orientações básicas à pessoa designada ou encarregado dos dados pessoais no condomínio, que pode ser o síndico, o subsíndico, um membro do conselho ou, até mesmo, um condômino. Lembrando que será essa pessoa quem vai responder por eventuais danos causados aos titulares de dados.
Confira algumas regras sobre o armazenamento de dados:
- Os condôminos devem ser avisados sobre:
- Quais dados são coletados
- Para qual finalidade
- Com quem são compartilhados
- Quem tem acesso aos dados pessoais dentro do condomínio
- Quais medidas de segurança são adotadas para protegê-los contra vazamento ou usos ilícitos
- Imagens das câmeras de segurança interna
- Deve haver avisos de que o ambiente está sendo filmado
- Não podem ferir a privacidade dos moradores
- O profissional com acesso às imagens deve ter treinamento
- O armazenamento das imagens deve ser feito de forma segura, com acesso restrito
- O síndico, como representante legal do condomínio, poderá ter acesso às imagens captadas, ou determinar um técnico para a análise, mas o fornecimento a terceiros (quebra de sigilo) só poderá ocorrer por meio de ordem judicial
- Impressão digital, reconhecimento facial, de íris e de voz
- A coleta deve ser espontânea
- O condomínio precisa excluir esses dados quando há mudança de moradores
- É indicado que o condomínio revise os contratos com as empresas que tratam dados pessoais
- Dados pessoais de crianças e adolescentes
- Devem ser obtidos somente com o consentimento dado por, pelo menos, um dos pais ou pelo responsável legal
- Poderão ser coletados sem consentimento apenas quando forem necessários para contatar os pais ou o responsável legal ou para sua proteção
- Cadernos de anotações
- Devem ser guardados em local seguro, acessado apenas por pessoas autorizadas
- Evite o armazenamento em locais em que os documentos podem se deteriorar
Contatos