A Lei Geral de Proteção de Dados (“LGPD”), a Lei nº 13.709, de 14 de agosto de 2018 , regulamenta o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD, no mês de agosto de 2021, fechou o ciclo de distintos marcos de vigência, dado que parte vige desde dia 28 de dezembro de 2018, e parte relacionada a sanções administrativas teve início de vigência em 1º de agosto de 2021. Assim, os direitos e as obrigações de titulares , controladores , operadores e encarregados , e da própria ANPD estão plenamente vigentes desde setembro de 2020 . Significa dizer, como de fato por distintas vezes já observamos em julgados do Poder Judiciário, que apenas sanções administrativas não poderiam ser aplicadas, sendo válidas todas as demais condenações verificadas por tratamento irregular ou mesmo ilícito de dados (lembrando o amplo conceito fixado pela norma que abarca toda operação realizada com dados pessoais ).
Pontuamos que se considera sanção “a consequência jurídica pela ocorrência material de um pressuposto de fato previsto em lei, podendo ser de natureza penal, administrativa, constitucional, civil, etc.” . E esta consequência certamente é decorrente de uma responsabilidade ligada ao fato / ocorrência verificada, dado que para o direito haverá responsabilidade quando for “possível estabelecer um nexo causal entre ele e seu autor, ou seja, quando se esteja diante de uma relação necessária entre o fato incriminado e o prejuízo.”
Neste contexto, dentre as distintas figuras envolvidas no tratamento de dados pessoais e que são reguladas pela LGPD, a Lei conceitua o Encarregado como sendo toda pessoa (natural ou jurídica) indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”) .
A figura do Encarregado foi inspirada na legislação europeia de proteção de dados que denomina tal função como Data Protection Officer (DPO). A função do Encarregado, segundo a nossa legislação, é receber as reclamações e comunicações dos titulares de dados pessoais e tomar providências necessárias.
Igualmente, o Encarregado deve atuar na entidade certificando que esta adota boas práticas necessárias para a proteção de dados no dia a dia. Ter mapeadas as operações de tratamento de dados bem como ser capaz de demonstrar o cumprimento da LGPD dentro da instituição, tanto internamente quanto perante eventuais empresas que recebam dados de titulares para finalidades específicas, são algumas das missões do Encarregado. Lembrando que o poder de decisão será sempre da empresa, cabendo ao Encarregado apenas o trabalho de orientação, controle e gestão das operações de tratamento. Ademais, lembramos que podem ser criadas novas funções para este profissional, posto que o art. 41, §3º aponta que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado.
Seguindo seu papel orientativo, em maio de 2021 a ANPD publicou um Guia para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado visando, especial mas não somente, esclarecer muitas dúvidas que pairavam sobre o tema (inclusive sendo este um dos papéis da autoridade – sua atuação educacional e de orientação para promoção de conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança). Usando de sua competência para elaborar estudos e promover conhecimento à Sociedade (art. 55-J, incisos VI e VII, da LGPD ), a ANPD aclarou no mencionado Guia Orientativo quais seriam as balizas para a definição de cada um dos agentes de tratamento.
No documento, a Autoridade define que, quando se trata de pessoa jurídica liderando operações de tratamento de dados pessoais, a própria será considerada controladora. Contudo, essa posição é fluída visto que operações diferentes podem alterar os papéis dos agentes envolvidos:
“6. No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos. 7. Mas, além disso, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento.”
Especificamente para tema em estudo, o Código Civil de 2002 regulamenta o condomínio edilício a partir do art. 1.331, reconhecendo-o como edificação com partes que são propriedade exclusiva e partes que são propriedade comum dos condôminos. Mas o Código Civil (arts. 40 à 44) não atribuiu ao condomínio edilício personalidade jurídica, ou seja, o mesmo não é efetivamente uma pessoa jurídica (seja de direito privado ou público). Um condomínio ter ou não personalidade jurídica não será objeto deste artigo, mas importa destacar corrente majoritária que atribui aos condomínios natureza de entes despersonalizados, representados ativa e passivamente pelo síndico.
Ao síndico, compete representá-lo em juízo e fora dele, bem como administrá-lo prestando contas à Assembleia. Mas a personalidade judiciária do condomínio edilício tem sido reconhecida a partir da construção jurisprudencial sobre a matéria, tanto que nas Jornadas de Direito Civil da Justiça Comum Federal, o enunciado 90, conforme alterado pelo enunciado 246, estabelece que “deve ser reconhecida personalidade jurídica ao condomínio edilício” .
Assim, a construção jurisprudencial pode impulsionar movimento legislativo no sentido de equiparar o condomínio à pessoa jurídica, para os fins pretendidos neste artigo, aplicando-se o conceito de controlador delineado pela Autoridade Nacional de Proteção de Dados no item 6 de seu supracitado estudo sobre agentes de tratamento.
E nesta esteira, torna-se imperiosa a avaliação da responsabilidade dos condomínios edilícios – em especial os corporativos, mas sem exclusão dos residenciais, que certamente podem ser alcançados pela aplicação da LGPD se nos concentrarmos no cerne de sua preocupação, qual seja, o tratamento de dados (com as aplicações do art. 3º da norma e exclusões do art.4º). Aqui nos referimos à responsabilidade de aplicação e observância da norma (e quando falha, imputação de uma sanção). Nas palavras de João Drummond: “A responsabilidade resulta de fatos sociais, de relações da vida, que, por reflexos individuais ou coletivos redundantemente verificados acerca do fato exterior, personaliza o ponto de aplicação de uma consequência socialmente partilhada. A relação de responsabilidade surge com a personificação que atrai a identificação de um ponto de convergência das normas existentes em razão da ocorrência de um fato social, objetivo, exterior. O conceito de responsabilidade é, pois, aspecto da realidade social, representação psicológica das instituições à qual se agrega a função de personificar unidades funcionais, realidades, ou meras entidades abstratas destinatárias de uma sanção que, ao longo do tempo, acolheram, inclusive, relações em face de coisas, plantas e animais que eram imputáveis. Dessa forma, com rigor, ao se falar de responsabilidade não se esta a falar de modo restrito ao âmbito dever de indenizar, mas, apenas e tão somente, está-se a refletir à relação que, a um só tempo, individualiza o ponto de convergência de aplicação da norma e imputa a sanção a uma unidade funcional.” .
Posto isso, quais desafios aguardam o Encarregado em um condomínio corporativo?
Pois bem. Sabemos que em primeiro plano, o principal tratamento de dados que pode ser constatado é exatamente aquele realizado para fins de controle de acesso e segurança do empreendimento. Ora, fica evidenciada a base legal, e inclusive encontra lastro na própria convenção de condomínio, que regra os usos e aplicações de áreas comuns e áreas privativas (sem prejuízo da legislação específica).
Além da gestão do controle de acesso dos mais diversos usuários através da entrada / portaria / recepção ou de outras ferramentas tecnológicas integradas para controle de acesso de visitantes (totens, apps, websites) pontuamos ser prática muito comum em condomínios de natureza corporativa (lajes corporativas ou empreendimentos monousuários, dentre outras alternativas tais como o modelo built-to-suit) que as atividades de recepção, limpeza, vigilância, monitoramento e estacionamento sejam terceirizadas para empresas especializadas. Tal prática colabora para aumentar o número de agentes de tratamento no dia a dia do condomínio corporativo, assim como do número de pessoas que passam por tais controles de acesso (sejam principais, sejam de serviço ou docas). Isso porque os dados pessoais fornecidos pelos titulares para acessarem o prédio cotidianamente ou eventualmente são compartilhados entre pessoas jurídicas diversas todos os dias através dos representantes das empresas terceirizadas envolvidos na operação e gestão do edifício.
Noutro ponto, isso nos leva à reflexão de que não apenas os visitantes dos condôminos, ou funcionários e colaboradores destes, são titulares com dados pessoais em jogo, como também os funcionários de todas estas empresas terceirizadas que prestam serviços. E, por praticas ainda não revisitadas de mercado (por receios fiscais e trabalhistas especialmente), a forma de contratação de terceirizados - vigilantes, recepcionistas e demais funcionários destes ramos de atuação ainda carrega instrumentos de formalização deveras complexos, com muitas trocas e exigências pelo contratante, objetos de grande apego dos gestores destes contratos – especialmente nos controles de documentos, dados, informações pessoais, fichas, dentre outros.
A terceirização, até hoje imersa em amplo campo de debate doutrinário e jurisprudencial, faz com que os condomínios se armem da mais ampla, distinta e detalhada documentação dos funcionários das empresas terceirizadas contratadas temendo uma eventual judicialização do processo rescisório de um vigilante, uma faxineira ou uma recepcionista. Conferência de documentos, guias de impostos, fichas de saúde, controle de ponto, dados de linha telefônica, e até mesmo fichas de registro de funcionários (e dados físicas e previdenciários) muitas vezes são solicitados – e o que torna ainda mais preocupante a guarda e lida de tais dados.
Sob a ótica da definição de agentes de tratamento dada pela ANPD já somos capazes de identificar as seguintes situações, neste contexto específico: 1) o condomínio como pessoa jurídica/controladora dos dados pessoais imputados nos sistemas de controle de acesso e compartilhadas com os funcionários das empresas terceirizadas (pessoa jurídica distinta e, neste caso, operadora) e 2) as empresas terceirizadas como controladoras dos dados pessoais de seus funcionários os quais compartilha com o condomínio para possibilitar a prestação dos serviços.
A dinâmica de quem ocupará qual papel em cada situação deve ser muito bem delimitada nestes contratos para que a responsabilidade em caso de dano seja corretamente atribuída a quem de direito. No mesmo sentido orienta a ANPD:
“A identificação do controlador deve partir do conceito legal e dos parâmetros auxiliares indicados neste Guia, sempre considerando o contexto fático e as circunstâncias relevantes do caso. O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. (...) é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento.”
Assim, em seu dia a dia, o Encarregado deverá cuidar tanto de dados pessoais de locatários / visitantes / colaboradores dos locatários/proprietários quanto solicitações de funcionários de empresas terceirizadas. É imprescindível que as informações de contato deste profissional estejam visíveis / facilmente acessíveis ao público, posto que sua natureza elementar é a de ser o ponto de contato da entidade. Frisamos a redação do § 1º do art. 41 da LGPD:
“A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.”
Neste ponto, nos parece evidente que a informação deve constar e estar acessível em todo o lugar que seja de grande acesso, tanto para e pelos condôminos e/ou visitantes, quanto para toda esta ampla gama de colaboradores de prestadores de serviço em geral, que tal qual sejam submetidos a tratamento de dados para fins de controle de acesso e segurança do empreendimento / condomínio / edifício. Auditório, display de elevador, recepção, na própria política de privacidade, eventual website do condomínio, eventual página de acesso ao WI-FI gratuito – quando disponibilizado.
Ressaltamos, que deve haver esforço, após a conclusão de projeto de adequação à norma de proteção de dados, no sentido de evidenciar para todo o titular de dados que o condomínio se adequou e que possui seu Encarregado, tanto para cumprir sua função conforme atribuído pela LGPD, quanto para comprovar e demonstrar perante à ANPD ou em juízo que a norma de proteção de dados está sendo observada.
Lembramos que as sanções administrativas estabelecidas pela LGPD, passíveis de serem aplicadas pela Autoridade Nacional já estão vigentes desde 1° de agosto de 2021
Por enquanto, os agentes do setor – especialmente síndicos profissionais e administradoras de bens imóveis e lajes corporativas devem seguir orientações específicas, buscando demonstrar adequação ou encaminhamento bem delineado de estarem realizando projetos de adequação à legislação de proteção de dados no Brasil. Tais medidas certamente serão de alto proveito em caso de discussões com a ANPD ou mesmo de problemas (de qualquer natureza) enfrentados com titulares de dados.
Vale destaque está em consulta pública, pela ANPD, uma norma de aplicação da LGPD, que simplifica diversos pontos da LGPD, para microempresas e empresas de pequeno porte, startups e entes despersonalizados, que poderão enquadrar os condomínios corporativos. Mas a agenda regulatória do órgão ainda está em fase incipiente e muitas novidades virão no corrente ano sobre o tema cabendo a todos envidar os melhores e possíveis esforços no cumprimento da lei tal no estado em que se encontra. Tivemos conhecimento de movimentos no segmento imobiliário que estão buscando inclusão do setor (imobiliárias, condomínios e etc) no rol de tais dispensas – mas que em muitas oportunidades não sobreviverão ao “reenquadramento” colocado pelas exceções do art. 3º da minuta de norma em discussão. Certamente é um tema para nova reflexão.
Por fim, reforçamos que a LGPD certamente não representa ou representará uma norma “qualquer”, ou que no dizer popular, “que não irá pegar”. Inclusive trazemos lição de Hugo Machado, que pontuou que “o Direito, como instrumento da convivência humana, é extremamente problemático e é muito comum ouvirmos, em toda a parte, reclamos, lamentações, contra normas que não vingam, contra direito que não vale e que não é respeitado. É uma questão, portanto, da maior profundidade, saber por que é assim. Por que algumas normas não são respeitadas? Por que algumas leis não "pegam"? Tenho dito sempre que me resta o convencimento, a cada dia mais seguro e profundo, de que a eficácia das leis é diretamente proporcional à convicção que pessoas tenham de que é vantagem cumprir a lei.” .
A LGPD pegou e cada qual (controladores, operadores e encarregados) deve estar atendo aos seus limites e competências, avaliando sempre o compliance e a governança relacionada à proteção de dados pessoais.