Condomínios e associações - Privacidade de dados e nomeação de encarregado/DPO

"Já advertia John Adams, em escrito datado de 1765, afirmando que para preservar a liberdade é preciso que o povo tenha amplo conhecimento do caráter e dos atos dos governantes, o que se constitui em um "direito inquestionável, inalienável e irrevogável, divino"." Maria Lúcia Karam¹.

Um tema que temos observado determinada recorrência, na seara cível imobiliária, envolve a proteção de dados em condomínios e associações, especialmente em virtude da plena vigência da lei Geral de Proteção de Dados Pessoais ("LGPD") ².

Não obstante as diversas possibilidades e aplicações da LGPD ao cotidiano empresarial, é sabido que existem inúmeros pontos de contato da norma aos condomínios e associações, especialmente aqueles de cunho empresarial ou comercial. Mas também observamos fluxo e tratamento de dados que podem atrair a incidência das regras e obrigações da LGPD para condomínios e associações de natureza residencial, por não possuir apenas finalidade particular, pois envolve uma relação mais abrangente, visto que tratam inúmeros dados pessoais de condôminos, moradores, visitantes, bem como, de prestadores de serviço e colaboradores.

Lembramos que o intuito da LGPD é o regramento, regras e obrigação de segurança e imposição de limites aos processos de tratamento de dados pessoais, que podem envolver, dentre outros, a coleta, recepção, classificação, utilização, acesso, reprodução, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência.

Especificamente, para a presente reflexão, interessa-nos o questionamento do tema se a figura do Encarregado (DPO), prevista no inciso VIII do art. 5º, da LGPD, seria ou não obrigatória para condomínios empresariais.

Assim, apresentamos os seguintes esclarecimentos e breves comentários, visando melhor compreender a questão, especialmente em função do atual estado da regulamentação permitir distintas interpretações.

Em primeiro plano, antecipamos nossa opinião de que, como regra geral, entendemos que a indicação do Encarregado pelo tratamento de dados pessoais pelo controlador segue sendo mandatória e obrigatória (art. 41 da LGPD).

E existem alguns argumentos práticos para este posicionamento (e ao fim um importante alerta àqueles que optarem pelo reconhecimento de possível dispensa).

De forma simplista, podemos dizer que existem alguns pontos a serem observados desde o princípio, e o tema gira em torno da Resolução ANPD 2³, de 27 de janeiro de 2022 do Conselho Diretor da Autoridade Nacional de Proteção de Dados ("ANPD") que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. O Regulamento estabelecido pela Resolução ANPD 2/22 ("Resolução 2/22") visa regulamentar a aplicação da LGPD para agentes de tratamento de pequeno porte, especificamente com base nas competências previstas no art. 55-J, inciso XVIII⁴, da referida lei⁵.

A LGPD determina que o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (art. 5º, VIII, LGPD⁶).

Enquanto o art. 41 da LGPD determina a obrigatoriedade de indicação de um Encarregado pelo tratamento de dados pessoais, facultando à ANPD, no § 3º, a possibilidade de editar regras, inclusive de dispensa:

"Do Encarregado pelo Tratamento de Dados Pessoais

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados."

E neste sentido, veio a Resolução 2/22 da ANPD. A norma aprova o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. Regulamenta determinadas dispensas de regras mais rígidas, mas mantém as linhas mestras da LGPD.

O art. 2º da Resolução⁷ qualifica quem são "agentes de tratamento de pequeno porte", incluindo "entes privados despersonalizados que realizam tratamento de dados pessoais", o que atrairia a possibilidade de enquadramento de Condomínios e Associações de Moradores em geral para fins das dispensas autorizadas, de procedimentos e inclusive da obrigatoriedade de nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO).

Mas o mesmo artigo define, ainda, o que seriam "zonas acessíveis ao público", como espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

A Resolução 2/22 da ANPD também preceitua no art. 3º:

"Art. 3º Não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que:

I - realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;

II - aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da lei Complementar 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da lei Complementar 182, de 2021; ou

III - pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso."

Ou seja, se entendermos que o Condomínio realiza tratamento de alto risco - estaria atraindo a incidência do inciso I e, portanto, não poderia se beneficiar do tratamento jurídico diferenciado previsto no Regulamento.

Por outro lado, se avaliarmos e for constatada que a receita do Condomínio ou Associação de Moradores supera o teto / limite para empresas do simples (receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais)), seria o caso da incidência do inciso II, elidindo a possiblidade do benefício trazido pela Resolução 2/22.

E entendemos que uma destas alternativas podem efetivamente ocorrer.

Mas, de qualquer forma, a questão não é SE o Encarregado / DPO seria dispensado, e sim QUAL o problema de não ter um. Isso em função do disposto no art. 6º da Resolução 2/22 (dentre outros dispositivos):

"Art. 6º A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares." (grifos nossos)

Noutras palavras, a Resolução 2/22 não afasta a aplicação ou obrigação de cumprimento da LGPD. Ela tão somente dispensa ou simplifica determinadas regras para certas hipóteses.

A norma registra, desta forma, o "alerta" da Autoridade Nacional de que a dispensa de determinados pontos não exime o cumprimento da LGPD por parte de Condomínio ou Associação de Moradores, por exemplo, no atendimento e solicitações de dados de titulares que deverá ser realizado pelo representante legal (síndico) ou alguém que assuma esta responsabilidade.

Via de regra, responde o condomínio pelo prejuízo causado a terceiros por ação ou omissão do síndico. Responde, também, o síndico perante o condomínio por atos que extrapolam as suas atribuições ou que representem falha, omissão ou negligência de sua parte na condução de suas atribuições. Isso porque o síndico, enquanto representante legal é o responsável pelo cumprimento de regras aplicáveis, atuando interna e externamente para e em nome do empreendimento, o que inclui adotar as medidas necessárias para a adequação do condomínio à LGPD e às exigências de privacidade e proteção de dados pessoais.

Especificamente no tocante ao Encarregado pelo Tratamento de Dados Pessoais, caso o síndico e a administração entendam que a Resolução 2/22 é integralmente aplicável, estaria permitida ao Condomínio ou Associação de Moradores a dispensa de indicação do Encarregado, nos termos do seu art. 11⁸ (dispensa apenas de indicação e não de cumprimento das obrigações da função).

Todavia, todo agente de tratamento de pequeno porte que não indicar um encarregado deve obrigatoriamente disponibilizar um canal de comunicação com o titular de dados para atender ao disposto na LGPD.

Vale a ressalva, que a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins de aplicação e gradação da pena imposta pela ANPD em procedimento administrativo, nos termos do disposto no art. 52, §1º, IX da LGPD⁹.

Fica, ainda, um alerta de que a Resolução 2/22 estabelece em seu art. 5º¹⁰ é obrigação do agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º (definições) e do art. 3º (exclusão do benefício do tratamento jurídico diferenciado) da norma em até 15 (quinze) dias. Ou seja, a autoridade poderá intimar o Condomínio ou Associação de Moradores para que preste esclarecimentos relacionados ao enquadramento do mesmo as dispensas previstas ou questionar razões de porque não se considerou enquadrado.

Reforçamos a necessidade de discussão, avaliação e estabelecimento de regras para uso de dados pessoais de pessoas físicas, especialmente por quem administra ou mora em um Condomínio ou Associação de Moradores. A questão fica ainda mais importante se considerarmos que as sanções podem envolver desde advertências, suspensões das atividades de tratamento e ordens para eliminação de dados, até a aplicação de multas no valor mínimo de 2% (dois por cento) da receita, limitada ao total de R$ 50 milhões.

Por fim, advertimos aqueles que serão os responsáveis pela atuação como cana de comunicação entre titulares de dados, controladores, a APND e mercado em geral, que é de extrema importância o cadastramento no Sistema de Peticionamento Eletrônico do Sistema SEI, dado que o sistema somente pode ser utilizado pelos usuários externos, devidamente cadastrados. Ou seja, não deixe para o último dia do prazo para realizar o cadastro, pois o prazo para liberar o cadastro do usuário externo é de até 3 (três) dias úteis após o recebimento da documentação e caso sejam verificadas pendências, o cadastro não será liberado e o solicitante será informado por e-mail para as devidas providências.

Seja qual for a decisão dos condôminos, síndico ou administração, é essencial que seja desenvolvida uma eficaz e específica "Política de Privacidade e de Tratamento de Dados Pessoais", observando as regras e normativas da LGPD, publicando e dando o máximo de publicidade a todas as partes que se relacionem ou venham a se relacionar com o empreendimento, tornando acessível a todos - moradores, colaboradores, prestadores de serviços e até visitantes.

-------------------

1 KARAM, Maria Lúcia. Escritos sobre a Liberdade - Volume 4 - Liberdade, Intimidade, Informação e Expressão. Rio de Janeiro : Editora Lumen Juris, 2009, pág. 3

2 Lei nº 13709, de 14 de agosto de 2019. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 30.jul.2022

3 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 30.jul.2022

4 Lei nº 13709, de 14 de agosto de 2019 - LGPD. "Art. 55-J. Compete à ANPD: (...) XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. (...)". Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 30.jul.2022

5 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Art. 1º Este regulamento tem por objetivo regulamentar a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, com base nas competências previstas no art. 55-J, inciso XVIII, da referida Lei.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 30.jul.2022

6 Lei nº 13709, de 14 de agosto de 2019 - LGPD. "Art. 5º Para os fins desta Lei, considera-se: (...)  VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);". Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 30.jul.2022

7 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições:  I - agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte,startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;  II - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;  III -startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e IV - zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 30.jul.2022

8 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Do Encarregado pelo Tratamento de Dados Pessoais  -  Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.  § 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.  § 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 30.jul.2022

9 Lei nº 13709, de 14 de agosto de 2019 - LGPD. "Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:  (...)  § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (...)  IX - a adoção de política de boas práticas e governança;". Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 30.jul.2022

10 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Art. 5º Caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º e do art. 3º deste regulamento em até quinze dias.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 30.jul.2022