Opinião & Análise

Dados pessoais

Sociedade da vigilância: condomínios edilícios e a LGPD

Lei de dados não diz respeito apenas aos grandes conglomerados do mercado digital, mas à sociedade como um todo

Imagem: Pixabay

É bastante comum que o ingresso de pessoas em edifícios comerciais ou residenciais seja condicionado à sua respectiva identificação, com o fornecimento de dados pessoais, tais como nome, CPF, RG, fotografia e, em alguns casos, até biometria. Tais medidas tornaram-se usuais entre nós, dada a compreensível preocupação com a segurança.

Entretanto, tais edifícios, em contrapartida, não explicitam as finalidades dessa coleta, as medidas de segurança tomadas para proteção dos dados pessoais sob sua tutela ou o prazo de armazenamento destas informações. Ao mesmo tempo, os titulares de dados não possuíam instrumentos jurídicos específicos para questionar esse tratamento e sequer tinham alguma preocupação com a proteção de seus dados pessoais.

Contudo, com a entrada em vigor da Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), prevista para 15 de agosto de 2020, aqueles que realizam o tratamento de dados pessoais de indivíduos cujos dados sejam coletados no Brasil deverão se adaptar à sua rigorosa disciplina jurídica. Neste sentido, o tratamento de dados pessoais só poderá ser realizado nas hipóteses taxativas do art. 7º da LGPD – dentre elas o consentimento, o legítimo interesse e o cumprimento de obrigação legal.

Além disso, deverão ser respeitados os direitos do titular, tais como, mas sem a estes se limitar, o livre acesso aos dados, a correção de dados inexatos, a anonimização e a portabilidade. Ademais, o tratamento deve se harmonizar com os princípios orientadores da LGPD, que pregam, por exemplo, a realização de tratamento atrelado a fins específicos e previamente informados ao titular (finalidade); a limitação do tratamento ao mínimo necessário para a realização de suas finalidades (necessidade); garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento (transparência).

É justamente com o fito de assegurar a observância dessas diretrizes que os Controladores e Operadores ficam, nos termos da referida lei, obrigados a reparar eventuais danos causados ao titular, sem prejuízo da aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD).

Com efeito, a LGPD não deixa de apresentar dificuldades interpretativas, especialmente quando considerada a sua aplicação aos Condomínios Edilícios. Em primeiro lugar, dada a literalidade da definição contida na lei, os Condomínios Edilícios não se enquadrariam no conceito de Controlador e Operador, respectivamente, dada a ausência de personalidade jurídica deste ente1.

Ademais, como, a rigor, os Condomínios Edilícios não possuem faturamento, é dúbia a possibilidade de aplicação da multa simples e/ou diária previstas na LGPD. Some-se a tais questões a complexa cadeia de responsabilidade que permeia os Condomínios Edilícios e a ambígua redação da LGPD sobre o caráter da responsabilidade civil por violação às suas disposições, se objetiva ou subjetiva.

Uma análise mais profunda do regime jurídico que permeia a proteção de dados pessoais sugere que a equiparação dos Condomínios Edilícios ao conceito de Controlador e Operador, por meio de uma interpretação extensiva da LGPD, é necessária. As informações pessoais são expressão direta da própria personalidade, devendo a sua proteção, portanto, ser tratada como direito fundamental2.

Conforme aduz Stefano Rodotà: “Proteção de dados é uma expressão de liberdade e dignidade pessoais e, como tal, não se deve tolerar que um dado seja usado de modo a transformar um indivíduo em objeto de vigilância constante”3. Nessa linha, ater-se à literalidade da definição legal de Controlador e Operador para excluir os Condomínios Edilícios, seria fechar os olhos à realidade, levando à incongruente conclusão de que os Condomínios Edilícios poderiam realizar o tratamento de dados pessoais ao arrepio da LGPD.

O fato de a legislação pátria sobre proteção de dados ter sido inspirada amplamente no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), incorporando o legislador muitas das diretrizes e normas do regulamento europeu, favorece a interpretação no sentido de que a LGPD se aplica também aos Condomínios4.

Isso porque, o GDPR prevê expressamente, em seu art. 4º, que será considerado responsável pelo tratamento qualquer pessoa (singular ou coletiva), autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”. Nesse conceito, enquadram-se, sem sombra de dúvidas, os Condomínios Edílicios.

Sendo assim, na prática, os condomínios edilícios devem se adequar às exigências previstas na LGPD.

Para tanto, é recomendável a implementação de programas de governança de dados, a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, bem como disponibilizar em local visível um Privacy Notice, dispondo, em linguagem clara e acessível, sobre as finalidades, segurança e duração do tratamento de dados.

Além disso, tendo em vista que a lógica da proteção de dados deve permear a cultura organizacional, é prudente realizar um treinamento dos recepcionistas dos edifícios para que estes estejam capacitados a oferecer esclarecimentos mínimos aos titulares de dados pessoais.

Contudo, se por um lado a interpretação extensiva para equiparar os Condomínios Edilícios ao conceito de Controlador e/ou Operador, pelos motivos até então expostos, é mais receptível, por outro lado, no campo das penalidades, o panorama é mais complexo. Isso porque, algumas das sanções previstas na LGPD encontram dificuldades práticas de aplicação em razão da natureza e particularidades dos Condomínios. É o caso da aplicação da multa simples e/ou diária, prevista nos incisos II e III do art. 52, eis que a base de cálculo das referidas multas é o faturamento e como dito, a rigor, o Condomínio Edilício não possui faturamento. Dessa maneira, para aplicação da multa simples seria necessário lançar mão de interpretação extensiva para determinar base de cálculo alternativa, como, por exemplo, o valor venal do imóvel, respondendo cada condômino, desta maneira, na proporção de sua cota-parte, salvo se a Convenção dispuser de outro modo.

Ocorre que, a atividade administrativa sancionadora é reflexo do poder punitivo estatal e, portanto, impõe-se a observância das garantias penais de estatura constitucional. Dessa forma, na interpretação das sanções administrativas aplicáveis pela ANPD, previstas nos arts. 52 a 54, da LGPD, princípios como a proibição de interpretação extensiva e de analogia in malam partem devem ser tomados em consideração. Como sustentam Sérgio Ferraz e Adilson de Abreu Dallari, “Na seara dos processos administrativos pertinentes à aplicação de sanções, não deve o agente decisório deixar de levar em consideração a rica trama principiológica do direito penal”5.

No entanto, a aplicação das demais sanções administrativas, em princípio, guardam compatibilidade com a natureza jurídica dos Condomínios Edilícios, podendo estes ficarem sujeitos às sanções de advertência, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração, a serem aplicadas pela ANPD, após procedimento administrativo que possibilite o exercício do contraditório e da ampla defesa, sem prejuízo das perdas e danos a serem apuradas na esfera cível.

Falando em responsabilidade civil, este é um dos temas mais espinhosos da LGPD. O relatório do Projeto de Lei nº 4.060, que deu origem à LGPD, assevera que

[a] atividade de tratamento de dados pessoais constitui atividade de risco, o que atrai a incidência da responsabilidade objetiva ao agente de tratamento, ou seja, aquela segundo a qual não há necessidade de perquirir a existência de culpa para obrigar o causador do dano a repará-lo.”

Todavia, a redação dos artigos correspondentes na LGPD (vide art. 43, II, e art. 44), parecem ir na direção oposta. Estes dispositivos são típicos da espécie subjetiva de responsabilidade, já que permitem ao responsável pelo tratamento de dados alegar que atuaram em conformidade com a LGPD, utilizando as técnicas de tratamento disponíveis à época e que o risco de danos decorrentes do tratamento eram razoavelmente esperados. Em outras palavras, o responsável pelo tratamento pode suscitar ausência de dolo ou culpa para eximir-se da responsabilidade.

A intenção deste breve artigo não é discutir todas as polêmicas envolvendo a responsabilidade civil na LGPD – a qual demanda tanto um amadurecimento doutrinário quanto jurisprudencial, indisponível neste momento. Entretanto, esta questão é ainda mais confusa no que tange aos Condomínios Edilícios. Isso porque é preciso identificar no caso concreto, a cadeia de responsabilidade pelo tratamento de dados, entre o condomínio, o síndico e eventual administrador (muitas vezes pessoa jurídica). Como regra, o condomínio responde pelo prejuízo causado a terceiros por ação ou omissão do síndico, respondendo o síndico perante o Condomínio por atos que extrapolam as suas atribuições. Outrossim, o administrador, enquanto delegado do síndico, segue a mesma lógica. Na prática, será preciso determinar as figuras de Controlador e/ou Operador envolvidas, de modo a delinear a medida da responsabilidade pelo tratamento de dados de cada um.

Fato é que LGPD, seguindo o modelo regulatório do GDPR, traz importantes avanços no que tange à proteção de dados pessoais. Contudo, será preciso um esforço para que a sociedade passe a incorporar os valores de proteção da privacidade e de respeito à personalidade que permeiam a matéria. Nesse sentido, é preciso sublinhar que a LGPD não diz respeito apenas aos grandes conglomerados do mercado digital, mas à sociedade como um todo, inclusive aos Condomínios Edilícios, presentes no cotidiano das cidades brasileiras. Assim, estes entes também devem buscar se adaptarem às regras previstas na LGPD, de modo a atuar com responsabilidade no tratamento de dados pessoais.

————————————–

1 Nos termos do art. 5º, VI e VII, da LGPD, Controlador e Operador são necessariamente “pessoa natural ou jurídica, de direito público ou privado”, sendo o primeiro aquele quem toma as decisões referentes ao tratamento de dados pessoais e o segundo aquele que realiza o tratamento de dados pessoas em nome do Controlador.

2 Sobre as polêmicas envolvendo a leitura do princípio da proteção de dados pessoais como direito fundamental cf. DONEDA, Danilo. O Direito Fundamental à Proteção de Dados Pessoais. In: MARTINS, Guilherme (Coord.). Direito privado e internet. São Paulo: Atlas, 2014, pp. 61-78.

3 RODOTÀ, Stefano. A vida na sociedade da vigilância – a privacidade hoje. Rio de Janeiro: Renovar, 2008, p. 19.

4 O relatório do Projeto de Lei nº 4.060, que deu origem à LGPD, de autoria do Deputado Milton Monti, dedica 6 (seis) de suas páginas à evidenciar a importância das normas europeias sobre proteção de dados pesssoais, reconhecendo que “grande fonte de inspiração para os projetos advém do arcabouço europeu”. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=C9C6F58EF8C0A9A98A4DC6D356DF7FC4.proposicoesWebExterno2?codteor=1663305&filename=Tramitacao-PL+4060/2012. Acesso em: 03/04/2019.

5 FERRAZ, Sérgio; DALLARI, Adilson de Abreu. Processo administrativo. 2. ed. São Paulo: Malheiros, 2007, n. 3.1.7, p. 195.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito