Passo a passo para implantação de um sistema de proteção de dados em condomínios, em conformidade com a LGPD
O ordenamento jurídico pátrio foi brindado com o advento de uma nova lei, mais conhecida por “Lei Geral de Proteção de Dados”, também identificada por sua abreviatura “LGPD”. O escopo precípuo dessa norma foi o de assegurar proteção aos dados e informações recebidos e processados em empresas, com isso garantindo transparência no emprego de dados de pessoas físicas. Esta nova lei, inclusive, modifica o “Marco Civil da Internet” (Lei n° 12.965/2014) passando a ampliar as responsabilidades de gestores empresariais, alcançando, inclusive, os administradores condominiais.
A nova Lei Geral de Proteção de dados encontra a sua fonte normativa na norma europeia (GDPR), a qual enfatiza a necessidade de serem tutelados os direitos fundamentais da personalidade, avultando-se nesse sentido o direito de privacidade, onde se encontram firmadas regras objetivas incidentes sobre as práticas de coleta, armazenamento e compartilhamento de dados pessoais.
A norma brasileira segue a esteira e o modelo já praticado no âmbito da União Europeia (EU), objetivando garantir efetiva privacidade às pessoas naturais, e reforçando a coercitividade da lei, a partir da previsão de penalidades extremamente pesadas, aplicáveis, não somente a empresas, como também, aos condomínios.
Assim é que, doravante, vigentes as disposições da LGPD, os condomínios passarão a ter efetiva responsabilidade com referência à tutela dos dados pessoais dos condôminos, moradores de toda ordem, fornecedores, funcionários, terceirizados e visitantes, razão pela qual, buscando auxiliar os síndicos em seu importante mister, no sentido de implantar um sistema de proteção de dados, em estrita conformidade com as diretrizes emanadas pela novel legislação, passamos a apresentar os “10 passos para implantação da LGPD em condomínios”, como segue:
- O primeiro passo compreende o estudo da LGPD e de todas as normas correlatas à gestão condominial que possam se relacionar com a proteção de dados pessoais, como a convenção, o regimento interno e as deliberações assembleares; deste estudo devem participar todos os gestores condominiais, alcançando, inclusive, a administradora e a assessoria jurídica, uma vez que estes colaboradores também terão acesso frequente a dados relevantes sobre pessoas físicas, coletados e processados no âmbito da gestão condominial.
- Logo em seguida, deve-se passar ao mapeamento da entrada e o tratamento dos dados pessoais; nesse sentido, devem ser criados protocolos rígidos de coleta e armazenamento de dados pessoais de visitantes e de fornecedores pela portaria e/ou recepção do condomínio, assim como a adoção de rotinas vinculadas à emissão de boletos, advertências, multas, ou relacionadas ao controle da inadimplência, cujo cuidado passa a ser redobrado, demandando-se evitar indevida exposição ou irregular compartilhamento;
- O terceiro passo consiste em mapear os riscos próprios ao condomínio; como exemplo, podemos citar a necessidade da criação de protocolos para gestão e custódia do banco de imagens captadas por câmeras, vez que as mesmas constituem desdobramentos dos direitos de personalidade, e a sua utilização indevida poderá acarretar não somente na imposição das sanções previstas na LGPD, como ainda na responsabilização civil ou criminal do síndico, a depender da conduta perpetrada pelos operadores condominiais;
- O quarto passo consiste na elaboração do relatório de impacto, o qual consiste num instrumento de responsabilidade do síndico (controlador), por meio do qual toda operação que possa envolver o tratamento de dados pessoais apta a gerar riscos aos direitos fundamentais de pessoas físicas, deverá ser materializado, mediante o descritivo dos processos destinados à redução de danos e, consequentemente, da responsabilidade dos gestores condominiais. O relatório de impacto deve estar incorporado às rotinas da governança e tornado conhecido do síndico e especialmente daqueles que o acompanham no processo de gestão, como é o caso dos integrantes dos conselhos consultivo e fiscal.
- O quinto passo consiste na criação de uma política de proteção de dados, a qual deverá receber contornos próprios e específicos, a depender da natureza e peculiaridade do condomínio, se se trata, por exemplo, de uma estrutura residencial, empresarial ou mista, razão pela qual se fará imprescindível estabelecer rígidos protocolos e rotinas particulares destinadas à incorporação e adoção de procedimentos, de registro e de controle de dados, de informações ou de documentos tramitados, tanto no ambiente interno, como no espaço externo aos condomínios.
- O sexto passo consiste no treinamento dos colaboradores; nesse sentido, todos aqueles que possuem acesso a dados, coleta, registro, armazenamento e compartilhamento, deverão ser submetidos a treinamento específico, do qual não poderão faltar nem mesmo os porteiros, zeladores ou terceirizados de apoio, desde que estes processem ou tratem dados pessoais tramitados no âmbito das relações condominiais; ao final deste processo de instrução, os colaboradores deverão assinar termos de responsabilidade relacionados à proteção de dados, tornando-se garantidores, em suas esferas de atuação, dos riscos que possam advir da difusão ou da disseminação indevida de dados pessoais.
- O sétimo passo implica em ajustar o sistema de proteção de dados à estrutura de governança condominial, em especial, com o programa de integridade vigente, o compliance condominial; isso porque, tratando-se de uma lei aplicável aos condomínios, e entendendo-se o compliance como um sistema de conformidade legal e de estabelecimento de parâmetros éticos de gestão, torna-se imprescindível alinhar e nivelar as práticas associadas dos referidos programas, de forma que se encontrem convergentes e perfeitamente ajustados às finalidades legais delineadas pela LGPD.
- O oitavo passo compreende a exigência da apresentação de claras evidências por parte dos fornecedores, de que estes adotam medidas e protocolos associados à LGPD, de forma a garantir a simetria de práticas de proteção de dados, com isso assegurando a efetiva e real tutela das informações, tal como exigido pela legislação de regência.
- O nono passo consiste, na linha da antecipação de incidentes e na esteira da redução de riscos, em passar a conceber novos produtos associados ao princípio de “privacy by design”, onde softwares e sistemas de TI devem garantir que mantém a proteção e a privacidade dos dados a cada passo, assegurando a segurança das informações de ponta a ponta, garantindo que os modais de privacidade estejam incorporados ao sistema durante todo o ciclo de vida do produto.
- O passo décimo compreende a designação do “encarregado” (também conhecido por DPO ou “data protection officer”) um profissional capacitado em aspectos regulatórios e jurídicos para auxiliar o controlador (o síndico) no processo de tutela e de proteção dos dados pessoais, no que deverá atentar para a aplicação dos parâmetros e diretrizes legais delineados pela LGPD.
Após a implantação do sistema de proteção de dados conforme a LGPD, deve o controlador (o síndico) e o DPO (o encarregado) reverem permanentemente os procedimentos de proteção de dados, adotando constantes reavaliações e reexames, tendo por objetivo o aperfeiçoamento permanente das rotinas e a sua inerente otimização procedimental aos ditames estabelecidos pela LGPD.