Proteção de Dados em Condomínios e Administradoras

Condomínios e administradoras lidam diariamente com dados pessoais sensíveis de milhares de moradores, e o descumprimento da LGPD nesse contexto pode gerar multas e responsabilização civil.

O volume de dados pessoais no ambiente condominial

Quando analisamos a rotina de um condomínio residencial ou comercial, percebemos que o fluxo de dados pessoais é muito maior do que a maioria dos síndicos e administradoras imagina. Cadastros de moradores e locatários contêm nome completo, CPF, RG, endereço, telefone, e-mail, dados de veículos e, em muitos casos, informações biométricas como impressões digitais e reconhecimento facial. Portarias que utilizam sistemas de controle de acesso registram horários de entrada e saída, imagens de câmeras de segurança e dados de visitantes que passam pelo local.

As administradoras de condomínios, por sua vez, centralizam informações financeiras dos condôminos (boletos, inadimplência, dados bancários para débito automático), além de documentos pessoais para fins de assembleias e votações. Esse conjunto de informações configura, sem qualquer dúvida, tratamento de dados pessoais nos termos da Lei Geral de Proteção de Dados (Lei 13.709/2018). Verificamos que muitos desses agentes sequer possuem consciência de que estão sujeitos às obrigações da LGPD, o que representa um risco jurídico considerável.

A coleta de dados biométricos merece atenção redobrada. A LGPD classifica dados biométricos como dados pessoais sensíveis, o que significa que o tratamento desses dados exige base legal específica e medidas de segurança reforçadas. Condomínios que implementaram portarias com reconhecimento facial ou leitura de digitais precisam avaliar se possuem consentimento adequado dos titulares ou se podem fundamentar o tratamento em outra base legal prevista no artigo 11 da lei.

Obrigações legais de condomínios e administradoras perante a LGPD

Identificamos que a primeira dúvida que surge é sobre o enquadramento dos condomínios na LGPD. Embora condomínios edilícios não possuam personalidade jurídica plena, isso não os exime da aplicação da lei. A LGPD se aplica a qualquer pessoa natural ou jurídica (de direito público ou privado) que realize operações de tratamento de dados pessoais. Como o condomínio trata dados pessoais de moradores, funcionários, prestadores de serviço e visitantes, ele se submete integralmente às disposições da legislação.

As administradoras de condomínios, sendo empresas constituídas formalmente, enquadram-se sem margem de dúvida como agentes de tratamento. Na relação entre condomínio e administradora, precisamos definir com clareza quem atua como controlador e quem atua como operador dos dados. Em regra, o condomínio é o controlador (pois determina as finalidades e os meios de tratamento dos dados dos condôminos), enquanto a administradora atua como operadora (realizando o tratamento de dados em nome e sob as instruções do condomínio). Essa distinção é fundamental porque define responsabilidades distintas em caso de incidente de segurança ou violação da lei.

Entre as obrigações que identificamos como prioritárias para adequação, destacamos: a elaboração de um inventário de dados pessoais tratados (mapeamento completo de quais dados são coletados, para quais finalidades, por quanto tempo são armazenados e com quem são compartilhados); a definição de bases legais para cada atividade de tratamento; a implementação de medidas técnicas e administrativas de segurança da informação; a nomeação de um encarregado de proteção de dados (DPO); e a criação de procedimentos para atender aos direitos dos titulares, como acesso, correção e eliminação de dados.

O contrato entre condomínio e administradora deve conter cláusulas específicas sobre proteção de dados, detalhando as responsabilidades de cada parte, as medidas de segurança exigidas, o tratamento em caso de subcontratação e os procedimentos em caso de incidentes. Verificamos que a grande maioria dos contratos de administração condominial em vigor no Brasil ainda não contém essas cláusulas, o que representa uma vulnerabilidade significativa.

A adequação à LGPD em condomínios não é uma questão de porte ou complexidade, mas sim de responsabilidade com os dados pessoais de todos que circulam naquele ambiente.

Câmeras de segurança, biometria e o princípio da necessidade

O uso de câmeras de vigilância (CFTV) em áreas comuns dos condomínios é uma prática consolidada e, em geral, legítima. No entanto, a LGPD impõe limites claros. As imagens captadas por câmeras de segurança constituem dados pessoais quando permitem a identificação de pessoas, e seu tratamento deve observar os princípios da finalidade, adequação e necessidade. Isso significa que as câmeras devem ser posicionadas apenas em locais onde a vigilância é justificável (áreas comuns, portarias, garagens), nunca em espaços que violem a intimidade dos moradores.

Analisamos que o tempo de armazenamento das imagens é um ponto sensível. Não existe na legislação brasileira um prazo único e obrigatório para retenção de imagens de CFTV, mas o princípio da necessidade determina que as gravações sejam mantidas apenas pelo tempo necessário para cumprir sua finalidade. Períodos entre 30 e 90 dias são comumente adotados, mas cada condomínio deve avaliar sua realidade e documentar a justificativa para o prazo escolhido.

Quanto à biometria, recomendamos que os condomínios avaliem cuidadosamente se o uso dessa tecnologia é realmente necessário ou se existem alternativas menos invasivas que atendam à mesma finalidade de controle de acesso. Cartões de proximidade, tags veiculares e senhas numéricas são exemplos de alternativas que não envolvem dados sensíveis. Quando a opção pela biometria for mantida, é imprescindível obter consentimento livre, informado e inequívoco dos titulares, além de garantir que o sistema possua criptografia adequada e que os dados biométricos não sejam compartilhados com terceiros sem base legal.

Outro aspecto relevante é o compartilhamento de imagens de câmeras com moradores ou terceiros. Solicitações de acesso a gravações devem ser analisadas caso a caso, considerando que as imagens podem conter dados pessoais de outros indivíduos. O fornecimento indiscriminado de gravações em grupos de mensagens ou redes sociais pode configurar violação à LGPD e gerar responsabilização do condomínio.

Due diligence de dados: como avaliar e mitigar riscos

O processo de due diligence de dados no contexto condominial consiste em uma avaliação sistemática das práticas de tratamento de dados pessoais, identificando vulnerabilidades, mensurando riscos e propondo medidas corretivas. Recomendamos que esse processo seja conduzido periodicamente (ao menos uma vez por ano) e sempre que houver mudança significativa nos sistemas ou processos do condomínio.

Na prática, a due diligence envolve diversas etapas que consideramos essenciais. A primeira é o mapeamento completo do ciclo de vida dos dados: desde a coleta (cadastro de moradores, registro de visitantes, captação de imagens) até a eliminação. É fundamental identificar todos os pontos de coleta, os sistemas onde os dados são armazenados, as pessoas que têm acesso e os eventuais compartilhamentos com terceiros (empresas de portaria remota, escritórios de cobrança, contadores).

A segunda etapa é a análise de riscos propriamente dita. Para cada atividade de tratamento mapeada, avaliamos a probabilidade de ocorrência de incidentes (vazamento, acesso não autorizado, perda de dados) e o potencial impacto para os titulares. Dados sensíveis como biometria e informações financeiras recebem classificação de risco mais elevada. A partir dessa análise, priorizamos as ações de mitigação conforme a criticidade identificada.

Entre as medidas de mitigação mais relevantes, destacamos: a implementação de controles de acesso lógico (senhas individuais, autenticação em dois fatores, perfis de acesso diferenciados nos sistemas); a criptografia de dados sensíveis em repouso e em trânsito; a realização de backups regulares com testes de restauração; o treinamento periódico de funcionários e prestadores de serviço sobre práticas de proteção de dados; e a formalização de políticas internas de segurança da informação acessíveis a todos os envolvidos.

Para administradoras que gerenciam múltiplos condomínios, a due diligence assume dimensão ainda maior. Cada condomínio administrado representa um controlador distinto, e a administradora precisa demonstrar conformidade em relação a todos eles. Verificamos que a adoção de um programa de governança em privacidade estruturado, com políticas padronizadas e adaptáveis à realidade de cada condomínio, é a abordagem mais eficiente para administradoras de médio e grande porte.

Consequências do descumprimento e boas práticas de conformidade

As sanções previstas na LGPD são aplicáveis desde agosto de 2021, e a Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado sua atuação fiscalizatória. As penalidades variam desde advertências até multas de até 2% do faturamento da pessoa jurídica (limitadas a R$ 50 milhões por infração), além de publicização da infração e bloqueio ou eliminação dos dados pessoais. No caso dos condomínios, embora a aplicação de multa pecuniária levante discussões sobre a base de cálculo (considerando a ausência de faturamento no sentido empresarial), as demais sanções são plenamente aplicáveis.

Além das sanções administrativas, constatamos que a via judicial tem sido cada vez mais utilizada por titulares de dados que se sentem lesados. Ações individuais e coletivas fundamentadas na LGPD podem resultar em condenações por danos morais e materiais, tanto para o condomínio quanto para a administradora. A responsabilidade pode recair inclusive sobre o síndico pessoalmente, caso se demonstre que houve negligência na adoção de medidas de proteção de dados.

Para construir uma cultura de conformidade, recomendamos que condomínios e administradoras adotem um conjunto de boas práticas que incluem: a elaboração e divulgação de um aviso de privacidade claro, informando aos moradores e visitantes quais dados são coletados e para quais finalidades; a revisão periódica dos sistemas de controle de acesso e vigilância; a inclusão de cláusulas de proteção de dados em todos os contratos com prestadores de serviço; a realização de treinamentos regulares com funcionários da portaria, limpeza e manutenção; a criação de um canal para que os titulares possam exercer seus direitos (acesso, correção, eliminação); e a documentação de todas as decisões e medidas adotadas em relação à proteção de dados, criando um registro que demonstre a boa-fé do condomínio em caso de fiscalização.

A proteção de dados em condomínios e administradoras não é apenas uma obrigação legal, mas uma demonstração de respeito à privacidade de todos que habitam ou frequentam aquele espaço. Quanto antes se iniciar o processo de adequação, menores serão os riscos e mais sólida será a posição do condomínio perante eventuais questionamentos.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.