Cintia Laport
Tudo começou em novembro de 2010, quando teve início no Brasil o debate sobre a importância da proteção de dados pessoais, com o propósito de que fosse elaborada uma lei específica sobre o tema. De lá para cá foram inúmeras etapas e que contribuíram para o amadurecimento do que veio a se tornar hoje a Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei nº 13.709/2018.
A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos, de liberdade e dignidade das pessoas.
Para trazermos um pouco mais de detalhes sobre a nova Lei à realidade dos nossos condomínios, conversamos com o advogado André Luiz Junqueira, sócio do escritório Coelho, Junqueira e Roque Advogados. Confira.
SÍNDICO: Quais são as diretrizes básicas que integram a Lei nº 13.709/18? E o que muda com o estabelecido, atualmente?
André Luiz: Em síntese, a Lei Geral de Proteção de Dados Pessoais (LGPD) reforça o direito do titular de dados (todos nós) de ter a transparência de como esses dados são tratados e, principalmente, que os dados pessoais sejam utilizados para o específico fim que o seu titular autorizou. A principal mudança com a Lei é que, com a criação da Autoridade Nacional de Proteção de Dados, as empresas poderão sofrer fiscalizações e punições se não tiverem cuidado com os dados que coletam.
SÍNDICO: Quais empresas serão impactadas?
André Luiz: Praticamente todas.
SÍNDICO: E quais áreas dessas empresas deverão ser mais afetadas?
André Luiz: A área comercial, de recursos humanos e demais operações. Todas as áreas que precisam tratar dados pessoais.
SÍNDICO: A lei fala muito sobre dados sensíveis e não sensíveis? Qual a diferença entre eles dentro do que determina a lei?
André Luiz: Sim, o art. 5º da Lei diferencia esses dados. Dados não sensíveis são as informações individuais de cada pessoa, como RG, CPF, endereço, nome completo, telefone, entre outros, mas que segundo as definições da legislação brasileira, são de domínio público. Por outro lado, dado pessoal sensível é a informação sobre etnia, religião, política, saúde, orientação sexual e dado genético ou biométrico, que poderiam identificar e expor uma determinada pessoa.
SÍNDICO: Todo dado pessoal precisará ter o consentimento das pessoas para ser armazenado?
André Luiz: Não, a lei dispensa o consentimento quando se trata de informação já tornada pública pelo titular (art. 7º, § 4º) e também quando houver legítimo interesse do controlador ou terceiro (art. 7º, IX e art. 10). No entanto, nesta segunda hipótese, deve-se ter um parecer jurídico do que seria esse “legítimo interesse”.
SÍNDICO: A LGPD afetará os condomínios?
André Luiz: Não há dúvida, pois todas as pessoas que forem contratadas pelo condomínio (imobiliária, empreiteira, segurança e outros) devem garantir que respeitam os termos da LGPD. No entanto, defendo que o condomínio propriamente dito não se submete à LGPD, salvo se fizer uso comercial dos dados pessoais que coleta (um Shopping Center, por exemplo, que utiliza todos os dados pessoais que coleta para melhorar seu desempenho econômico. Na minha opinião, quando o condomínio trata dados pessoais para fins exclusivamente particulares e não econômicos estaria ele fora do escopo da Lei (art. 4º, I). No entanto, devemos aguardar como os condomínios serão considerados pela Autoridade Nacional de Proteção de Dados e pelo Poder Judiciário, se provocado. De qualquer forma, as diretrizes da Lei (especialmente o art. 6º) certamente devem pautar o tratamento de dados pessoais pelo condomínio, sob pena de responder civilmente e até criminalmente pelo uso indevido de dados.
SÍNDICO: Em relação aos condomínios, há a questão das empresas prestadoras de serviços, certo? Elas deverão se adequar?
André Luiz: Sim, elas deverão se adequar.
SÍNDICO: O síndico poderá ser responsabilizado caso essas empresas não cumpram a lei?
André Luiz: É possível. O condomínio responde por quem contrata, no entanto, para se atingir o síndico há a necessidade de que a negligência dele seja comprovada. Para evitar ou mesmo minimizar esse risco, o síndico deve solicitar informações e a confirmação de que todas as empresas contratadas pelo condomínio estão adaptadas à LGPD.
SÍNDICO: Qual o prazo para estar em conformidade com a lei? E onde obter mais informações?
André Luiz: A Lei passa a valer na 2ª quinzena de agosto de 2020 (art. 65, II), salvo se a Lei for alterada novamente para prorrogar esse prazo. Recomenda-se frequentar cursos e palestras sobre o assunto, e neste caso destaco os promovidos pelo SecoviRio, pela ABADI e pela Comissão de Direito Urbanístico e Imobiliário da OAB-RJ. É essencial fazer treinamentos internos nas empresas com especialistas na LGPD.
SÍNDICO: Qual será a punição para quem não cumprir com a lei?
André Luiz: Conforme art. 52 da LGPD, além de advertência, a Autoridade Nacional de Proteção de Dados poderá aplicar multa simples de até 2% do faturamento da pessoa jurídica (até o teto de 50 milhões por infração). Poderá também ser aplicada uma multa diária, além da divulgação da infração cometida para todos saberem, bloqueio e eliminação dos dados pessoais relacionados à infração. Porém, nenhuma das punições poderá ser adotada, pois estão condicionadas à regulamentação (art. 53).
Para saber mais, confira a lei na íntegra: http://twixar.me/dPlT
Definições estabelecidas pela LGPD
Dados pessoais: é toda informação relacionada à pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial etc.) e mesmo ao condomínio não são considerados dados pessoais.
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Dados não sensíveis (públicos): os dados ‘não sensíveis’ são as informações individuais de cada pessoa, como RG, CPF, endereço, nome completo, telefone, entre outros. Segundo as definições da legislação brasileira, essas informações são públicas, ou seja, de domínio público.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Sanções para quem não cumprir a lei
As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52. São elas:
- Advertência, com indicação de prazo para adoção de medidas corretivas.
- Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.
- Multa diária.
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
- Bloqueio dos dados pessoais envolvidos na infração até a sua regularização.
- Eliminação dos dados pessoais envolvidos na infração.