O impacto financeiro nas administradoras condominiais em tempos de LGPD

Danos reputacionais e suspensão das atividades acendem um alerta aos gestores das administradoras condominiais

Na contramão do que é alardeado pelo mercado, o setor condominial está entre os mais impactados pela LGPD (Lei nº 13.709/18), superado apenas pelo setor da saúde, haja vista o volume de dados utilizado no dia a dia, com o amplo fluxo de entrada e saída de pessoas. Tal impacto é agravado pelo fato de que muitos síndicos ainda acreditam que a adequação dos respectivos condomínios à LGPD caberia, tão somente, à administradora, e não aos próprios condomínios.

Posto isto, é importante destacar que esta é uma questão superada no Brasil, tendo em vista que o condomínio será inevitavelmente considerado como controlador de dados pessoais na maioria dos casos, nos termos do art. 5º, inciso VI da Lei e, portanto, será o responsável pela implementação das medidas de proteção de dados pessoais previstas na legislação.

Contudo, nada impede que os condomínios ingressem com uma ação de regresso contra as administradoras contratadas para auxiliar na sua gestão, caso comprovada a má gestão dos dados pessoais, considerando que nestes contratos estão previstas disposições um tanto abrangentes, contemplando, inclusive, a observação da privacidade dos condôminos e a proteção de dados pessoais em geral.

Já com relação aos gestores de administradoras de condomínios, muito embora alguns acreditem que estejam desobrigados do cumprimento desta nova legislação, na LGPD não há qualquer isenção prevista para este setor. Inclusive, o descumprimento da lei poderá trazer multas de até 50 milhões de reais para cada incidente de segurança, bem como inúmeros problemas na justiça, incluindo processos trabalhistas e pesadas indenizações, além da suspensão das atividades da administradora, a depender do caso.

Corroborando com esta nova problemática trazida pela Lei, o tema da segurança da informação faz-se cada vez mais presente, com registros diários de ocorrências envolvendo engenharia social, ataques de hackers e outros cibercrimes, como os chamados sequestros de dados e informações, o que inclui o roubo de imagens das câmeras de vigilância, gerando prejuízos milionários ao setor público e privado.

Por total falta de conhecimento, poucos têm o conhecimento de que essas imagens são sensíveis e possuem uma tratativa um tanto mais criteriosa com a chegada da LGPD. A título de curiosidade, o simples acesso por colaboradores, não relacionados à área da segurança, ou a disponibilização das gravações para os condôminos pode ser considerada uma infração à LGPD.

Fato é que nos condomínios e nas administradoras, especificamente, surgem diversas questões que podem gerar dores de cabeça aos envolvidos, como a coleta de dados pessoais de crianças, informações sobre os veículos dos condôminos, publicidade de informações sobre inadimplentes e a utilização de biometria para controle de acesso. Ou seja, está cada vez mais claro que este setor deve se tornar um alvo fácil para criminosos, vez que tem consigo dados valiosos dos condôminos, como seu endereço, horários de chegada e saída, modelo do carro, biometria das digitais, dentre outros.

Neste sentido, deve-se destacar que a Lei nº 13.709/2018 não visa coibir apenas as situações relacionadas a vazamentos de dados pessoais, mas sim evitar condutas que possam atingir qualquer um dos quatro pilares da segurança da informação, que são, respectivamente:

• Confidencialidade, que garante que os dados estão protegidos de terceiros;
• Integridade, que garante que os dados estão íntegros e que não sofreram e tampouco sofrerão quaisquer espécies de alterações, se não as autorizadas;
• Disponibilidade, que garante que as informações do titular estarão sempre disponíveis;
• Autenticidade, que garante que as informações poderão ser entregues a uma outra pessoa ou sistema, tão somente se autorizados.

Deste modo, as administradoras devem se atentar para algumas etapas na adequação dos seus respectivos negócios e também dos condomínios que administram, dentre as quais se destacam:

1. Implementação de medidas técnicas e administrativas de segurança;
2. Elaborar uma análise de todos os dados utilizados, incluindo os que estão em documentos físicos, como papéis. Este documento deverá discriminar:
   1. por quanto tempo cada dado será mantido na empresa;
   1. qual a hipótese de tratamento, elencada nos artigos 7º, 11 ou 14, permite que haja o tratamento desse dado;
   1. por quanto tempo será mantido na empresa essas informações; e
   1. que tipo de controle e medida são adotados para mitigar riscos de segurança da informação. É importante ressaltar que todos os dados que forem utilizados pelas organizações, deverão preencher os 10 princípios elencados no art. 6º da LGPD.
3. Ajustar todos os contratos com fornecedores, clientes e com todos os colaboradores, discriminando quais são as responsabilidades de cada um, segundo o que preceitua a Lei.
4. Elaborar todas as políticas e implementá-las para que haja eficácia prática. As principais políticas são: Política de Segurança da Informação, Política de Privacidade e Proteção de Dados, Política de Cookies, Política de Antivírus, Política de Firewall, Política de Senhas, Política de Backup, Política de Criptografia, Política de Logs, Política de Mesa Limpa e Política de Acesso às Instalações Físicas da Empresa.
5. Implementar todas as Medidas Técnicas e Administrativas de Segurança, elencadas no artigo 46 da LGPD.
6. Contratar um Canal de Titular apropriado para atender aos direitos do titular, elencados nos artigos 18 e 19. Embora a Lei não faça qualquer objeção para que o atendimento dessas demandas possa ser realizado por e-mail ou por telefone, o fato é que estes não são meios seguros, uma vez que há uma inversão do ônus da prova para o agente de tratamento. Desta maneira, considerando que a empresa deverá comprovar que atende às solicitações dos seus clientes, logo o telefone e o e-mail não são meios seguros para o exercício deste direito.
7. Elaborar um Relatório de Impacto (RIPD). Conforme a própria Lei discrimina, trata-se de uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

De fato, com as constantes notícias de vazamentos de dados, pode-se dizer que a LGPD foi um grande avanço na legislação brasileira para proteger todos os cidadãos, embora ainda, quase 02 (dois) anos depois do início da sua vigência, ainda é descumprida por cerca de 60% das empresas.

Fato é que, no afã de resolver esse impasse e atender às demandas de síndicos, várias administradoras de condomínios estão caindo em algumas armadilhas propagadas pela internet, ou seja, por total desconhecimento do que realmente necessitam fazer, acabam adquirindo formulários e templates, tendo apenas a falsa sensação de adequação à LGPD.

Contudo, é certo que este tipo de comportamento acabará por gerar dois gastos: um com estes templates e modelos contratuais, e outro com alguma consultoria que realmente resolva o problema e deixe, de fato, o condomínio em total conformidade com a Lei.

Portanto, é de suma importância que as administradoras passem a fazer atenção a essa nova legislação, tendo em vista que um único incidente em um condomínio, pode se tornar de conhecimento de dezenas de empresas, disseminando de forma muito rápida, atingindo frontalmente a sua reputação nesse mercado cada vez mais competitivo.

Para empresários que ainda não se adequaram a LGPD, sugestão de leitura abaixo:

Leia nosso artigo sobre as 8 consultorias à LGPD mais contratadas no mercado

Foto por: Otimizy Sistemas inteligentes