Lei Geral de Proteção de Dados Pessoais
- 07 JUL/23
- Site
Lei Geral de Proteção de Dados Pessoais
Abordagem Prática Inicial para Condomínios
Edison Fontes, CISM, CISA, CRISC, Ms. 2023
Diretor do Comitê de Segurança da Informação da ABSEG
A Lei Geral de Proteção de Dados Pessoais, Lei 13.709, publicada em 14 de agosto de 2018, começou a vigorar dois anos depois, em 2020. Porém com a criação da Autoridade Nacional de Proteção de Dados – ANPD, que definiu um tempo para a aplicação de multas e somente em 27 de fevereiro de 2023, publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Em resumo, a partir de 2020 a LGPD está em vigor, podendo ser acionada como direito à proteção de dados pessoais do cidadão e assim protegendo sua privacidade, permitindo que o mesmo utilizasse o poder judiciário para garantir seus direitos. Porém em relação ao órgão regulamentador, ANPD – Autoridade Nacional de Proteção de Dados, somente a partir deste ano, a questão de multas pode ser implementada na prática.
Muito já se tem falado e escrito sobre a LGPD. Neste artigo vamos destacar os principais controles obrigatórios da lei, e as características quando de implementação em Condomínios.
1. PRINCIPAIS CONCEITOS DA LGPD
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Dado Pessoal
É qualquer dado ou conjunto de dados que identifica ou pode identificar uma pessoa natural.
Dado Pessoal Sensível
É o dado pessoal referente origem étnica, convicção religiosa, opinião política, religião, filosofia de vida, saúde, genética, biometria, quando vinculado a pessoa natural.
Controlador
É o agente (organização, empresa, órgão público) que realiza o tratamento dos dados pessoais. É a organização que tem sob sua responsabilidade os dados pessoais que serão tratados. O Controlador pode contratar prestadores de serviço para ajudar no tratamento destes dados pessoais. Neste caso o prestador de serviço será o Operador.
O Controlador define que tipo de tratamento o prestador de serviço (Operador) deve fazer.
Operador
Realiza atividades em nome do Controlador. Então, o Operador recebe dados pessoais que são de responsabilidade do Controlador, e executa algumas funções, procedimentos, de acordo com o que o Controlador definiu.
Tratamento
Qualquer operação realizada com dados pessoais. Tipo: leitura, criação, copia, remoção, guarda, transmissão, submeter a criptografia ou similar.
Como exemplo podemos citar uma Empresa A, que tem sob sua responsabilidade os dados pessoais dos seus colaboradores. Esta empresa é Controladora. Porém ela precisa de um prestador de serviços para executar a Folha de Pagamento, e contrata a Empresa B. Esta empresa B é Operadora. Ela recebeu autorização e limitação para tratar os dados pessoais recebidos e executar as atividades necessárias para operacionalizar a Folha de Pagamento. Exclusivamente isto.
Encarregado de Tratamento de Dados Pessoais
É uma pessoa do Controlador ou Operador que tem a responsabilidade de ser o contato a com a ANPD, zelar pela conformidade da organização com a LGPD, possibilitar o conhecimento do assunto por todos na organização. A ANPD, tem flexibilizado esta função para as Pequenas Empresas. Necessário validar se o condomínio se aplica a esta regra.
2. PRICIPIOS PARA O TRATAMENTO DE DADOS PESSOAIS
A LGPD tem 10 Princípios para a sua aplicação. Vamos destacar aqui 05 destes princípios.
Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Responsabilização e prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
3. BASES LEGAIS
A LGPD exige que para o tratamento de dados pessoais, é necessário que o Controlador ou o Operador tenha definido uma Base Legal, prevista na Lei. Vamos destacar 03 destas bases legais.
Consentimento
É quando explicitamente a pessoa autoriza o uso dos seus dados pessoais. Aparentemente é a mais simples, mas ela tem certas obrigações, por exemplo, o Consentimento pode ser revogado a qualquer momento. E neste caso a organização tem que deixar de utilizar aqueles dados pessoais. Muito utilizado para receber e-mails de informação.
Cumprimento de Obrigação Legal
Quando existe uma lei ou uma determinação legal, esta regra permite o tratamento dos dados pessoais. Exemplo de guarda de copias de segurança. Caso exija legislação que exija cinco anos de guarda, a organização pode fazer este armazenamento sem pedir permissão à pessoa.
Execução de Contrato
Quando de um contrato entre organizações, existe a necessidade de tratamento de dados pessoais. Exemplo, um prestador de serviço (Operador) precisa ter acesso aos dados os funcionários da empresa cliente (Controlador) para enviar presentes de aniversário.
4. APLICAÇÂO PRÁTICA – Condomínios
Em qualquer tratamento de dados pessoais, é obrigatório considerar a LGPD como um todo. Neste texto, como dissemos no início, vamos destacar os principais cuidados que todos os envolvidos devemos ter.
4.1. Identificação dos Tipos de Dados Pessoais que serão tratados.
São dados de proprietários, familiares, inquilinos, funcionários, prestadores de serviços etc.
4.2. Definição do Controlador e Operador
Considerando os dados citados no item anterior, eles estão sob responsabilidade do Condomínio, e neste caso o Condomínio é o Controlador.
Uma Empresa de Serviços Gerais e Segurança, é Operadora em ralação aos dados do item (4.1). Porém se esta empresa tem os seus funcionários que trabalham na portaria, limpeza e vigilância, para estes dados, a Empresa Prestadora de Serviços é Controladora.
Sendo assim é fundamental que esteja descrito no contrato a responsabilização por cada tipo de dados pessoal e as responsabilidades. Por exemplo, a Empresa de Prestação de Serviços (Operadora) tem acesso aos dados pessoais sob responsabilidade do Condomínio, exclusivamente para a realização das atividades para a prestação de serviços.
4.3. Definição da Base Legal
Entendemos que normalmente, em relação do Condomínio e a Empresa Prestadora de Serviço será Execução de Contrato. Do Condomínio com os Condômino pode ser um tipo de Execução Contratual, definido em Assembleia Geral. O Condomínio precisa ter o nomes dos moradores para prestar todos as facilidades que o condômino precisa.
4.4. Controles que devem ser implementados.
Um exemplo simples é qual será o controle para o acesso físico. Liberação pelo reconhecimento da pessoa pelo pessoal da portaria, senha, biometria do dedo, biometria facial, outro. Esta é uma decisão do condomínio: quão rigoroso se quer ser no controle de acesso físico.
A Prestadora de Serviços vai operacionalizar este controle. Evidentemente a prestadora pode sugerir qual o melhor controle que ela sugere, considerando vários fatores.
Considerar inclusive outros controles, como filmagem do ambiente. Regras para esta filmagem e tempo de guarda. Vale lembrar que com a filmagem teremos dados pessoais e inclusive de crianças e adolescentes. A LGPD tem algumas regras especificas para estes casos. Então quem faz este serviço? É a mesma empresa prestadora ou outra?
4.5. Armazenamento de informação
É necessário identificar se as informações serão armazenadas em computadores (ou papel, porque não?) de propriedade do Condomínio ou da Empresa Prestadora de Serviços? Quem for o responsável por este armazenamento, é responsável por todos os controles de segurança da informação: acesso logico dos funcionários, segurança física do equipamento ou contrato com o armazenamento em nuvem, controles de segurança e similar.
Se a empresa Prestadora de Serviços presta também este serviço de controles no ambiente de tecnologia, tem que definir explicitamente suas responsabilidades.
CONCLUSÃO
Evidentemente temos outros aspectos que precisam ser considerados, mas comece por estes. O mais importante de tudo é ter estas regras de conformidade com a LGPD, constando no contrato entre o Controlador e o Operador.
Aqui citamos uma situação bem simples e padrão. Mas verifique as peculiaridades da prestação de serviços. Faça uma análise, defina as responsabilidades e coloque em contrato.
Tenha o acompanhamento de um especialista em segurança da informação e de um advogado especialista em direito digital. Principalmente na fase de contratação e aceitação do contrato.
Ainda existem muitos debates se o Condomínio pode ficar fora da obrigação da LGPD, em função das suas características como “organização”. Até onde temos conhecimento, todas as organizações têm que cumprir a LGPD. Então se você é síndico ou se você presta serviços para um condomínio, recomendo ficar em conformidade com a LGPD.
Se seu condomínio não tem nada, comece por este roteiro base que apresentei para você. Depois considere os demais. Não é muito complexo, porém no início é trabalhoso. Mas, depois entra no padrão. Entendo que o custo é aceitável para todos os condomínios, porém se o Condomínio é bagunçado, o problema não é a LGPD.
Temos promovido na ABSEG debates sobre vários temas relacionados à segurança da informação, cibersegurança e proteção à privacidade. Reveja o que temos gravado e esteja conosco em outras oportunidades. Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms. edison.goncalvesfontes@nttdata.com
Cybersecurity Evangelist NTT DATA Europe & Latam – Brasil
Diretor do Comitê de Segurança da Informação da ABSEG