LGPD - Aplicação nos condomínios e Administradoras - Parte IV

Prosseguindo com os comentários sobre a Lei Geral de Proteção de Dados Pessoais, popular LGPD, vimos nos três artigos anteriores, os fundamentos, a quem se aplica, o que é tratamento de dados, os conceitos da LGPD, a quem não se aplica, os dez princípios e as hipóteses legais para coleta e tratamentos dos dados; o consentimento dado pelo titular, do direito do titular ao acesso facilitado dos seus dados, hipóteses e cuidados no tratamento de dados sensíveis, o que é anonimização dos dados,  tratamento de dados de crianças e adolescentes com consentimento específico dos Pais e hipóteses de término do tratamento dos dados coletados.

Precisamos refletir, na coleta e tratamento dos dados pessoais, temos que considerar a finalidade e a boa-fé, especialmente, quais dados efetivamente precisamos coletar, afinal, ao implementarmos as etapas da LGPD vamos ver que podemos descartar dados, reduzindo assim, nossos riscos.

DIREITOS DO TITULAR – Arts. 18 e 19
O titular dos dados, como vimos, é a pessoa física, que tem nos termos desta lei, assegurado a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus dados por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - em formato simplificado, imediatamente; ou

II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

Os dados pessoais deverão ser armazenados em formato que favoreça o exercício do direito de acesso.

As informações e os dados poderão ser fornecidos, a critério do titular:

I - por meio eletrônico, seguro e idôneo para esse fim; ou

II - sob forma impressa.

DO CONTROLADOR E OPERADOR – arts. 37 a 40

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Este relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador.

A autoridade nacional poderá dispor sobre livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

DO ENCARREGADO PELO TRATAMENTO DOS DADOS PESSOAIS – Art. 41

O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. Ou seja, no site da empresa deverá ter o nome do encarregado e endereço eletrônico, um passo que pode ser dado de imediato, mas, é preciso conscientizar o encarregado de suas responsabilidades.

As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Esperamos que os condomínios possam serem eximidos desta obrigação, pois, o volume de dados tratados é em sua maioria, reduzidos.

DA RESPONSABILIDADE E DO RESSARCIMENTO DE DANOS – arts. 42 a 45

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

SÍNDICOS E EMPRESAS ADMINISTRADORAS, é importante a capacitação e conhecimento da legislação, estar familiarizado com os termos e conceitos da lei, bem como, suas obrigações e responsabilidades é crucial. Ler artigos, livros e assistir lives, muitas gratuitas é fundamental para este aprendizado. Fazer cursos é outra etapa para ampliar seus conhecimentos, não basta contratar um especialista para implementar a LGPD.

No próximo artigo, vamos abordar seguranças e boas práticas.   

ONDE TEM CONDOMÍNIO E ADMINISTRADORA DE CONDOMÍNIO, TEM O SIPCES.