LGPD na comunicação com moradores

Por que a LGPD se aplica ao condomínio

Muitos síndicos ainda acreditam que a LGPD é uma lei para empresas grandes. Não é. A Lei 13.709/2018 se aplica a qualquer pessoa física ou jurídica — pública ou privada — que realize o tratamento de dados pessoais.^[1] Um condomínio residencial trata dados pessoais a cada comunicado enviado, a cada boleto gerado, a cada câmera de CFTV que registra a entrada de moradores.

O art. 5º da LGPD define dado pessoal como "qualquer informação relacionada a pessoa natural identificada ou identificável".^[1] Nome, CPF, endereço de e-mail, número de telefone, número da unidade, imagem em câmera de segurança, histórico de pagamentos — tudo isso são dados pessoais dos condôminos. E o condomínio trata todos eles no dia a dia.

O art. 5º, inciso VI da LGPD define o controlador como "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".^[1] O condomínio se encaixa nessa definição: é ele quem decide quais dados coleta dos moradores, para quê os usa e com quem os compartilha — seja com a administradora, com fornecedores ou com o próprio conselho fiscal.

A boa notícia é que a LGPD não foi criada para engessar a comunicação condominial. Ela foi criada para dar transparência e segurança ao uso dos dados. O síndico que age com boas práticas já está, em grande medida, no caminho certo — o que falta, na maioria dos casos, é formalizar o que já se faz.

Quais dados dos moradores o condomínio trata

Para adequar o condomínio à LGPD, o primeiro passo é ter clareza sobre quais dados são coletados. A lista é mais longa do que parece.

Dados coletados na gestão cotidiana

• Dados cadastrais: nome completo, CPF, RG, data de nascimento, número de unidade, fração ideal
• Dados de contato: endereço de e-mail, número de telefone (celular e fixo), WhatsApp
• Dados financeiros: histórico de pagamentos da taxa condominial, situação de inadimplência, dados bancários para débito automático
• Dados de acesso: registros de entrada e saída pela portaria, biometria digital ou facial (quando existe), imagens de câmeras de segurança (CFTV)
• Dados de terceiros: informações de inquilinos, familiares autorizados, visitantes frequentes e prestadores de serviço que o morador cadastra

Dados sensíveis: atenção redobrada

A LGPD distingue dados pessoais comuns de dados pessoais sensíveis. Dados sensíveis incluem, entre outros, informações sobre saúde, biometria e origem étnica.^[1] No contexto condominial, isso afeta diretamente quem usa sistemas de reconhecimento facial ou leitura de digitais na portaria: esses dados exigem tratamento mais rigoroso, com base legal específica e, idealmente, consentimento expresso do titular.

Imagens de câmeras de segurança também são dados pessoais quando permitem identificar uma pessoa — e os registros de CFTV devem ter política de retenção definida (por quanto tempo ficam armazenados) e acesso restrito a pessoas autorizadas.

As bases legais que autorizam o uso dos dados

A LGPD exige que todo tratamento de dados pessoais se apoia em uma base legal — um fundamento jurídico que justifica o uso. O condomínio não precisa pedir consentimento dos moradores para cada comunicado que envia. Existem outras bases legais que autorizam o uso, mais adequadas à natureza condominial.

As duas bases legais mais relevantes para condomínios são:^[1]

Cumprimento de obrigação legal ou regulatória (art. 7º, II)

O síndico tem obrigações legais definidas pelo Código Civil e pela convenção do condomínio: convocar assembleias, prestar contas, cobrar taxas, manter a documentação do condomínio. Para cumprir essas obrigações, ele precisa usar os dados dos condôminos — e a lei autoriza esse uso sem necessidade de consentimento adicional. Enviar o boleto da taxa condominial por e-mail, convocar por WhatsApp para uma AGO, notificar um condômino inadimplente: todos têm respaldo nessa base.

Legítimo interesse do controlador (art. 7º, IX)

O legítimo interesse é a base que autoriza o uso de dados quando existe uma finalidade legítima do condomínio que não contraria os interesses dos titulares. A comunicação cotidiana com os moradores — avisos de manutenção, informes de segurança, comunicados sobre obras — se enquadra aqui. Para usar essa base, o condomínio precisa ser capaz de justificar que o uso é proporcional e que os interesses dos moradores não são violados.

Consentimento (art. 7º, I)

O consentimento — a autorização expressa do titular — é necessário em situações específicas que vão além da gestão condominial obrigatória. Enviar publicidade de parceiros, usar a imagem de um morador em material de divulgação do condomínio, compartilhar dados com terceiros para fins que não são inerentes à gestão: esses casos exigem consentimento claro e documentado. O consentimento precisa ser livre (sem coerção), informado (o morador sabe exatamente o que está autorizando) e inequívoco.

Uma confusão comum: muitos síndicos acham que precisam de um "LGPD aceito" assinado por todos os moradores antes de qualquer comunicação. Isso não é verdade — e pode até criar problemas se mal formulado. O que o condomínio precisa é de uma política de privacidade que informe os moradores sobre quais dados são usados, com qual finalidade e com qual base legal. O consentimento só é necessário nos casos específicos mencionados acima.

O que não pode ser feito com os dados dos moradores

A LGPD define que os dados coletados com uma finalidade não podem ser usados para fins incompatíveis. Esse é o princípio da finalidade (art. 6º, I): os dados devem ser usados apenas para os propósitos que motivaram a coleta.^[1]

Na prática condominial, isso significa que há usos proibidos claros:

• Compartilhar a lista de inadimplentes publicamente — fixar no mural ou enviar em grupo de WhatsApp a relação de condôminos inadimplentes com nome e valor devido é uma violação da LGPD (e pode gerar responsabilidade civil independente dela). A inadimplência pode ser tratada internamente e comunicada ao condômino individualmente, não ao coletivo.
• Usar o e-mail ou WhatsApp dos moradores para publicidade de terceiros — o síndico não pode ceder ou compartilhar a lista de contatos dos moradores com empresas parceiras, imobiliárias, lojas ou qualquer outra entidade sem o consentimento expresso dos titulares.
• Divulgar imagens de câmeras indiscriminadamente — as imagens do CFTV são dados pessoais e só podem ser compartilhadas com quem tem necessidade legítima de vê-las (autoridades policiais, em caso de ocorrência formal; o próprio morador envolvido). Postar imagens de moradores nas redes sociais do condomínio ou em grupos sem autorização é vedado.
• Manter dados sem prazo de retenção definido — guardar dados dos moradores indefinidamente, mesmo após o encerramento da relação (ex: após a venda do apartamento), contraria o princípio da necessidade. O condomínio deve definir por quanto tempo mantém cada tipo de dado.
• Acessar dados sem controle de quem os vê — qualquer pessoa da equipe ou administradora não precisa ter acesso a todos os dados. O princípio do acesso mínimo determina que cada pessoa acessa apenas o que é necessário para sua função.

O caso especial dos grupos de WhatsApp

Os grupos de WhatsApp viraram o principal canal de comunicação de muitos condomínios — e também uma das fontes mais frequentes de problemas com a LGPD. Quando o síndico cria um grupo com todos os moradores, ele está compartilhando os números de telefone de todos os participantes entre si. Isso é tratamento de dados pessoais, e nem todos os moradores necessariamente consentiram com isso.

A solução prática não é abolir o WhatsApp, mas estruturar seu uso: usar listas de transmissão em vez de grupos abertos (assim o número de cada morador fica visível só para o síndico), ou obter o consentimento dos moradores para participação em grupos onde os contatos ficam visíveis a todos.

Como se adequar: primeiros passos práticos

A adequação à LGPD não exige que o condomínio contrate um escritório de advocacia especializado logo de início. Para a maioria dos condomínios residenciais, os passos práticos iniciais são acessíveis e podem ser conduzidos pelo próprio síndico com apoio da administradora.

A política de privacidade do condomínio

A política de privacidade é o documento que cumpre o dever de transparência da LGPD: informa os moradores sobre quais dados são coletados, com qual finalidade, com qual base legal e como podem exercer seus direitos. Ela não precisa ser um documento jurídico longo. Para um condomínio residencial, um texto claro de uma a duas páginas, em linguagem simples, já cumpre a função.

O documento deve incluir: quais dados são coletados (e quando), para que cada dado é usado, com quem os dados podem ser compartilhados (administradora, conselho, fornecedores), por quanto tempo os dados são mantidos, e como o morador pode exercer seus direitos — pedir acesso às suas informações, solicitar correção ou pedir exclusão quando aplicável.

A política pode ser aprovada em assembleia ou publicada pelo síndico com ciência do conselho e comunicada a todos os moradores. Ela deve estar disponível para consulta — no mural, no app de gestão ou por e-mail — sempre que um morador solicitar.

O papel da administradora

Quando há uma administradora, ela é, na linguagem da LGPD, um operador de dados: trata dados pessoais dos moradores em nome do condomínio, seguindo as instruções do síndico (o controlador).^[1] O contrato com a administradora deve incluir uma cláusula de proteção de dados que estabeleça que ela só pode usar os dados dos moradores para as finalidades autorizadas pelo condomínio, que deve adotar medidas de segurança adequadas e que responde pelos danos que causar por uso indevido.

Se a administradora já tem uma política de privacidade própria, é importante verificar se ela é compatível com os dados dos condôminos que ela acessa. Administradoras bem estruturadas já oferecem minutas de cláusula contratual LGPD para incluir no contrato de gestão.

O Encarregado de Dados (DPO) — quando faz sentido

A LGPD prevê a figura do Encarregado de Proteção de Dados (popularmente chamado de DPO, do inglês Data Protection Officer). Para condomínios residenciais, a nomeação de um DPO não é obrigatória — mas a ANPD (Autoridade Nacional de Proteção de Dados) recomenda que organizações que tratam dados em grande escala tenham essa figura.^[2]

Em condomínios pequenos e médios, essa função pode ser exercida informalmente pelo próprio síndico ou por um membro do conselho com perfil para isso — alguém que se responsabiliza por responder aos moradores quando eles exercem seus direitos e por manter as boas práticas de privacidade. Em condomínios grandes, com muitas câmeras, biometria e grande volume de dados, faz sentido designar formalmente essa responsabilidade — pode ser um membro da administradora, um consultor externo ou um morador qualificado.