Auditoria de conformidade LGPD

Por que auditar a conformidade LGPD do condomínio

Conformidade com a Lei 13.709/2018 (LGPD) não é um evento único. O condomínio que mapeou seus dados em 2022, elaborou uma política de privacidade e assinou aditivos com a administradora fez o trabalho inicial — mas desde então provavelmente mudou de zelador, contratou um novo sistema de interfone, adotou um app diferente ou instalou câmeras adicionais. Cada uma dessas mudanças pode ter criado novos tratamentos de dados sem as proteções devidas.

A LGPD impõe obrigações contínuas ao condomínio enquanto controlador de dados pessoais. Os arts. 37, 46 e 48 da lei estabelecem, respectivamente, a obrigação de manter registros das operações de tratamento, adotar medidas de segurança para proteger dados e notificar a ANPD (Autoridade Nacional de Proteção de Dados) em caso de incidentes.^[1] Essas obrigações não têm data de validade — existem enquanto o condomínio trata dados, o que é permanente.

A auditoria periódica é o mecanismo prático para cumprir essas obrigações de forma continuada. Ela serve a três propósitos concretos: identificar novos tratamentos que surgiram desde a última revisão; verificar se as proteções existentes ainda funcionam; e documentar que o condomínio está agindo com diligência — o que importa tanto para uma eventual fiscalização da ANPD quanto para a confiança dos próprios moradores.

Vale ser direto: a auditoria de conformidade LGPD não é obrigação explícita da lei para todo condomínio. É uma boa prática que concretiza obrigações que a lei sim impõe — e que qualquer síndico responsável deveria adotar, independentemente do porte do condomínio.

As cinco áreas que toda auditoria condominial precisa cobrir

Independentemente do porte, uma auditoria de conformidade LGPD em condomínio deve revisar cinco áreas. Elas cobrem todos os pontos onde dados pessoais são tratados no dia a dia condominial — e onde problemas de conformidade tipicamente surgem.

1. Cadastro de moradores, funcionários e visitantes. Verificar quais dados são coletados, onde ficam armazenados, quem tem acesso e se há mais dados do que o necessário para a finalidade declarada. Campos como CPF, data de nascimento e dados de veículos precisam ter justificativa de uso. Quem saiu do condomínio ainda tem dados ativos no sistema?
2. CFTV e controle de acesso. Imagens de câmeras são dados pessoais. Revisar: por quanto tempo as gravações são mantidas (o prazo deve ser declarado e proporcional à finalidade); quem tem acesso às imagens; se há avisos visíveis informando que o local é monitorado; e, em sistemas com IA ou reconhecimento facial, se há base legal adequada para esse tratamento mais sensível.
3. Contratos com operadores. Toda empresa que trata dados pessoais por conta do condomínio é um operador na linguagem da LGPD — administradora, empresa de portaria virtual, fornecedor do app, prestador de CFTV, empresa de limpeza com acesso a sistemas. Verificar se os contratos têm cláusulas de proteção de dados; se os operadores têm política de privacidade própria; e se há registro de quem são esses operadores.
4. Comunicados e canais de comunicação. WhatsApp em grupo com moradores, listas de e-mail e murais digitais envolvem dados pessoais. Revisar se os dados de contato têm consentimento ou outra base legal válida para o uso; se há dados de ex-moradores ainda nas listas; e se a política de privacidade do condomínio está acessível e atualizada.
5. Registro de incidentes. O condomínio tem algum controle dos incidentes de segurança que ocorreram desde a última revisão? Vazamento de lista de moradores, acesso não autorizado ao sistema de interfone, câmera invadida remotamente — todos são incidentes que devem ser registrados e, se relevantes, comunicados à ANPD conforme o art. 48 da LGPD.^[1] Se não existe nenhum registro, esse é um ponto de falha.

Auditoria por porte: o que muda em cada caso

A profundidade e a estrutura da auditoria variam de acordo com o porte do condomínio — não porque as obrigações legais sejam diferentes, mas porque o volume de dados tratados, o número de operadores envolvidos e a complexidade dos sistemas utilizados crescem com o número de unidades.

Como fazer: da lista de verificação ao relatório

Independentemente do porte, a auditoria segue uma sequência lógica. Os passos abaixo podem ser adaptados para um checklist de tarde (condomínio pequeno) ou para um processo estruturado de semanas (condomínio grande).

1. Inventário de dados. Liste todos os tipos de dados pessoais que o condomínio coleta e trata: dados de moradores, funcionários (próprios e terceirizados), visitantes, prestadores de serviço. Para cada tipo, identifique: onde ficam armazenados, quem tem acesso, qual é a finalidade declarada e qual é a base legal (consentimento, contrato, obrigação legal, legítimo interesse).
2. Mapeamento de fluxos. Identifique como os dados circulam — do ponto de coleta até o armazenamento e, eventualmente, o descarte. Quais dados vão para a administradora? Quais ficam no app? Quais são gravados pelo CFTV e por quanto tempo? Esse passo revela conexões que o inventário inicial não mostra.
3. Identificação de vulnerabilidades. Com o inventário e os fluxos mapeados, verifique onde há lacunas: dados coletados sem finalidade clara, contratos sem cláusula de proteção, prazos de retenção não definidos, acesso compartilhado sem controle, dados de ex-moradores ou ex-funcionários ainda ativos nos sistemas.
4. Registro dos achados. Documente o que foi verificado, o que está adequado e o que precisa de correção — com prazo e responsável para cada ponto de melhoria. Esse registro é o que diferencia uma auditoria real de uma conversa informal. Ele também é a evidência de diligência em caso de fiscalização.
5. Correções e acompanhamento. Implemente as correções identificadas e acompanhe o fechamento dos pontos abertos até a próxima revisão. Novas vulnerabilidades sem correção registrada são um problema maior do que vulnerabilidades não identificadas — porque documentam que o condomínio sabia do risco e não agiu.

Como apresentar o resultado ao conselho fiscal

Em condomínios médios e grandes, o resultado da auditoria deve ser comunicado ao conselho fiscal. Não é necessário um relatório técnico extenso — o que o conselho precisa saber é: (1) a revisão foi feita? (2) foram identificados pontos de inadequação? (3) esses pontos foram ou estão sendo corrigidos?

Um documento de uma ou duas páginas, com a data da revisão, as cinco áreas verificadas, os pontos de atenção encontrados e o status de cada correção, é suficiente. Em condomínios grandes com DPO terceirizado, o relatório pode ser mais detalhado — mas o princípio é o mesmo: transparência sobre o que foi feito, o que foi encontrado e o que está sendo feito a respeito. Em condomínios horizontais, o relatório deve incluir especificamente as câmeras de perímetro e as guaritas externas, que têm particularidades próprias de cobertura e acesso.

Com qual frequência revisar

A LGPD não determina periodicidade de auditoria. A frequência adequada depende do porte e da velocidade de mudança do ambiente de dados do condomínio.

Um critério prático: sempre que o condomínio introduzir um novo tratamento de dados — novo fornecedor, nova tecnologia, novo processo — é o momento de verificar se esse tratamento foi incorporado corretamente. Esperar o ciclo anual para tratar uma vulnerabilidade criada por uma mudança recente é um risco desnecessário.