Compartilhamento com administradora

Por que compartilhar dados com a administradora é necessário e legal

A administradora precisa de dados pessoais dos moradores e funcionários para executar as tarefas que o condomínio contratou: emitir boletos, controlar inadimplência, processar a folha de pagamento, registrar correspondências, gerenciar reservas de áreas comuns, comunicar assembleias. Sem acesso a esses dados, ela simplesmente não consegue fazer o trabalho.

A LGPD não proíbe esse compartilhamento. O que ela exige é que o tratamento tenha uma base legal válida e que o operador (a administradora) receba os dados com proteção adequada. No caso dos condomínios, as bases legais mais aplicáveis são o cumprimento de obrigação legal ou regulatória (art. 7º, II da LGPD) — como o processamento da folha de pagamento — e a execução de contrato (art. 7º, V) — como os serviços de gestão condominial contratados.^[1]

O ponto central é este: compartilhar é obrigatório e permitido. O que não é permitido é compartilhar sem contrato, sem finalidade definida e sem cuidados mínimos de segurança.

Em condomínios horizontais, o escopo do compartilhamento pode ser mais amplo: dados de controle de acesso de veículos, registros de entrada e saída em portarias distribuídas, e informações sobre uso de áreas externas. Esses dados devem estar contemplados no mapeamento feito pelo síndico antes de firmar ou renovar o contrato com a administradora.

A administradora como operadora: o que isso significa

A LGPD define com clareza os dois papéis principais no tratamento de dados pessoais.^[1]

• Controlador (art. 5º, VI): quem toma as decisões sobre o tratamento — o que coletar, para qual finalidade, por quanto tempo guardar. No condomínio, esse papel é do síndico, em nome da pessoa jurídica do condomínio.
• Operador (art. 5º, VII): quem realiza o tratamento por conta e em nome do controlador, seguindo suas instruções. A administradora é, por definição, operadora — ela não decide o que fazer com os dados; ela os processa para prestar o serviço contratado.

Essa distinção tem uma consequência prática importante: a administradora não pode usar os dados dos moradores para finalidades próprias. Ela não pode criar listas de marketing, ceder dados a terceiros por conta própria ou guardar os dados depois que o contrato for encerrado — a não ser que tenha autorização expressa do condomínio ou obrigação legal para isso.

O art. 39 da LGPD é direto: o operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas legais. Isso significa que o síndico não apenas pode — ele deve verificar se a administradora está cumprindo as regras.^[1]

Uma nota sobre responsabilidade: a administradora que, no exercício de sua atividade de operadora, descumprir a legislação aplicável ou as instruções lícitas do controlador, responde solidariamente pelos danos causados. Mas isso não transfere ao síndico a responsabilidade de zelar pela escolha adequada do operador e pela existência de contrato com garantias suficientes.

O que o contrato com a administradora precisa ter

O art. 46 da LGPD exige que os agentes de tratamento adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.^[1] Para o condomínio, isso começa no contrato com a administradora.

A cláusula LGPD do contrato não precisa ser longa — precisa ser completa. O checklist abaixo cobre os itens que não podem faltar:

Condomínios que estão renovando contrato têm a oportunidade de incluir esses itens sem custo adicional. Para condomínios assinando contrato novo, exigir esses termos é parte do processo de due diligence na escolha da administradora.

Uma observação prática: muitas administradoras já têm minutas de contrato com cláusulas LGPD preparadas. Se a administradora não consegue apresentar um texto mínimo sobre proteção de dados, esse é um sinal de alerta sobre a maturidade dela em conformidade — não apenas jurídica, mas operacional.

Responsabilidade em caso de incidente pela administradora

Quando a administradora sofre um vazamento de dados — seja por ataque externo, falha de sistema ou erro humano —, a pergunta mais comum do síndico é: "Isso é problema da administradora ou do condomínio?"

A resposta é: pode ser dos dois, e entender os papéis é essencial para agir corretamente.

A responsabilidade é compartilhada, com papéis distintos. O condomínio, como controlador, tem a obrigação de ter escolhido uma administradora com garantias adequadas (art. 46 da LGPD) e de zelar pelo cumprimento dessas garantias. Se o condomínio não tinha contrato com cláusulas de proteção, ou nunca verificou como os dados eram tratados, pode ser responsabilizado por negligência na escolha e supervisão do operador.^[1]

A administradora, como operadora, responde pelos danos que causar ao descumprir as instruções do controlador ou a legislação. Segundo o art. 42 da LGPD, o operador responde solidariamente com o controlador quando houver descumprimento das normas aplicáveis.

Na prática, o síndico precisa entender que:

• Transferir os dados para a administradora não transfere a responsabilidade do condomínio — ela é dividida, com papéis distintos
• Caso os titulares dos dados (moradores, funcionários) sofram danos por um vazamento causado pela administradora, podem acionar tanto a administradora quanto o condomínio
• Ter contrato com cláusulas LGPD claras é a principal proteção do síndico: demonstra que o condomínio agiu com diligência na escolha e na formalização da relação com o operador
• Após ser notificado de um incidente, o síndico deve comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável — o guia da ANPD recomenda até 72 horas quando há risco relevante para os titulares^[2]

O que fazer ao ser notificado de um incidente:

1. Documentar imediatamente o que foi comunicado pela administradora (data, horário, dados afetados, causa informada)
2. Verificar quais titulares foram impactados e avaliar o grau de risco
3. Comunicar a ANPD se o incidente apresentar risco relevante para os titulares
4. Avaliar se é necessário comunicar diretamente os moradores ou funcionários afetados
5. Exigir da administradora relatório detalhado do incidente e das medidas corretivas adotadas
6. Registrar tudo em ata ou documento formal para eventual defesa futura

Como verificar se a administradora está em conformidade com a LGPD

O art. 39 da LGPD atribui ao controlador o papel de verificar a observância das suas instruções pela administradora. Isso não exige uma auditoria formal anual — mas exige que o síndico faça perguntas e exija respostas.^[1]

O checklist abaixo pode ser usado em reuniões periódicas com a administradora ou na renovação contratual:

• Mapeamento de dados: a administradora sabe quais dados pessoais do condomínio ela processa e onde estão armazenados?
• Controle de acesso interno: apenas os funcionários que precisam têm acesso aos dados do condomínio? Existe restrição por perfil de usuário no sistema?
• Política de senhas e autenticação: os sistemas usam autenticação com dois fatores ou medidas equivalentes?
• Suboperadores declarados: quais plataformas de terceiros recebem ou processam dados dos moradores (software de gestão, plataformas de cobrança, aplicativos condominiais)?
• Procedimento de incidente: existe um processo interno documentado para identificar, conter e comunicar vazamentos?
• Descarte de dados: como os dados são descartados ao fim do contrato — qual o prazo e o método de destruição segura?
• Treinamento da equipe: os funcionários que acessam dados dos moradores são orientados sobre sigilo e boas práticas de proteção de dados?

Uma administradora madura em LGPD consegue responder a essas perguntas sem hesitação. A incapacidade de responder não implica necessariamente má-fé — mas indica onde estão os riscos que o síndico precisa monitorar.

Troca de administradora: como gerenciar a migração de dados

A troca de administradora é um dos momentos de maior risco para os dados pessoais do condomínio. Dois cuidados são essenciais.

Primeiro: a administradora saindo deve devolver todos os dados do condomínio em formato utilizável, dentro do prazo previsto no contrato. Isso inclui cadastros de moradores, histórico financeiro, dados de funcionários e documentação de correspondências. Guardar os dados além do prazo sem justificativa legal é uma violação da LGPD.

Segundo: a administradora entrante deve assinar o contrato com cláusulas LGPD antes de receber qualquer dado. Não transferir os dados antes da formalização contratual é uma proteção básica para o síndico.