oHub Base Condo / Jurídico Condominial / LGPD em Condomínios / Artigos / Compartilhamento com fornecedores
Neste artigo: Como este tema funciona no seu condomínio Quais fornecedores acessam dados de moradores sem que o síndico perceba Fornecedor como operador: o que isso significa na prática O que incluir no contrato com fornecedores que acessam dados Como verificar se o fornecedor trata dados com segurança Responsabilidade do condomínio em caso de incidente causado por fornecedor App de gestão condominial: cuidados especiais Precisa revisar os contratos com fornecedores para adequar à LGPD? Perguntas frequentes O condomínio pode passar dados dos moradores para fornecedores? A empresa de CFTV pode ter acesso às gravações dos moradores? O fornecedor que acessa o cadastro do condomínio é operador? O que acontece se um fornecedor vazar dados de moradores? O aplicativo de gestão do condomínio precisa de contrato LGPD? Fontes e referências
oHub Base Condo Jurídico Condominial LGPD em Condomínios

Compartilhamento com fornecedores

Atualizado em: 29 de maio de 2026
Neste artigo: Como este tema funciona no seu condomínio Quais fornecedores acessam dados de moradores sem que o síndico perceba Fornecedor como operador: o que isso significa na prática O que incluir no contrato com fornecedores que acessam dados Como verificar se o fornecedor trata dados com segurança Responsabilidade do condomínio em caso de incidente causado por fornecedor App de gestão condominial: cuidados especiais Precisa revisar os contratos com fornecedores para adequar à LGPD? Perguntas frequentes O condomínio pode passar dados dos moradores para fornecedores? A empresa de CFTV pode ter acesso às gravações dos moradores? O fornecedor que acessa o cadastro do condomínio é operador? O que acontece se um fornecedor vazar dados de moradores? O aplicativo de gestão do condomínio precisa de contrato LGPD? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona no seu condomínio

Condomínio pequeno · até 50 unidades

A obrigação de incluir cláusula LGPD nos contratos de fornecedores que acessam dados é a mesma para qualquer porte. Em condomínios pequenos, os fornecedores que efetivamente tocam em dados de moradores costumam se limitar ao app de gestão (ou grupo de WhatsApp) e à empresa de portaria ou CFTV. O volume é menor, mas a exigência legal é idêntica.

Condomínio médio · 51 a 150 unidades

Com administradora contratada, app condominial completo e portaria CLT, o número de fornecedores que acessam dados cresce. É o porte em que o síndico começa a perder o controle informal de quem tem acesso a quê — e onde a formalização das cláusulas contratuais passa a fazer diferença concreta.

Condomínio grande · 151+ unidades

CFTV com dezenas de câmeras, controle de acesso biométrico, central de monitoramento, app com integração de visitantes — o número de fornecedores que acessam dados de moradores pode chegar a seis ou mais. Nesse porte, a ANPD recomenda considerar a indicação de um DPO, e os contratos de fornecedores precisam de revisão formal.

Quando um fornecedor acessa dados pessoais de moradores — cadastro de condôminos, imagens de câmeras, registros de entrada e saída — ele passa a ser um operador de dados nos termos da LGPD (Lei 13.709/2018). O condomínio, representado pelo síndico, é o controlador: define por que os dados são coletados e com quem são compartilhados. Essa relação jurídica existe independentemente de estar formalizada em contrato — mas é o contrato com cláusula de proteção de dados que protege o condomínio se algo der errado.

Quais fornecedores acessam dados de moradores sem que o síndico perceba

Nem todo fornecedor que entra no condomínio acessa dados pessoais. O faxineiro que limpa o corredor, o pintor que reforma a fachada, o técnico que faz manutenção no elevador — nenhum deles, em condições normais, trata dados de moradores. Mas há uma lista de fornecedores que acessam dados pessoais de forma direta e sistemática, e esse é o grupo que demanda atenção especial sob a LGPD.[1]

Os três tipos de fornecedores que mais acessam dados pessoais de moradores em condomínios:

  • App de gestão condominial — processa cadastro de moradores e inquilinos, registros de visitantes, comunicados, reservas de áreas comuns e, em muitos casos, dados financeiros. É o fornecedor com maior volume de dados pessoais no condomínio.
  • Empresa de portaria e CFTV — registra entrada e saída de moradores, visitantes e prestadores de serviço; armazena imagens de câmeras; gera logs de acesso por biometria ou facial recognition. Dados sensíveis em alguns casos (imagem, dado biométrico).
  • Empresa de limpeza e portaria terceirizada com acesso a cadastro — quando o porteiro terceirizado opera o sistema de controle de acesso e cadastra visitantes, ele processa dados pessoais mesmo sem ter acesso direto ao banco de dados da administradora.

Há ainda outros fornecedores que acessam dados de maneira menos óbvia:

  • Software de controle de acesso (interfone inteligente, controle veicular, biometria) — fornecedores de hardware e software que armazenam logs de acesso
  • Central de monitoramento remoto — acessa imagens em tempo real e pode visualizar áreas de circulação de moradores
  • Empresa de cobrança de inadimplentes — recebe dados financeiros e de contato de condôminos em débito
  • Plataforma de assembleias virtuais — coleta nome, CPF, e-mail e voto dos condôminos

A distinção que importa: não é o tipo de serviço que define se o fornecedor é operador — é se ele efetivamente acessa, processa ou armazena dados pessoais de moradores no curso da prestação do serviço.

Em condomínios horizontais com mais serviços de vigilância perimetral e controle de entrada de veículos, o número de fornecedores com acesso a dados tende a ser maior do que em verticais de mesmo porte, porque o perímetro a monitorar é mais extenso e envolve mais sistemas integrados.

Fornecedor como operador: o que isso significa na prática

A LGPD distingue dois papéis fundamentais: o controlador (quem decide por que os dados são coletados e como serão usados) e o operador (quem trata os dados por conta e sob as instruções do controlador). No contexto condominial:

  • O condomínio, representado pelo síndico, é o controlador — decide que dados dos moradores são necessários, para quais finalidades e com quem compartilhar.
  • O fornecedor que acessa dados de moradores é o operador — trata os dados a pedido do condomínio, dentro dos limites e finalidades definidos pelo síndico.

O ponto crítico, previsto no art. 42, § 1º da LGPD, é que o controlador responde pelos atos do operador quando causam dano a titulares de dados.[1] Em termos práticos: se a empresa de CFTV vazar as imagens dos moradores, o condomínio pode ser responsabilizado — não só a empresa de CFTV.

Isso não significa que o condomínio não pode contratar fornecedores que acessam dados. Significa que precisa fazê-lo com os cuidados certos: exigir garantias de conformidade e registrá-las no contrato. O art. 46 da LGPD é direto ao exigir que controladores contratem apenas operadores que ofereçam "garantias suficientes de cumprimento das medidas de segurança e de sigilo dos dados pessoais".[1]

A relação de operador existe mesmo sem contrato escrito — se o fornecedor acessa dados de moradores, ele é operador. A diferença é que, sem o contrato com cláusula adequada, o condomínio não tem como demonstrar que cumpriu sua parte e fica mais exposto em caso de incidente.

O que incluir no contrato com fornecedores que acessam dados

A LGPD não exige um contrato específico para a relação controlador-operador, mas exige que o operador ofereça garantias de conformidade. A forma prática de formalizar essas garantias é incluir uma cláusula de proteção de dados no contrato de prestação de serviços — ou assinar um aditivo de proteção de dados a contratos já vigentes.[2]

O que a cláusula de proteção de dados em contratos com fornecedores deve prever, no mínimo:

  • Finalidade do tratamento — quais dados o fornecedor pode acessar e para quais fins exclusivamente (ex.: "imagens das câmeras para fins de segurança e controle de acesso — vedado o uso para outras finalidades")
  • Proibição de uso para fins próprios — o fornecedor não pode usar os dados dos moradores para finalidades próprias, como publicidade ou venda de listas
  • Obrigação de sigilo — o fornecedor e seus funcionários tratam os dados como informação confidencial
  • Medidas de segurança — o fornecedor se compromete a adotar medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, perda ou destruição
  • Minimização de dados — o fornecedor acessa apenas os dados necessários para executar o serviço contratado, e nada além disso
  • Obrigação de notificar incidentes — o fornecedor deve comunicar ao condomínio qualquer incidente de segurança que envolva dados de moradores, com prazo definido (ex.: 48 horas)
  • Eliminação de dados ao término do contrato — ao encerrar a relação, o fornecedor deve devolver ou eliminar os dados de moradores que tiver em sua posse
  • Permissão para auditar — o condomínio pode solicitar evidências de conformidade ao fornecedor (relatórios, certificações, questionários de segurança)

Para limpeza, portaria e CFTV — os três tipos de fornecedor de maior presença nos condomínios —, o ponto crítico é a cláusula de finalidade combinada com a de minimização: o porteiro terceirizado registra visitantes para controlar o acesso, não para criar um banco de dados de contatos dos moradores; a empresa de CFTV armazena imagens para segurança, não para qualquer outra finalidade.

Para contratos já vigentes sem essa cláusula, a abordagem mais prática é um aditivo contratual simples — não é necessário rescindir e refazer o contrato inteiro.

Como verificar se o fornecedor trata dados com segurança

Exigir a cláusula contratual é o primeiro passo — mas a LGPD requer que o operador ofereça "garantias suficientes". Na prática, o síndico pode verificar isso com algumas ações simples antes de fechar o contrato e ao longo da relação comercial.[2]

Checklist do que pedir ao fornecedor antes de compartilhar dados:

  • Política de privacidade pública — o fornecedor tem uma política de privacidade no site? Ela menciona como trata dados de clientes (e dos usuários dos serviços)?
  • Responsável pela proteção de dados (DPO ou ponto de contato LGPD) — quem no fornecedor responde por questões de privacidade? Ter um nome e e-mail de contato é sinal básico de organização
  • Aceite expresso da cláusula de proteção de dados — o fornecedor assina o contrato com a cláusula sem ressalvas? Se resistir à cláusula, isso é sinal relevante
  • Onde os dados ficam armazenados — no servidor do próprio fornecedor? Em nuvem? No Brasil ou no exterior? Transferências internacionais exigem cuidado adicional
  • Quem tem acesso interno aos dados no fornecedor — quantas pessoas dentro da empresa de portaria ou do app têm acesso ao cadastro dos moradores?
  • Histórico de incidentes — o fornecedor já teve vazamento de dados noticiado ou registrado na ANPD? Uma busca rápida no nome da empresa pode revelar histórico relevante

Não é preciso exigir documentação exaustiva de todos os fornecedores — o nível de diligência deve ser proporcional ao volume e sensibilidade dos dados acessados. Para o app de gestão condominial, que processa o maior volume de dados, a verificação deve ser mais cuidadosa do que para um prestador que apenas registra visitantes em papel.

Responsabilidade do condomínio em caso de incidente causado por fornecedor

Se um fornecedor vazar ou perder dados de moradores, a pergunta que síndicos fazem é sempre a mesma: "O condomínio vai ser responsabilizado mesmo não tendo causado o incidente?"

A resposta da LGPD é: depende. O art. 42, § 1º estabelece que o controlador responde pelos danos causados pelo operador, salvo se provar que o operador agiu em desconformidade com as instruções lícitas do controlador.[1]

Em termos práticos, o condomínio pode se eximir de responsabilidade se conseguir demonstrar que:

  1. Contratou o fornecedor exigindo garantias de conformidade (cláusula contratual)
  2. Definiu claramente quais dados poderiam ser acessados e para quais finalidades
  3. O incidente ocorreu porque o fornecedor agiu fora do que foi acordado e autorizado

Sem a cláusula de proteção de dados no contrato, fica difícil demonstrar o ponto 1 e o ponto 2. O condomínio não consegue provar que instruiu o operador adequadamente — e a tendência é de responsabilidade solidária.

O que o condomínio deve fazer se tomar conhecimento de um incidente causado por fornecedor:

  • Notificar a ANPD se o incidente puder "acarretar risco ou dano relevante aos titulares" — o prazo legal é de 72 horas a partir do conhecimento do incidente (art. 48 da LGPD)[1]
  • Comunicar os moradores afetados de forma clara e sem demora injustificada
  • Documentar todas as ações tomadas após o incidente
  • Acionar o fornecedor para apurar o que ocorreu e exigir as medidas corretivas previstas no contrato

A notificação à ANPD não precisa ser alarmista — mas omitir um incidente relevante é pior do que comunicá-lo. A Autoridade Nacional considera positivamente que o controlador agiu de boa-fé e com transparência ao comunicar o incidente voluntariamente.

App de gestão condominial: cuidados especiais

O app de gestão condominial merece atenção específica porque concentra o maior volume de dados pessoais de moradores de forma centralizada: cadastro completo (nome, CPF, e-mail, telefone, número de unidade), histórico de reservas, comunicados, registros de visitantes e, em alguns sistemas, dados financeiros.

Diferentemente da empresa de portaria, cujos funcionários acessam dados de forma presencial e limitada, o fornecedor do app tem acesso técnico remoto ao banco de dados de todos os moradores. Isso cria um nível de exposição diferente.

Pontos que merecem verificação específica ao contratar ou renovar com um app de gestão:

  • Onde ficam os dados armazenados — servidor no Brasil ou no exterior? Em caso de armazenamento no exterior, verificar se o país tem nível adequado de proteção de dados
  • Quem no fornecedor tem acesso ao banco de dados do condomínio — apenas a equipe de suporte técnico? Com log de acesso auditável?
  • O que acontece com os dados ao encerrar o contrato — o condomínio recebe um export completo dos dados? Os dados são eliminados do servidor do fornecedor?
  • Subcontratação — o app usa serviços de terceiros (cloud, analytics, suporte) que também acessam os dados? Esses terceiros estão sujeitos às mesmas obrigações de proteção?

Em caso de troca de fornecedor de app, o condomínio tem o direito de exigir a portabilidade dos dados — o fornecedor anterior deve entregar o histórico em formato utilizável, e deve eliminar os dados após a migração.

Precisa revisar os contratos com fornecedores para adequar à LGPD?

Se os contratos atuais do condomínio não têm cláusula de proteção de dados, ou se houve um incidente que exige análise jurídica, o oHub conecta o condomínio a especialistas em LGPD condominial e consultoria jurídica especializada. Em menos de 3 minutos, sem compromisso.

Encontrar fornecedores de Condomínios no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

O condomínio pode passar dados dos moradores para fornecedores?

Sim, pode — desde que o compartilhamento seja necessário para a execução do serviço contratado e que o contrato com o fornecedor inclua cláusula de proteção de dados. A LGPD não proíbe o compartilhamento com operadores; exige que o controlador (o condomínio) contrate operadores que ofereçam garantias suficientes de segurança e sigilo.

A empresa de CFTV pode ter acesso às gravações dos moradores?

Sim, mas apenas para a finalidade contratada — segurança e controle de acesso. A empresa de CFTV não pode usar as imagens para outras finalidades, compartilhá-las com terceiros ou retê-las após o encerramento do contrato. O contrato deve especificar o prazo de retenção das gravações, quem tem acesso a elas dentro da empresa e o que acontece com o material ao término da relação.

O fornecedor que acessa o cadastro do condomínio é operador?

Sim. Todo fornecedor que acessa, processa ou armazena dados pessoais de moradores no curso da prestação do serviço é operador de dados nos termos do art. 5º, VII da LGPD. Isso inclui o app de gestão, a empresa de portaria que usa sistema de cadastro de visitantes, a central de monitoramento e a plataforma de assembleias virtuais. O que varia é o volume de dados acessados, não a classificação jurídica.

O que acontece se um fornecedor vazar dados de moradores?

O condomínio pode ser responsabilizado solidariamente, a menos que consiga demonstrar que contratou o fornecedor exigindo garantias de conformidade e que o incidente ocorreu porque o fornecedor agiu fora do que foi acordado (art. 42, § 1º da LGPD). Se o incidente puder causar risco ou dano relevante aos moradores, o condomínio tem obrigação de notificar a ANPD em até 72 horas e comunicar os titulares afetados.

O aplicativo de gestão do condomínio precisa de contrato LGPD?

Precisa ter cláusula de proteção de dados — seja no próprio contrato de licença de uso, seja em um aditivo. O app de gestão condominial é o fornecedor com maior volume de dados pessoais de moradores, por isso é o que merece maior diligência: verificar onde os dados ficam armazenados, quem tem acesso técnico ao banco de dados e o que acontece com os dados ao encerrar o contrato.

Fontes e referências

  1. Brasil. Lei 13.709, de 14 de agosto de 2018 (LGPD) — art. 5º, VII; art. 42, § 1º; art. 46; art. 48. Planalto.gov.br.
  2. ANPD — Autoridade Nacional de Proteção de Dados. Guias e Orientações. Gov.br.
  3. SíndicoNet. LGPD em condomínios: o que o síndico precisa saber. SíndicoNet.

Leia também