LGPD aplicada a condomínios: o essencial

Por que a LGPD se aplica ao condomínio

Uma dúvida comum entre síndicos é: "A LGPD não é coisa de empresa grande? Por que se aplicaria ao nosso condomínio?"

A resposta está no art. 1º da própria lei: a LGPD "dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade". O art. 5º define dado pessoal como "informação relacionada a pessoa natural identificada ou identificável".^[1]

Condomínios tratam dados pessoais todos os dias. Nome do morador, CPF, número da unidade, placa do veículo, imagem captada pelo CFTV, contato de telefone — todos são dados pessoais. Não existe exceção na lei para condomínios residenciais.

A ANPD (Autoridade Nacional de Proteção de Dados), órgão federal responsável por fiscalizar o cumprimento da LGPD no Brasil, já confirmou em publicações e orientações que a lei abrange condomínios. O portal oficial da ANPD em https://www.gov.br/anpd/pt-br reúne guias e notas de orientação acessíveis ao público.^[2]

O ponto de partida, portanto, não é discutir se a lei se aplica — ela se aplica. O ponto de partida é entender o que isso significa para o trabalho do síndico no dia a dia.

Quais dados o condomínio trata

Para saber onde começar, é preciso mapear quais dados pessoais o condomínio efetivamente coleta e usa. Na maioria dos condomínios, o tratamento envolve pelo menos as seguintes categorias:

• Cadastro de moradores e proprietários: nome completo, CPF, RG, data de nascimento, contato, número de unidade, relação com o imóvel (proprietário, locatário, familiar)
• Dados de acesso e visitas: registro de entrada e saída de moradores, funcionários e visitantes; placa de veículos; nome e documento de visitantes na portaria
• Imagens de CFTV: gravações das câmeras de segurança instaladas em áreas comuns — hall de entrada, garagem, corredores, salão de festas
• Dados financeiros: informações de pagamento de cota condominial, situação de inadimplência, dados bancários para cobrança
• Dados de funcionários: nome, CPF, dados de contrato, informações de saúde quando aplicável (como atestados médicos)
• Comunicações digitais: grupos de WhatsApp de moradores ou funcionários gerenciados pelo síndico ou pela administradora; e-mails com dados de condôminos
• Atas de assembleias: documentos que registram manifestações, votos e informações pessoais de condôminos presentes

Em condomínios horizontais, o tratamento de dados de acessos veiculares e de rondas externas tem as mesmas exigências de finalidade e minimização da lei — mesmo que o volume de câmeras e registros seja diferente do modelo vertical.

Esse mapeamento — saber o que se trata, onde está armazenado e quem tem acesso — é o ponto de partida de qualquer processo de conformidade com a LGPD. Não é necessário ter um sistema sofisticado para começar: uma planilha com as categorias de dados e os responsáveis por cada uma já é um avanço significativo.

O síndico como controlador de dados: o que isso significa na prática

A LGPD distingue dois papéis centrais no tratamento de dados: o controlador e o operador.^[1]

O controlador é quem "a quem competem as decisões referentes ao tratamento de dados pessoais" (art. 5º, VI). O operador é quem "realiza o tratamento de dados pessoais em nome do controlador" (art. 5º, VII).

No contexto condominial:

• O condomínio — representado pelo síndico — é o controlador. É ele quem decide quais dados coletar, para que finalidade e por quanto tempo manter.
• A administradora contratada pelo condomínio atua como operadora: processa os dados (folha de pagamento, cobrança, emissão de boletos) em nome do condomínio e sob suas instruções.
• Fornecedores de sistemas de CFTV, apps condominiais ou controle de acesso também operam como operadores quando processam dados que pertencem ao condomínio.

O que isso significa na prática para o síndico?

1. A responsabilidade pela conformidade é do condomínio. Se houver uma violação de dados — um vazamento do cadastro de moradores, por exemplo — a responsabilidade primária recai sobre o controlador, ou seja, o condomínio.
2. Contratos com operadores devem ter cláusulas de proteção de dados. Ao contratar ou renovar o contrato com a administradora, é recomendável incluir cláusulas que estabeleçam as obrigações da empresa em relação ao tratamento de dados dos moradores.
3. O síndico não precisa ser advogado ou especialista em TI para dar os primeiros passos. Mas precisa conhecer o básico da lei e garantir que os processos de tratamento de dados sejam adequados.

Uma dúvida frequente: o síndico pode ser responsabilizado pessoalmente? A LGPD prevê sanções para o controlador — o condomínio como pessoa jurídica. A responsabilidade pessoal do síndico depende do que está previsto na convenção e de eventual ação judicial, mas em geral a conformidade com a lei protege o gestor de acusações de negligência.

Os princípios da LGPD mais importantes para o síndico

A LGPD estabelece dez princípios que devem orientar qualquer tratamento de dados pessoais (art. 6º). Cinco deles têm aplicação direta no cotidiano de um condomínio:^[1]

1. Finalidade: os dados só podem ser coletados para fins determinados, legítimos e informados ao titular. Na prática: o cadastro do morador existe para gestão condominial — não pode ser usado para fins comerciais, cedido a terceiros ou compartilhado sem justificativa. A lista de inadimplentes, por exemplo, só pode circular no contexto estritamente necessário à cobrança.
2. Necessidade (minimização): só coletar os dados estritamente necessários para a finalidade. Se para registrar uma visita basta nome e documento, não há por que exigir data de nascimento e endereço. A planilha de moradores não precisa ter informações de saúde que não sejam relevantes para a gestão.
3. Transparência: os moradores têm direito de saber quais dados o condomínio trata, com que finalidade e quem tem acesso. Uma política de privacidade simples, disponibilizada na área comum ou no app condominial, já cumpre esse requisito de forma adequada para a maior parte dos condomínios.
4. Segurança: o condomínio deve adotar medidas para proteger os dados de acessos não autorizados, vazamentos ou perdas. Isso inclui: proteger o acesso ao sistema de gestão com senha individual, não compartilhar credenciais, garantir que o cadastro de moradores não esteja em pasta aberta de servidor compartilhado sem controle de acesso.
5. Não discriminação: os dados não podem ser usados para tratamento discriminatório ilícito. Um caso concreto: a lista de inadimplentes não pode ser exposta em local público do condomínio — a inadimplência é um dado financeiro sensível e sua exposição indiscriminada viola tanto a LGPD quanto o Código Civil.

Bases legais para o tratamento de dados no condomínio

A LGPD exige que todo tratamento de dados pessoais tenha uma base legal — ou seja, uma justificativa prevista em lei que autorize o tratamento. O art. 7º lista as hipóteses. Para condomínios, as mais relevantes são:^[1]

Saber qual base legal justifica cada tratamento de dados é importante porque, se houver questionamento de um morador ou fiscalização da ANPD, o condomínio precisa ser capaz de explicar o fundamento jurídico do que faz com os dados que coleta.

O que a ANPD pode fazer em caso de descumprimento

O art. 52 da LGPD estabelece as sanções aplicáveis em caso de infração. As sanções são graduadas conforme a gravidade, a boa-fé do controlador e a cooperação com a ANPD. As categorias previstas em lei incluem:^[1]

• Advertência, com prazo para adoção de medidas corretivas
• Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
• Multa diária
• Publicização da infração
• Bloqueio ou eliminação dos dados pessoais envolvidos na infração

Dois pontos importantes de contextualização. Primeiro: a ANPD opera com critério de proporcionalidade — uma advertência com prazo para correção é a resposta mais provável a um condomínio que não tem política de privacidade ou que cometeu uma falha sem má-fé. A multa máxima é destinada a casos de infração grave, reincidente ou com dano significativo a titulares. Segundo: o risco mais imediato para um condomínio não é a multa da ANPD, mas a ação judicial movida por um morador cujos dados foram expostos, compartilhados indevidamente ou usados sem base legal.

A conformidade com a LGPD, nesse sentido, é uma proteção do síndico e do condomínio — não uma obrigação burocrática abstrata.

Por onde começar a conformidade

Conformidade com a LGPD não exige que o condomínio contrate um escritório de advocacia no primeiro mês. Há passos práticos que qualquer síndico pode dar sem custo imediato:

1. Mapeie os dados que o condomínio trata. Liste as categorias de dados coletados, onde estão armazenados, quem tem acesso e para qual finalidade são usados. Uma planilha simples com essas colunas já é um inventário de dados inicial.
2. Revise o acesso ao sistema de gestão e ao cadastro de moradores. Cada pessoa que acessa o sistema — síndico, subsíndico, funcionário da portaria — deve ter credencial individual. Não compartilhar senhas. Quando um funcionário sai, revogar o acesso imediatamente.
3. Verifique os contratos com a administradora e com fornecedores de tecnologia. Inclua ou solicite cláusulas que estabeleçam a responsabilidade desses operadores no tratamento de dados pessoais de moradores e funcionários.
4. Informe os moradores sobre o CFTV. Aviso visível nas áreas monitoradas (hall, garagem, corredores) com a informação de que há câmeras em operação e qual é a finalidade — segurança das áreas comuns. Isso cumpre o princípio da transparência sem burocracia.
5. Não publique dados pessoais sem necessidade. Lista de inadimplentes não vai para o mural. Cadastro de moradores não circula em grupo de WhatsApp. Ata da assembleia com dados de condôminos não é enviada para e-mails fora do condomínio.
6. Tenha um ponto de contato para solicitações de moradores. A LGPD garante ao titular o direito de saber quais dados o condomínio tem sobre ele, de solicitar correção ou exclusão. O síndico — ou o e-mail oficial do condomínio — é o canal natural para receber essas solicitações.

Esses seis passos não encerram a conformidade, mas reduzem significativamente o risco de incidentes e demonstram boa-fé diante de qualquer questionamento futuro.