Legislação

Lei Geral de Proteção de Dados – LGPD e o Setor de Elevadores

A Lei Geral de Proteção de Dados nº 13.709/2018, que ficou também conhecida pela sigla LGPD, trouxe ao ordenamento jurídico brasileiro uma nova perspectiva sobre a forma como pessoas físicas e jurídicas devem lidar com informações pessoais. Mais do que uma obrigação legal, a LGPD representa uma mudança de paradigma cultural, impondo a necessidade de governança, transparência e responsabilidade no tratamento de dados.

No setor de elevadores, esse tema assume relevância estratégica: além de tratar dados pessoais de colaboradores, fabricantes, empresas de manutenção, modernização e instalação de elevadores, lidam com dados de terceiros, fornecedores, prestadores de serviços e, principalmente, de seus clientes: condomínios residenciais, comerciais, síndicos, moradores, visitantes, empreendimentos etc.

A proteção de dados, portanto, deixa de ser um tema restrito ao mundo digital e passa a integrar o cotidiano operacional e contratual também do setor de elevadores, exigindo governança, transparência e responsabilidade no tratamento de informações pessoais.

A LGPD estrutura-se sobre alguns conceitos essenciais que precisam ser compreendidos pelos empresários do setor:

  • Dado pessoal: qualquer informação que identifique ou possa identificar uma pessoa natural, como nome completo, CPF, endereço residencial ou eletrônico, telefone, dados de localização, placas de veículo, número do IP, histórico de compras, entre outros.
  • Dado pessoal sensível: categoria especial que inclui dados que estejam relacionados à características da personalidade do indivíduo e suas escolhas pessoais: informações biométricas (impressões digitais, reconhecimento facial), dados de saúde, convicções religiosas, origem racial ou étnica, entre outros.
  • Titular dos dados: pessoa a quem se referem os dados pessoais que são objeto de algum tratamento, ex.: colaborador, visitante, cliente, síndico etc.
  • Tratamento dos dados: toda a operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, arquivamento, armazenamento, eliminação, edição, controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Trata-se de uma das hipóteses, pois pode ter outro motivo que autoriza o tratamento de dados.
  • Controlador: pessoa ou empresa que decide “as decisões referentes ao tratamento de dados pessoais” (ex.: uma empresa de manutenção de elevadores sobre os dados de seus próprios colaboradores, ou um condomínio sobre os dados de moradores e visitantes).
  • Operador: pessoa ou empresa que realiza o tratamento “em nome do controlador” (ex.: empresa de manutenção de elevadores contratada, empresa terceirizada que processa dados sob as ordens do controlador, como uma administradora de condomínio que acessa registros para fornecer informações).
  • Encarregado pelo tratamento de dados pessoais: pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre estes, os titulares e a Autoridade Nacional de Proteção de Dados – ANPD.

Essas definições e os seus respectivos papéis são fundamentais para delimitar a responsabilidade jurídica em caso de incidentes, sendo comum que uma empresa atue simultaneamente como controladora e como operadora em diferentes situações. Por exemplo, a empresa de manutenção de elevadores é controladora dos dados de seus próprios colaboradores e fornecedores (decidindo como tratá-los), mas muitas vezes atua como operadora em relação aos dados que recebe de seus clientes.

O Tratamento de Dados no setor de elevadores envolve diferentes contextos operacionais:

  1. Ambiente interno: colaboradores

As empresas lidam diariamente com um volume significativo de informações pessoais de seus colaboradores, como:

  • Dados cadastrais (nome, CPF, endereço, telefone, dados bancários etc.)
  • Dados sensíveis (atestados médicos, exames admissionais e periódicos, informações de saúde ocupacional, entre outros).
  • Registros de ponto eletrônico e controle de acesso ao ambiente de trabalho.

A LGPD exige que essas informações sejam coletadas e armazenadas apenas para finalidades legítimas, (ex.: cumprimento de contratos de trabalho e obrigações legais) e sejam tratados com segurança e transparência. Vazamentos ou uso indevido desses dados podem gerar responsabilização trabalhista, cível e administrativa.

  1. Relação com terceiros e fornecedores:

Ao contratar prestadores de serviços e/ou fornecedores (ex.: empresa de instalação/montagem, fornecedores de peças/componentes, entre outros serviços terceirizados/especializados) a empresa de elevador compartilha dados pessoais e corporativos. Para tanto, é indispensável que os contratos incorporem cláusulas específicas de proteção de dados, assegurando confidencialidade e a obrigação de adoção de medidas técnicas adequadas, controle de acesso e procedimento de segurança. O controlador deve orientar o operador (prestador e/ou fornecedor) a seguir as regras da LGPD, exigir comunicação imediata de incidentes e cooperar no atendimento aos direitos dos titulares.

A formalização contratual é crucial: sem ela, não há clareza sobre quais obrigações o operador deve cumprir nem sobre os deveres de cada parte em relação à segurança da informação. Recomenda-se que seja previsto no contrato, por exemplo, cláusulas sobre conformidade, segurança da informação da guarda dos dados, inutilização segura, bem como a cooperação para atender pedidos de titulares e comunicar incidentes. Vale ressaltar que, em caso de descumprimento pelo operador (contratada), poderá ser responsabilizado solidariamente pelos danos causados, com o controlador dos dados (contratante).

III. Clientes:

Como sabemos na prestação de serviços de manutenção de elevadores e demais serviços do setor, a empresa pode ter acesso a dados pessoais diversificados, tais como:

  • Dados de síndicos e administradores.
  • Relatórios técnicos com informações de segurança e imagens.
  • Registros digitais de manutenção, mensagens trocadas por aplicativos.
  • Sistemas de monitoramento integrados (câmeras, registros digitais de acesso, entre outros). Esse é um ponto crítico, pois, se esses dados pessoais forem usados de forma inadequada ou compartilhados sem autorização, a empresa de elevadores poderá responder solidariamente com o cliente, pois, atuando a empresa como operadora dos dados (contratada) pode ser responsabilizada pelas obrigações do controlador (cliente/contratante) do qual depende para condução dos serviços.

Por isso, é fundamental que o contrato estabeleça cláusulas claras, nos termos mencionados acima e garantam que ambos (contratada e contratante) estejam em conformidade com a LGPD.

  1. Base Legal e Responsabilidade

Todo tratamento de dados deve sempre estar amparado em uma das bases legais previstas na LGPD. No setor de elevadores, as mais comuns são:

  • Execução de contrato: coleta e uso de dados necessários para a prestação dos serviços de manutenção, modernização, instalação de elevadores etc. (ex.: dados cadastrais do cliente, histórico do equipamento (técnico, operacional etc.).
  • Cumprimento de obrigação legal a exemplo dos dados dos seus colaboradores: (fornecimento de informações a órgãos públicos e autoridades competentes).
  • Legítimo interesse: medidas de segurança e monitoramento.
  • Consentimento: quando o tratamento não se enquadra em outra hipótese legal, pode-se exigir o consentimento do titular dos dados.

Em qualquer caso acima, a responsabilidade pelo tratamento é objetiva, ou seja, em caso de vazamento ou incidente, a empresa poderá ser responsabilizada a indenizar os prejuízos dos titulares, salvo se comprovar que não deu causa ao dano ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

  1. Governança, Boas Práticas e Compliance

Para reduzir riscos, as empresas do setor devem adotar medidas de governança em proteção de dados, tais como:

  • Mapeamento do ciclo de vida dos dados: Identificar e documentar todos os fluxos de tratamento (desde a coleta até a eliminação), incluindo dados internos e externos (dados fornecidos pelos clientes).
  • Elaboração de políticas internas de privacidade e segurança da informação: Criar políticas claras de proteção de dados e formalizar cláusula de LGPD em todos os contratos com clientes, fornecedores e prestadores de serviços, bem como, procedimentos de confidencialidade, definição de tempo de retenção e destruição segura dos dados, além de autorizar auditorias de conformidade.
  • Medidas Técnicas e Organizacionais: Implantar controles de segurança da informação proporcionais ao porte e risco do negócio, por exemplo, controle de acesso às áreas técnicas, firewalls e antivírus atualizados. A LGPD exige “medidas técnicas e administrativas qualificadas” para proteger dados contra acesso não autorizado, destruição ou vazamento.
  • Treinamento e Conscientização: Capacitar todos os colaboradores e parceiros sobre os princípios da LGPD e as práticas internas (como uso de dados e resposta a incidentes). Documentos como manuais e checklists de segurança ajudam a criar cultura de proteção de dados dentro da empresa.
  • Incidentes e Notificação: Estabelecer um plano de resposta a incidentes com procedimentos claros para investigação e comunicação. Em caso de vazamento relevante, o controlador deve comunicar a ANPD em até 03 (três) dias úteis e notificar os titulares afetados, detalhando as causas e providências.
  • Encarregado interno ou DPO (Data Protection Officer): Esse profissional deve monitorar a adequação às normas, atender titulares e servir de ponte com a ANPD, com o objetivo de auxiliar a empresa a proteger os dados pessoais e evitar sanções.
  • Rever e adequar contratos com clientes e fornecedores: Oportunidade para revisitar o contrato estabelecendo as obrigações exigidas e responsabilidades de cada parte envolvida.

Tais práticas não apenas evitam sanções, mas agregam valor à imagem institucional, demonstrando seriedade e confiança aos clientes e investidores, funcionando como diferencial de gestão eficiente, proporcionando maior transparência no mercado e fortalecendo a governança corporativa do setor.

  1. Implicações

Deixar de cumprir à LGPD poderá implicar em sérias consequências:

  • Sanções administrativas aplicadas pela ANPD: advertências, multas de até 2% (dois por cento) do faturamento limitado a R$ 50 (cinquenta) milhões por infração, bem como, publicização da infração, bloqueio ou eliminação de dados e suspensão parcial do funcionamento de banco de dados a que se refere a infração etc.
  • Responsabilidade civil: indenizações por danos morais e materiais dos titulares lesados.
  • Perda de contratos e credibilidade: rescisão contratual e pagamento de multas, além de danos à imagem.
  1. Benefícios

Cumprir a Lei Geral de Proteção de Dados – LGPD não deve ser visto apenas como um dever legal, mas como um diferencial competitivo. Empresas do setor de elevadores que se mostram comprometidas com a proteção de dados geram maior confiança dos colaboradores, clientes, reputação preservada e vantagem em licitações e contratos públicos.

Ao demonstrar esse compromisso a empresa fortalece seu valor de marca e pode negociar melhores condições. A transparência exigida pela LGPD garante aos usuários informação clara sobre o uso de seus dados, o que contribui para a credibilidade das prestadoras de serviço.

Além disso, ao atender os princípios da LGPD (como prevenção e responsabilidade), a empresa reduz a probabilidade de incidentes e a exposição financeira a multas ou indenizações inesperadas.

Como sabemos, o setor de elevadores é estratégico na vida urbana moderna e lida diariamente com dados que, se não administrados adequadamente, podem gerar sérios riscos. A LGPD impõe a necessidade de gestão da informação, transformando o cuidado com dados em um ativo valioso para empresas que buscam solidez, segurança e competitividade, além de construir confiança e diferenciação no mercado.

Empresas que incorporam a proteção de dados em sua cultura organizacional demonstram maturidade, responsabilidade e visão de futuro, valores indispensáveis para um setor que lida com vidas, segurança e inovação tecnológica.

SOBRE A AUTORA

Andrea Faber é advogada atuante em Direito Empresarial em todo o país. Com mais de 20 anos de experiência no setor de elevadores, é especializada nas áreas: Contratual, Condominial, Trabalhista, Cível, Consumidor, Compliance, além de atuação estratégica na condução de acidentes/incidentes, normas técnicas e legislações do setor e afins. Atua como advogada e consultora jurídica empresarial. @andreafaber.advogada

Artigo anterior
Responsabilidade Civil: Como a Justiça Brasileira enxerga acidentes com elevadores
Próximo artigo
O Elevador do Bom Jesus do Monte em Braga, Portugal

POSTS RELACIONADOS

ÚLTIMA EDIÇÃO REVISTA

spot_img

ÚLTIMAS MATÉRIAS

Carregar mais