Com a vigência da Lei Geral de Proteção de Dados
(“LGPD”), Lei nº 13.709/2018, a privacidade e a segurança da informação
assumiram papel de destaque nas rotinas empresariais.
O uso de ferramentas de monitoramento, como as
câmeras de vigilância, é muito comum nas empresas, comércio e até em
consultórios médicos, odontológicos e escritórios prestadores de serviços.
O art 5º, inciso I, da LGPD conceitua dado pessoal
como “informação relacionada a pessoa natural identificada ou identificável”.
Assim, as imagens coletadas por estas câmeras são consideradas como dados
pessoais, na medida que são capazes de identificar uma pessoa física.
A partir da vigência da LGPD todo e qualquer
tratamento de dados para ser lícito deve observar, no mínimo, os seguintes
pontos: (i) – ter uma base legal que o justifique (arts. 7º e 11); (ii) –
atender os princípios da Lei (art. 6º) e (iii) – adoção de regras que garantam
a segurança da informação (arts. 46 e 47).
Assim, o primeiro desafio é saber em qual base
legal o tratamento de dados através da captura de imagens por câmeras de
segurança se insere. De antemão vale esclarecer que se trata de tema polêmico,
que depende do amadurecimento da cultura de privacidade e proteção de dados no
cenário nacional, bem como orientações da nossa Autoridade Nacional de Proteção
de Dados (ANPD).
As bases legais previstas na LGPD e que mais se
adequam à situação são: legítimo interesse (art. 7º, IX) e para proteção da
vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII). A
correta subsunção vai depender da finalidade do tratamento no caso concreto.
A base legal do consentimento (art. 7º, inciso I)
deve ser evitada, uma vez que é praticamente impossível colher o consentimento
prévio de todos aqueles que serão registrados pelas câmeras. Outrossim, a
logística para garantir a revogação do consentimento seria algo de elevada
dificuldade para as empresas.
Cumpre mencionar que o uso da base legal do
legítimo interesse demanda algumas cautelas: (i) adoção de medidas que garantam
a sua transparência, (ii) elaboração do Relatório de Impacto de Proteção de dados
pessoais, que poderá ser exigido pela ANPD, (iii) a manutenção do registro das
operações de tratamento de dados pessoais pelo controlados e operador (i) –
garantia do exercício regular dos direitos dos titulares, respeitadas as suas
legítimas expectativas e os direitos e liberdades fundamentais.
Ou seja, a vídeo vigilância é legal se for
necessária para cumprir o interesse legítimo do responsável pelo tratamento ou
de terceiro, a menos que tal interesse seja anulados pelos interesses, direitos
e liberdades fundamentais do titular. O legítimo interesse pode ser jurídico,
econômico ou imaterial. Este sopesamento somente pode ser feito no caso
concreto.
Outra discussão que se coloca é se estes dados
seriam classificados como sensíveis, ou seja, se se enquadram na hipótese de
identificação biométrica (art. 5º, II). Para aferir tal ponto, primeiro é
necessário entender o conceito de dado biométrico.
Nesse ponto já temos uma maior margem de segurança
jurídica, pois o Decreto nº 10.046/2019, define dados biométricos nos seguintes
termos: “características biológicas e comportamentais mensuráveis da pessoa
natural que podem ser coletadas para reconhecimento automatizado, tais como a palma
da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face,
a voz e a maneira de andar” (art. 2º, II, )
Assim, para ser considerado como dado sensível o
tratamento da imagem deve ter como finalidade de identificação por uma pessoa
por meio de dados biométricos (digital, formato do rosto, retina etc). É o caso
de câmeras com tecnologia de reconhecimento, muito utilizadas para fins de
segurança pública e que são diferentes das câmeras de mera captura de ambiente.
Outra situação que pode configurar o tratamento de dados sensíveis são as
câmeras instaladas no interior de um hospital que, consequentemente, vão
capturar informações relacionadas à saúde dos titulares. Nesses casos, todos os
cuidados atinentes ao tratamento de dados sensíveis devem ser tomados.
Na falta de orientações mais concretas da nossa
ANPD, podemos nos valer da Diretriz nº 3/2019 da EDPB – European Data
Protection Board sobre o processamento de dados pessoais por meio de
dispositivos de vídeo, da qual podemos extrair as seguintes orientações de
grande importância:
1- As finalidades das câmeras devem ser documentadas
e informadas aos titulares dos dados pessoais e não pode haver desvio da
finalidade;
2- Antes de instalar um sistema de vídeo vigilância,
o controlador deve sempre examinar criticamente se esta medida é a mais
adequada para atingir o objetivo desejado e necessária para os seus fins. A
câmera de vigilância só deve ser escolhida se a finalidade do processamento não
puder ser razoavelmente cumprida por outros meios menos invasivos aos direitos
e liberdades fundamentais do titular dos dados;
3- A posição da câmera, modo de armazenamento e os
acessos devem ser categoricamente estudados para que a finalidade seja cumprida
de modo a afetar o menos possível a privacidade e demais direitos dos
titulares;
4- No caso de relações que haja subordinação, como é
o caso das relações de emprego, não deve ser utilizada a base do legal do
consentimento, uma vez que ele não será concedido livremente. Assim, no seu
programa de adequação, não será legítimo a inserção do termo de consentimento
no contrato de trabalho;
5- Qualquer divulgação das imagens, por qualquer
meio que for (ex: sites, e-mail, aplicativos de conversa, redes sociais, para
terceiros) apenas é possível amparado por uma base legal e desde que para
cumprir a finalidade original. Assim, se um funcionário publica em uma rede
social imagens do circuito interno de monitoramento da empresa com a exposição
de algum funcionário, há violação da privacidade e proteção de dados passíveis
de gerar a responsabilização da empresa;
6- O titular dos dados tem o direito de obter do
controlador a confirmação do tratamento dos seus dados pessoais através da
vigilância por vídeo. Se nenhum dado for armazenado ou transferido de qualquer
forma (ex: apenas há o monitoramento em tempo real, sem armazenamento), o
controlador poderá apenas fornecer a informação de que nenhum dado pessoal está
sendo tratado. Se, no entanto, os dados ainda estiverem sendo processados (ou
seja, quando há armazenamento de dado ou qualquer outra forma de tratamento), o
titular dos dados deve receber informações sobre o tratamento realizado com os
seus dados.
7 – A construção de aviso do sistema de vigilância
deve, no mínimo, observar as seguintes diretrizes: (i) – estar posicionado em
local de fácil acesso; (ii) - não é necessário revelar a posição da câmera,
desde que não haja dúvidas sobre quais áreas estão sujeitas ao monitoramento e
o contexto da vigilância; (iii) – mencionar a finalidade do tratamento, (iv) –
indicar como o titular pode exercer os seus direitos; (v) – identificação do
controlador.
A análise casuística é de suma importância para um
diagnóstico mais acurado. A partir de agora, é imprescindível que as empresas
dediquem especial atenção ao tratamento de dados através do seu circuito interno
de monitoramento, documentando todos os pontos no seu projeto de conformidade,
eliminando todos os tratamentos sem base legal, ajustando as posições de suas
câmeras etc.
Prova disso é a condenação da Hering pela Senacon
(Secretaria Nacional do Consumidor) em razão do uso de tecnologia de
reconhecimento facial na sua loja do Shopping Morumbi, em São Paulo, sem o
consentimento dos titulares, para traçar o perfil dos seus consumidores. A
condenação foi feita com base no Código de Defesa do Consumidor e com a
vigência da LGPD tal matéria assume ainda maior criticidade.
Juliana Callado Gonçales - sócia do Silveira
Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
