Com a vigência da Lei Geral de Proteção de Dados (“LGPD”), Lei nº 13.709/2018, a privacidade e a segurança da informação assumiram papel de destaque nas rotinas empresariais.
O uso de ferramentas de monitoramento, como as câmeras de vigilância, é muito comum nas indústrias, comércios e até em consultórios médicos, odontológicos e prestadores de serviços.
O art. 5º, inciso I, da LGPD, conceitua dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. Assim, as imagens coletadas por estas câmeras são consideradas como dados pessoais, na medida em que são capazes de identificar uma pessoa física.
A partir da vigência da LGPD todo e qualquer tratamento de dados para ser lícito deve observar, no mínimo, os seguintes pontos: (i) ter uma base legal que o justifique (arts. 7º e 11); (ii) atender aos princípios da Lei (art. 6º) e (iii) adoção de regras que garantam a segurança da informação (arts. 46 e 47).
Assim, o primeiro desafio é saber em qual base legal o tratamento de dados consubstanciado na captura de imagens por câmeras de segurança se insere. De antemão vale esclarecer que se trata de tema polêmico, que depende do amadurecimento da cultura de privacidade e proteção de dados no cenário nacional, bem como orientações da nossa Autoridade Nacional de Proteção de Dados (ANPD).
As bases legais previstas na LGPD e que mais se adequam à situação são: legítimo interesse (art. 7º, IX) e para proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII). A correta subsunção vai depender da finalidade do tratamento no caso concreto.
A base legal do consentimento (art. 7º, inciso I) deve ser evitada, uma vez que é praticamente impossível colher o consentimento prévio de todos aqueles que serão registrados pelas câmeras. Outrossim, a logística para garantir a revogação do consentimento seria algo de elevada dificuldade para as empresas.
Cumpre mencionar que o uso da base legal do legítimo interesse demanda algumas cautelas: (i) adoção de medidas que garantam a sua transparência; (ii) elaboração do Relatório de Impacto de Proteção de dados pessoais, que poderá ser exigido pela ANPD; (iii) a manutenção do registro das operações de tratamento de dados pessoais pelo controlador e operador; e (iv) garantia do exercício regular dos direitos dos titulares, respeitadas as suas legítimas expectativas e os direitos e liberdades fundamentais.
Ou seja, a vídeo vigilância é legal se for necessária para cumprir o interesse legítimo do responsável pelo tratamento ou de terceiro, a menos que tal interesse seja anulado pelos interesses, direitos e liberdades fundamentais do titular. O legítimo interesse pode ser jurídico, econômico ou imaterial. Este sopesamento somente pode ser feito no caso concreto.
Outra discussão pertinente é se estes dados seriam classificados como sensíveis, ou seja, se se enquadram na hipótese de identificação biométrica (art. 5º, II). Para aferir tal ponto, primeiro é necessário entender o conceito de dado biométrico.
Nesse ponto já existe uma maior margem de segurança jurídica, pois o Decreto nº 10.046/2019 define dados biométricos da seguinte forma: “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar” (art. 2º, II).
Assim, para ser considerado como dado sensível, o tratamento da imagem deve ter como finalidade a identificação de uma pessoa por meio de dados biométricos (digital, formato do rosto, retina etc.). É o caso de câmeras com tecnologia de reconhecimento, muito utilizadas para fins de segurança pública e que são diferentes das câmeras de mera captura de ambiente. Outra situação que pode configurar o tratamento de dados sensíveis são as câmeras instaladas no interior de um hospital que, consequentemente, vão capturar informações relacionadas à saúde dos titulares. Nesses casos, todos os cuidados atinentes ao tratamento de dados sensíveis devem ser tomados.
Na falta de orientações mais concretas da nossa ANPD, podemos nos valer da Diretriz nº 3/2019 da EDPB (European Data Protection Board) sobre o processamento de dados pessoais por meio de dispositivos de vídeo, da qual é possível extrair as seguintes orientações relevantes:
1– As finalidades das câmeras devem ser documentadas e informadas aos titulares dos dados pessoais e não pode haver desvio da finalidade;
2– Antes de instalar um sistema de vídeo vigilância, o controlador deve sempre examinar criticamente se esta medida é a mais adequada para atingir o objetivo desejado e necessária para os seus fins. A câmera de vigilância só deve ser escolhida se a finalidade do processamento não puder ser razoavelmente cumprida por outros meios menos invasivos aos direitos e liberdades fundamentais do titular dos dados;
3– A posição da câmera, modo de armazenamento e os acessos devem ser categoricamente estudados para que a finalidade seja cumprida de modo a afetar o menos possível a privacidade e demais direitos dos titulares;
4– No caso de relações que haja subordinação, como é o caso das relações de emprego, não deve ser utilizada a base do legal do consentimento, uma vez que ele não será concedido livremente. Assim, no seu programa de adequação, não será legítima a inserção do termo de consentimento no contrato de trabalho;
5– Qualquer divulgação das imagens, por qualquer meio que for (ex: sites, e-mail, aplicativos de conversa, redes sociais, para terceiros) apenas é possível desde que amparada por uma base legal e desde que para cumprir a finalidade original. Assim, se um funcionário publica em uma rede social imagens do circuito interno de monitoramento da empresa com a exposição de algum funcionário, há violação da privacidade e proteção de dados, situação esta passível de gerar a responsabilização da empresa;
6- O titular dos dados tem o direito de obter do controlador a confirmação do tratamento dos seus dados pessoais através da vigilância por vídeo. Se nenhum dado for armazenado ou transferido de qualquer forma (ex: apenas há o monitoramento em tempo real, sem armazenamento), o controlador poderá apenas fornecer a informação de que nenhum dado pessoal está sendo tratado. Se, no entanto, os dados ainda estiverem sendo processados (ou seja, quando há armazenamento de dado ou qualquer outra forma de tratamento), o titular dos dados deve receber informações sobre o tratamento realizado com os seus dados.
7 – A construção de aviso do sistema de vigilância deve, no mínimo, observar as seguintes diretrizes: (i) estar posicionado em local de fácil acesso; (ii) não é necessário revelar a posição da câmera, desde que não haja dúvidas sobre quais áreas estão sujeitas ao monitoramento e o contexto da vigilância; (iii) mencionar a finalidade do tratamento; (iv) indicar como o titular pode exercer os seus direitos; e (v) identificação do controlador.
A análise casuística é de suma importância para um diagnóstico mais acurado. A partir de agora, é imprescindível que as empresas dediquem especial atenção ao tratamento de dados através do seu circuito interno de monitoramento, documentando todos os pontos no seu projeto de conformidade, eliminando todos os tratamentos sem base legal, ajustando as posições de suas câmeras etc.
Prova disso é a condenação da Hering pela Senacon (Secretaria Nacional do Consumidor) em razão do uso de tecnologia de reconhecimento facial na sua loja do Shopping Morumbi, em São Paulo, para traçar o perfil dos seus consumidores, sem o consentimento dos titulares. A condenação foi feita com base no Código de Defesa do Consumidor e com a vigência da LGPD tal matéria assume ainda maior criticidade.
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Proteção de Dados (www.silveiralaw.com.br)