A entrada em vigência da Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, ou simplesmente LGPD, trouxe a necessidade de adequação não apenas das rotinas corporativas, mas também na estrutura física das empresas.
As câmeras de vigilância instaladas pelas empresas em suas dependências realizam o monitoramento do ambiente e, por consequência, coletam imagens de indivíduos. Considerando que essas imagens consistem em informações relacionadas a uma pessoa natural e são capazes de identificá-la, de acordo com a LGPD, caracterizam dados pessoais.
Nesse sentido, é importante que as empresas tenham finalidades legítimas que justifiquem a necessidade da coleta de imagens pelas suas câmeras de vigilância e que sejam transparentes com os titulares (pessoas a quem se referem os dados pessoais) em relação à finalidade do uso dessas imagens, com o objetivo de respeitar os direitos e liberdades dos titulares cujos dados serão tratados. Dessa forma, com base nas finalidades estabelecidas e comunicadas, devem identificar qual a hipótese adequada, ou seja, qual dispositivo da LGPD que fundamentará esse tratamento de dados.
Apesar de o assunto ainda estar pendente de regulamentação efetiva pela Autoridade Nacional de Proteção de Dados (ANPD), vislumbram-se três hipóteses de tratamento que seriam aplicáveis ao monitoramento através de câmeras de vigilância, cabendo a cada empresa identificar aquela que mais se adequa à sua realidade:
1. Legítimo Interesse (art. 7º, IX, LGPD)
Entende-se possível a realização do tratamento de imagens capturadas pelas câmeras de vigilância com base no legítimo interesse quando, por exemplo, a empresa realiza o monitoramento para proteger o seu patrimônio e/ou os bens do próprio titular, como o veículo ou outros pertences que este mantém ou possa manter nas dependências da empresa. Todavia, nesse caso, alguns pontos devem ser observados.
Primeiramente, o legítimo interesse não pode ser a hipótese legal quando a operação envolve dados pessoais sensíveis, como dados biométricos. Portanto, caso as câmeras utilizadas para o monitoramento sejam capazes de realizar reconhecimento facial, deve-se procurar outra base legal para o tratamento.
Recomenda-se também que a empresa desenvolva um “Relatório de Impacto de Proteção de Dados Pessoais”, documento que reporta os processos de tratamento de dados pessoais realizados, bem como medidas, salvaguardas e mecanismos de mitigação de risco adotados, o qual pode ser exigido pela ANPD, nos termos do art. 10º, § 3º, da LGPD.
2. Proteção da vida ou da incolumidade física do titular ou de terceiro (art. 11, II, ‘a’, LGPD)
A hipótese da proteção da vida ou da incolumidade física pode ser uma alternativa quando o próprio sistema de monitoramento for essencial para a proteção da vida ou incolumidade física do titular ou de terceiro, devendo a situação de perigo estar vinculada às características do ambiente monitorado ou às circunstâncias em que o indivíduo que nele se encontra.
Por exemplo, algumas empresas têm desenvolvido mecanismos de monitoramento para viagens requisitadas via aplicativo, o que, em tese, traria mais segurança à integridade física tanto dos usuários como dos motoristas.
Todavia, exatamente pelo fato de essa hipótese ser especificamente direcionada à proteção e segurança do titular, o tratamento realizado deve ser voltado ao que é estritamente necessário para alcançar esse objetivo, o que demandará da empresa um entendimento claro sobre suas rotinas e salvaguardas técnicas, a fim de se evitar um desvio de finalidade e eventual sanção judicial ou administrativa.
3. Garantia de prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (art. 11, II, ‘g’, LGPD)
Entende-se que essa hipótese é cabível quando o sistema de monitoramento for uma ferramenta eficaz na prevenção a fraudes, em que a identificação adequada e eficiente do titular é necessária para sua própria segurança, podendo ser uma opção viável para o controle das empresas em relação ao registro de entradas em suas portarias.
Independentemente da hipótese de tratamento escolhida, as empresas devem analisar a necessidade e razoabilidade do monitoramento, buscando, quando possível, formas menos invasivas à privacidade do titular e que poderiam atingir as mesmas finalidades.
Por fim, além da adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais, recomenda-se que as empresas disponibilizem informações claras, precisas e acessíveis sobre o tratamento realizado. Afinal, na era da informação, os titulares de dados pessoais provavelmente não mais se contentarão com um simples “sorria, você está sendo filmado”.