A entrada em vigência da Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, ou simplesmente LGPD, trouxe a necessidade de adequação não apenas das rotinas corporativas, mas também na estrutura física das empresas.

As câmeras de vigilância instaladas pelas empresas em suas dependências realizam o monitoramento do ambiente e, por consequência, coletam imagens de indivíduos. Considerando que essas imagens consistem em informações relacionadas a uma pessoa natural e são capazes de identificá-la, de acordo com a LGPD, caracterizam dados pessoais.

Nesse sentido, é importante que as empresas tenham finalidades legítimas que justifiquem a necessidade da coleta de imagens pelas suas câmeras de vigilância e que sejam transparentes com os titulares (pessoas a quem se referem os dados pessoais) em relação à finalidade do uso dessas imagens, com o objetivo de respeitar os direitos e liberdades dos titulares cujos dados serão tratados. Dessa forma, com base nas finalidades estabelecidas e comunicadas, devem identificar qual a hipótese adequada, ou seja, qual dispositivo da LGPD que fundamentará esse tratamento de dados.

Apesar de o assunto ainda estar pendente de regulamentação efetiva pela Autoridade Nacional de Proteção de Dados (ANPD), vislumbram-se três hipóteses de tratamento que seriam aplicáveis ao monitoramento através de câmeras de vigilância, cabendo a cada empresa identificar aquela que mais se adequa à sua realidade:

 

 1. Legítimo Interesse (art. 7º, IX, LGPD)

Entende-se possível a realização do tratamento de imagens capturadas pelas câmeras de vigilância com base no legítimo interesse quando, por exemplo, a empresa realiza o monitoramento para proteger o seu patrimônio e/ou os bens do próprio titular, como o veículo ou outros pertences que este mantém ou possa manter nas dependências da empresa. Todavia, nesse caso, alguns pontos devem ser observados.

Primeiramente, o legítimo interesse não pode ser a hipótese legal quando a operação envolve dados pessoais sensíveis, como dados biométricos. Portanto, caso as câmeras utilizadas para o monitoramento sejam capazes de realizar reconhecimento facial, deve-se procurar outra base legal para o tratamento.

Recomenda-se também que a empresa desenvolva um “Relatório de Impacto de Proteção de Dados Pessoais”, documento que reporta os processos de tratamento de dados pessoais realizados, bem como medidas, salvaguardas e mecanismos de mitigação de risco adotados, o qual pode ser exigido pela ANPD, nos termos do art. 10º, § 3º, da LGPD.

 

2. Proteção da vida ou da incolumidade física do titular ou de terceiro (art. 11, II, ‘a’, LGPD)

A hipótese da proteção da vida ou da incolumidade física pode ser uma alternativa quando o próprio sistema de monitoramento for essencial para a proteção da vida ou incolumidade física do titular ou de terceiro, devendo a situação de perigo estar vinculada às características do ambiente monitorado ou às circunstâncias em que o indivíduo que nele se encontra.

Por exemplo, algumas empresas têm desenvolvido mecanismos de monitoramento para viagens requisitadas via aplicativo, o que, em tese, traria mais segurança à integridade física tanto dos usuários como dos motoristas.

Todavia, exatamente pelo fato de essa hipótese ser especificamente direcionada à proteção e segurança do titular, o tratamento realizado deve ser voltado ao que é estritamente necessário para alcançar esse objetivo, o que demandará da empresa um entendimento claro sobre suas rotinas e salvaguardas técnicas, a fim de se evitar um desvio de finalidade e eventual sanção judicial ou administrativa.

 

3. Garantia de prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (art. 11, II, ‘g’, LGPD)

Entende-se que essa hipótese é cabível quando o sistema de monitoramento for uma ferramenta eficaz na prevenção a fraudes, em que a identificação adequada e eficiente do titular é necessária para sua própria segurança, podendo ser uma opção viável para o controle das empresas em relação ao registro de entradas em suas portarias.

Independentemente da hipótese de tratamento escolhida, as empresas devem analisar a necessidade e razoabilidade do monitoramento, buscando, quando possível, formas menos invasivas à privacidade do titular e que poderiam atingir as mesmas finalidades.

Por fim, além da adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais, recomenda-se que as empresas disponibilizem informações claras, precisas e acessíveis sobre o tratamento realizado. Afinal, na era da informação, os titulares de dados pessoais provavelmente não mais se contentarão com um simples “sorria, você está sendo filmado”.

 

 

 

MARCO OROSZ

marco.orosz@fius.com.br

 

ISADORA DINIZ

isadora.diniz@fius.com.br

 

TIAGO CRESPO

tiago.crespo@fius.com.br