Qual o limite no uso de ferramentas de monitoramento sob a ótica da proteção de dados?

A Lei Geral de Proteção de Dados Pessoais (LGPD) chegou recentemente no Brasil e, com ela, muitas dúvidas e alguns desafios, eis que não faz parte da nossa cultura exercitarmos um olhar zeloso para com a privacidade, tanto no âmbito da nossa vida privada, como na relação com terceiros.

Acontecimentos externos e internacionais, como o episódio de Edward Snowden, ex-técnico da CIA, o qual revelou um sistema de vigilância massiva por parte do governo dos Estados Unidos da América e o escândalo envolvendo o Facebook e a empresa Cambridge Analytica na coleta de dados de milhões de usuários do Facebook, com o objetivo de influenciar a opinião de eleitores em vários países, impulsionaram para um maior rigor no tratamento dos dados pessoais, a nível mundial. [2]

Sem dúvida, privacidade será o desafio do século XXI e caberá a cada um de nós definirmos como iremos encará-lo.

Estar em processo de adequação com a LGPD impõe-nos uma mudança de "mindset". Até pouco tempo atrás, o dado pessoal era tratado como propriedade de quem o possui e não a quem ele se refere. O empoderamento alçado ao titular dos dados pela legislação ainda não nos é familiar, o que nos demandará um grande esforço e um longo caminho a ser trilhado na busca de um processo de compliance com a lei.

Estando a LGPD em vigor precisaremos perseguir um processo de adequação e que não se resume a meros ajustes de ordem documental, alterações de contratos e políticas de privacidade.

Será necessário adentrarmos na estrutura organizacional das organizações, contar com o envolvimento da alta administração nessa empreitada,  rever processos e exercitar um pensamento crítico constante no sentido de avaliar se efetivamente um processamento é ou não é necessário para o objetivo que se pretende.

Investir energia e tempo na busca de implementação de uma cultura de privacidade será primordial.

A responsabilidade pelo tratamento dos dados pessoais impõe um constante questionamento antes da tomada de decisão sobre a coleta de qualquer dado pessoal e nesse sentido, é trazido aqui um dos tantos temas que tem gerado dúvidas e inseguranças sob o olhar de possíveis violações da privacidade através da desproteção dos dados pessoais: a vigilância por monitoramento através de câmeras, o que pode e o que não pode, quais os riscos ao controlador por possíveis violações aos direitos do titular de dados e como proceder para equilibrar interesses legítimos sem ferir direitos de terceiros?

Na tentativa de aclarar essas dúvidas, impossível não buscarmos referências na legislação europeia, dado o seu pioneirismo e amadurecimento no direito à proteção dos dados pessoais.

Apenas como breve referência ao assunto em questão, no sistema europeu, cabe referir a “Convenção para proteção dos indivíduos com respeito ao processamento automático de dados pessoais” promulgada pelo Conselho da Europa e que entrou em vigor em 1985 [4], a Diretiva 95/46/EC, em vigor em 1998 [5] e finalmente o Regulamento Geral de Proteção de Dados - GDPR - em 2016 [6] e que passou a viger a partir de maio de 2018, atualizando procedimentos para o tratamento de dados privados dos cidadãos do bloco econômico e trazendo ainda mais rigor e restrições no uso dos dados pessoais.

Para melhor compreensão do conceito intrínseco da lei, é indispensável a aceitação de que o titular é o centro de tudo, a autodeterminação informativa lhe pertence; significa dizer que o dado pessoal representa uma extensão de sua personalidade e, se afetado, pode violar o seu direito à privacidade.

Portanto, essa é regra geral, e claro, não é absoluta, havendo várias hipóteses trazidas na lei que autorizam que o direito do titular seja relativizado quando contrabalanceado com outros direito de mesma hierarquia.

Voltemos a hipótese de tratamento de dados aqui proposta,“monitoramento de indivíduos por câmeras de segurança”: como sabermos quando podemos ou não podemos fazer uso delas, de forma lícita? E, mesmo quando autorizados a fazê-lo, qual o limite para essa atividade, de maneira que o excesso no tratamento não contamine o processo, tornando ilícito o que poderia ser lícito?

Importante para construção do nosso raciocínio termos em mente alguns conceitos fundamentais da legislação, tanto europeia, como a nossa Lei Geral de Proteção de Dados [7].

O Controlador ou o operador, responsável pelo tratamento dos dados pessoais do titular, que em razão do exercício da sua atividade de tratamento de dados, causar danos decorrentes da violação da lei, conforme prevê o artigo 42 da LGPD [8], será obrigado a repará-los, sendo apenas hipóteses de exclusão da responsabilidade quando comprovar que não fEZ o tratamento, ou que, embora realizado, não tenha violado nenhum dispositivo legal e também na hipótese do dano decorrente ter sido consequência de culpa exclusiva do titular ou de terceiro, nos moldes do art. 43 do mesmo diploma legal.

Portanto, o controlador e operador estão sujeitos, além das multas impostas pela Autoridade Nacional de Proteção de Dados, as quais por força do art. 52, incisos I à IX [9], podem chegar ao valor máximo de R$ 50.000.000,00 (cinquenta milhões), sem prejuízo da aplicação de outras sanções, que vão desde a uma simples advertência até a proibição parcial ou total das atividades relacionadas ao tratamento. Indiscutível, portanto, que incumbe ao controlador, principalmente, interessar-se em avaliar os tratamentos que envolvem dados pessoais na sua organização, pois ao final, caso o mesmo não esteja em observância com a lei, a conta será sua. Qualquer tratamento que envolva dados pessoais precisa observar os seguintes aspectos: (i) ter uma finalidade e uma base legal que justifique a sua ocorrência, nos termos do disposto no artigo 7; (ii) os princípios elencados no artigo 5; e (iii) obrigações relacionadas à segurança da informação, dispostas nos artigos 46 e 47 do referido diploma legal.

Para fins da análise com relação a pertinência ou não, do tratamento de dados através de monitoramentos por câmaras, nos deteremos tão somente no aprofundamento dos itens i e ii, deixando fora do escopo deste artigo as obrigações referentes à segurança da informação, reconhecendo, no entanto, que, sem a adequação aos requisitos técnicos necessários para garantir que a informação esteja protegida, o processamento da atividade igualmente estará violando a legislação.

Iniciando a análise do monitoramento através de câmeras sob o prisma da finalidade e base legal, impõe-se o primeiro questionamento: 1) Para qual objetivo, o monitoramento será realizado? Ato contínuo, a partir do objetivo perseguido, passamos a próxima etapa: 2) Há base legal que autorize este procedimento, e caso positivo, qual das bases legais dispostas no artigo7, se aplicam ao caso concreto? Nesta etapa, convém referirmos que as bases mais comumente encontradas para esse tipo de tratamento no âmbito privado são o legítimo interesse e o consentimento, este último de forma mais excepcional, conforme adiante abordaremos. Na hipótese de ser o legítimo interesse a base legal justificadora, recomendável fazermos o LIA (Legítimo Interesse Assessment) e indagarmos os seguintes pontos: (i) Qual é o legítimo interesse do controlador?; (ii) O referido processamento de dados é necessário para atingir o propósito do controlador?; em caso positivo, cabe ainda, o teste de balanceamento, perquirindo as seguintes indagações: (iii.a) Os interesses individuais dos titulares se sobrepõe ao legítimo interesse do controlador?(iii. b) Em que forma estão os direitos e liberdades dos titulares ameaçados?

Ultrapassando esta etapa de forma positiva, ou seja, avaliando ser viável a base legal do legítimo interesse, indispensável o uso proporcional dos dados pessoais em estrita observância aos princípios da necessidade e minimização, o que significa, coletar os dados estritamente necessários para a finalidade desejada de forma que a privacidade do indivíduo seja minimamente impactada.

Por fim, independente de qual for a base legal utilizada para o processamento dos dados, ela precisa ser comunicada ao titular, ou seja, ele precisa ter conhecimento de que seus dados estão sendo coletados e por quais motivos.

Literalmente, o titular nunca poderá ser surpreendido!!!

Alguns casos recentes envolvendo monitoramento através de câmeras, para que possamos compreender as suas implicações nas legislações que tratam da proteção de dados pessoais. 

1) Multa de 35,3 milhões de euros por violação de proteção de dados no H&M[10]

A empresa, com sede em Hamburgo, e que possui um centro de serviços em Nuremberg desde 2014, armazenou registros dos seus funcionários, através de gravações digitalizadas de conversas com seus superiores e em corredores da empresa, contendo informações inclusive de natureza sensível, tais como doenças e crenças religiosas. As referidas gravações chegaram a ser compartilhadas em muitos casos com cerca de aproximadamente 50 (cinquenta) gerentes da empresa, além de serem reutilizadas ao longo do tempo para outros propósitos como formação de perfil e análise de produtividade dos funcionários.

Em 2019 em decorrência de uma atualização na configuração do sistema da empresa, as informações ficaram, por algumas horas, acessíveis em toda a empresa, fato que ocasionou a reclamação ao comissário de Hamburgo paraProteção de Dados e Liberdade de Informação, o qual imediatamente determinou o congelamento de todo conteúdo da unidade da rede e instaurou o processo de investigação, compreendendo interrogatórios de testemunhas e que culminou com a aplicação da multa no valor de 35,3 milhões de euros.

2) Hering é condenada por uso de reconhecimento facial em loja [11]

 Aqui no Brasil, a Senacon (Secretaria Nacional do Consumidor) condenou a Hering por ter utilizado tecnologia de reconhecimento facial em sua loja, no Shopping Morumbi, em São Paulo ao pagamento de uma multa no valor de R$ 58767,00 (Cinquenta e oito mil setecentos e sessenta e sete reais) por entender uma prática abusiva, nos termos do Código de Defesa do Consumidor, pois a empresa estaria se aproveitando da vulnerabilidade do consumidor, violando os direitos da informação e da personalidade dos cidadãos, eis que as imagens eram utilizadas para traçar perfis dos seus visitantes e sem o devido consentimento.

Esta foi a primeira condenação no Brasil relativa a violações decorrentes da tecnologia de monitoramento facial, sendo a mesma emblemática, assim como a decisão do Superior Tribunal Federal, no caso do compartilhamento de dados de operadoras telefônicas com o IBGE e que garantiu também o direito à proteção de dados pessoais.[12]

Em ambos os casos supracitados, constatam-se as ofensas aos princípios norteadores do processamento de dados, tais como da necessidade, transparência, minimização e até mesmo não discriminação.

Inobstante a existência de uma base legal que autorize o tratamento, essa por si só não é suficiente para legitimar o mesmo. É indispensável questionarmos se o titular tem conhecimento da coleta do dado, se é utilizado para a finalidade que se propõe e que se anuncia, se a coleta não é exagerada, intrusiva, e se, por fim, não haveria outros meios para se atender ao mesmo objetivo, além, é claro, das obrigações referentes à proteção técnica coma segurança da informação.

Importante observar que se encontram fora do escopo da Lei Geral de Proteção de Dados[13], bem como, do Regulamento Europeu[14], os processamentos de dados pessoais executados pelas autoridades competentes para fins de segurança pública e aquelas realizadas no âmbito doméstico.

Na busca de maiores esclarecimentos acerca do tema, o European Data Protection Board, em sua Diretriz nº. 3/2019[15],sobre processamento de dados pessoais através de dispositivos de vídeo, nos fornece importantes subsídios.

A isenção domiciliar, por exemplo, a proteção de uma residência privada, encontra limites, na medida em que não poderá causar um impacto adverso em virtude da vigilância nas pessoas em causa, assim como a presença de qualquer elemento indicativo de atividade econômica para fins do processamento retira a isenção domiciliar, passando a contar com o abrigo da legislação europeia.

A Diretriz do EDPB [16], ao abordar o legítimo interesse, alerta que o mesmo só é legal se atender ao propósito de um interesse legítimo, de fato, perseguido por um controlador ou um terceiro, devendo sempre ser avaliado se os direitos e liberdades fundamentais do titular dos dados não são anulados pelo legítimo interesse perseguido pelo controlador.

Exemplifica como um interesse legítimo, a vigilância de um estabelecimento, onde há plausível justificativa de risco por violência, alertando, no entanto, que o perímetro de vigilância seja reduzido à necessidade do processamento.[17]

Portanto, antes de operar um sistema de câmeras, o controlador deverá avaliar onde e quando esse sistema é verdadeiramente necessário, além de atentar para outras questões que se apresentam em decorrência do aludido processamento, como o tempo de armazenamento, o qual deverá ser proporcional à sua finalidade e com quem compartilha.

A tomada de decisão, caso a caso, é recomendada, haja vista a necessidade do controlador em avaliar os riscos de intrusão nos direitos e liberdades individuais do titular dos dados.

O tipo, a abrangência, a densidade da informação e o volume dos dados pessoais coletados através do monitoramento por câmeras devem servir de material para o correto balanceamento com os direitos dos titulares e possível violação dos mesmos, hipótese em que, se configurando, o tratamento não encontrará amparo legal.

O Recital 47 do GDPR [18], refere que na análise da existência ou não de um legítimo interesse do controlador, deverão ser consideradas as expectativas razoáveis do titular no momento e no contexto da coleta de seus dados pessoais. Exemplificativamente não é razoável esperar-se monitoramento em áreas de instalações sanitárias, salas de exames de tratamento ou saunas, assim como, em contrapartida, é absolutamente razoável o titular não ser surpreendido com o monitoramento dentro de agências bancárias ou caixas eletrônicos.

Ao tratar do consentimento, como base legal para o monitoramento sistemático, a Diretriz observa que o mesmo só deverá ser considerado em situações excepcionais, eis que, diante da natureza da vigilância que monitora um número desconhecido de pessoas ao mesmo tempo, seria extremamente difícil obter o consentimento antes do tratamento ter sido realizado, e mesmo nas excepcionais hipóteses de êxito na obtenção do mesmo, caso o titular retire o seu consentimento, será difícil provar que os dados já não são mais tratados.

Na esfera das relações de trabalho, considerando o desequilíbrio de poder na relação entre empregador e empregado, não é recomendável lançar mão do consentimento como hipótese legal autorizadora do processamento, pois improvável que tenha sido fornecido gratuitamente.

Ainda, com relação aos direitos dos titulares dos dados em virtude do processamento através de vigilância por vídeo, a Diretriz do EDPB[19], nos traz alguns esclarecimentos acerca dos direitos de acesso e de objeção, sem prejuízo dos demais direitos aplicáveis à atividade.

O direito de acesso do titular, por exemplo, no caso do sistema não armazenar as imagens, poderá ser mais facilmente contornado, uma vez que, provocado o controlador, bastará que o mesmo responda que nenhum dado mais é tratado. Todavia, na hipótese do processamento continuar existindo, deverá o titular ter acesso ao dado pessoal tratado pelo controlador.

Ocorre que não pode ser desconsiderada uma série de limitações com potencial de em alguns casos afetar o direito de acesso do titular, e são eles: (i) a necessidade de uma triagem na sequência de vigilância por vídeo envolvendo outros titulares , ocasionando um procedimento adicional de dados pessoais de terceiros; (ii) incapacidade de identificação do titular dos dados, ante a ausência de informação precisa, como data e horário aproximado, evitando que o controlador precise rever uma quantidade de material armazenado, podendo violar direitos de terceiros; (iii) solicitações excessivas ou infundadas do titular quando possíveis de serem comprovadas por parte do controlador.

Estamos, novamente, diante da necessidade de balancear os direitos de um titular para que não afete direitos alheios.

Portanto, seremos desafiados seguidamente diante de questionamentos envolvendo a pertinência de monitoramento por meio de vídeos, nas escolas, nas áreas dos estabelecimentos comerciais, nos condomínios, nas academias de ginástica e assim em sucessivas outras situações de nosso dia a dia.

A resposta correta dependerá de uma análise profunda, caso a caso, compreendendo o modelo de negócio, o objetivo com que o tratamento de dados busca ser efetivado, a necessária ponderação se efetivamente não existem meios alternativos para o atingimento da mesma finalidade, o tipo e o volume de dados tratados, a transparência na informação ao titular em momento prévio à coleta dos dados, o tempo de armazenamento e as medidas de segurança adotadas pelo controlador para proteger os dados dos titulares.

Documentar todas essas etapas, sem dúvida, é importante, mas só formalizar não representará adequação.

 

REFERÊNCIAS

35.3 MILLION euro fine for data protection violations in H&M's Service Center. In:The Hamburg Commissioner for Data Protection and Freedom of Information. 01 out.2020. Disponível em:https://datenschutz-hamburg.de/assets/pdf/2020-10-01-press-release-h+m-fine.pdf.Acesso em: 20 nov. 2020.

BRASIL. Presidência da República. Lei1 3.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais(LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 nov.2020.

DIRECTIVA 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995. Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em htttps://pt.scribd.com/document/133051628/Diretiva-95-46-CE#:~:text%20DIRECTIVA%2095%2F46%2FCE%20DO%20PARLAMENTO%20EUROPEU.Acesso em: 29 nov. 2020.

EDWARD Snowden, o analista de sistemas que desnudou a espionagem dos EUA. O Globo, 07 jun. 2018. Disponível em:https://acervo.oglobo.globo.com/em-destaque/edward-snowden-analista-de-sistemas-que-desnudou-espionagem-dos-eua-20444651#ixzz6fOllfJtd.Acesso em: 03 nov. 2020.

EUROPEAN DATA PROTECTION BOARD. Guidelines 3/2019 on processing of personal datathrough video devices - version adopted after public consultation. 30 jan. 2020. Disponível em:https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.Acesso em: 13 nov. 2020.

GPDR – General Data Protection Regulation. Disponível em: https://gdpr-info.eu/. Acesso em: 29 nov. 2020a.

GPDR– General Data Protection Regulation. Recital 47: overriding legitimatei nterest. 2020. Disponível em: https://gdpr.eu/recital-47-overriding-legitimate-interest/. Acesso em: 12 nov. 2020b.

HERING é condenada por uso de reconhecimento facial em loja. In: TI InsideOnline, 27 ago. 2020. Disponível em:https://tiinside.com.br/27/08/2020/hering-e-condenada-por-uso-de-reconhecimento-facial-em-loja/.Acesso em: 20 nov. 2020.

OECD– Organization for Economic Cooperation and Development. Guidelines on the protection of privacy and transborder flows of personal data. 2002. Disponível em:https://www.garanteprivacy.it/documents/10160/10704/1799578. Acesso em: 15 nov.2020.

SUPREMO suspende MP do compartilhamento de dados com IBGE. In: Agência Brasil, 24 abr. 2020. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/04/24/supremo-suspende-mp-do-compartilhamento-de-dados-com-ibge.htm. Acesso em: 15 nov. 2020.


[1]   BRASIL.Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019.Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 nov. 2020.

[2]   EDWARD Snowden, o analista de sistemas que desnudou a espionagem dos EUA. O Globo, 07 jun. 2018.Disponível em:https://acervo.oglobo.globo.com/em-destaque/edward-snowden-analista-de-sistemas-que-desnudou-espionagem-dos-eua-20444651#ixzz6fOllfJtd.Acesso em: 03 nov. 2020.

[3]   BRASIL, loc. cit.

[4]   OECD – Organization for Economic Cooperation and Development. Guidelines on the protection ofprivacy and transborder flows of personal data. 2002. Disponível em:https://www.garanteprivacy.it/documents/10160/10704/1799578. Acesso em: 15 nov.2020.

[5] DIRECTIVA 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubrode 1995. Relativa à proteção das pessoas singulares no que diz respeito aotratamento de dados pessoais e à livre circulação desses dados. Disponível em:https://pt.scribd.com/document/133051628/Diretiva-95-46-CE#:~:text%20DIRECTIVA%2095%2F46%2FCE%20DO%20PARLAMENTO%20EUROPEU.Acesso em: 29 nov. 2020.

[6]   GPDR– General Data Protection Regulation. Disponível em: https://gdpr-info.eu/.Acesso em: 29 nov. 2020.

[7]   BRASIL.Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geralde Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019.Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08nov. 2020.

[8]   Ibidem.

[9]   Ibidem.

[10]  35.3 MILLION euro fine for data protection violations in H&M's Service Center. In: The Hamburg Commissioner for Data Protection and Freedom of Information. 01 out. 2020. Disponível em:https://datenschutz-hamburg.de/assets/pdf/2020-10-01-press-release-h+m-fine.pdf.Acesso em: 20 nov. 2020.

[11]  HERINGé condenada por uso de reconhecimento facial em loja. In: TIInside Online, 27 ago. 2020. Disponívelem: https://tiinside.com.br/27/08/2020/hering-e-condenada-por-uso-de-reconhecimento-facial-em-loja/.Acesso em: 20 nov. 2020.

[12]  SUPREMO suspende MP do compartilhamento de dados com IBGE. In: Agência Brasil, 24 abr. 2020. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/04/24/supremo-suspende-mp-do-compartilhamento-de-dados-com-ibge.htm. Acessoem: 15 nov. 2020.

[13]  BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais(LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm.Acesso em: 08 nov. 2020.

[14]  GPDR– General Data Protection Regulation. Disponível em: https://gdpr-info.eu/. Acessoem: 29 nov. 2020a.

[15]  EUROPEAN DATA PROTECTION BOARD. Guidelines 3/2019 on processing of personal data through video devices - version adopted after public consultation. 30 jan. 2020. Disponível em:https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.Acesso em: 13 nov. 2020.

[16]  Ibidem.

[17] Ibidem.

[18] GPDR – General Data Protection Regulation. Recital 47: overriding legitimate interest. 2020. Disponívelem: https://gdpr.eu/recital-47-overriding-legitimate-interest/.Acesso em: 12 nov. 2020b.

[19]  EUROPEAN DATA PROTECTION BOARD. Guidelines 3/2019 on processing of personal data through video devices - version adopted after public consultation. 30jan. 2020. Disponível em:https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.Acesso em: 13 nov. 2020.

______________________________________________________________________________________________________________________________

Quer aprender como implementar a LGPD na prática? Acesse o curso IMPLEMENTAÇÃO DA LGPD: ROADMAP PARA O COMPLIANCE

Blog Post escrito por:
Martha Leal