A grande maioria dos conteúdos disponibilizados hoje sobre a LGPD giram em torno da adequação da coleta de dados de forma ampla, mas a lei também tem um grande impacto no videomonitoramento realizado pelas empresas e neste ponto diretamente que iremos tratar aqui. A LGPD estabeleceu diretrizes obrigatórias para a coleta, processamento e armazenamento de dados pessoais, incluindo imagens, representando um marco importante para o Brasil, que passou a fazer parte do grupo de países que contam com uma legislação específica para a proteção dos dados dos seus cidadãos.
Conheça abaixo o que a LGPD prevê para o videomonitoramento, assim como quais são os impactos, penalidades e adequações que sua empresa deverá realizar para evitar multas e até bloqueio de dados.
Principais objetivos da LGPD:
- Privacidade com a proteção dos dados pessoais dos usuários, através de práticas transparentes e seguras.
- Estabelecimento de regras claras sobre o tratamento de dados pessoais.
- Prover segurança para as relações jurídicas para o titular no tratamento de dados pessoais.
- Promover a livre concorrência permitindo a portabilidade de dados.
Aprovada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados entrou em vigor em 18 de setembro de 2020, mas será a partir de agosto de 2021 que a aplicação de multas e penalidades começarão a vigorar para as empresas que não atenderem às regras estabelecidas. Serão advertências iniciais, multas de até 2% do faturamento (teto de R$ 50 milhões) e, em casos mais extremos, bloqueio dos dados.
Neste contexto, as empresas de segurança precisam operar com o máximo cuidado na coleta e tratamento dos dados pessoais de todos os usuários que transitam por seus sistemas de controle de acesso, por exemplo.
É importante ressaltar que a aplicação de penalidades por descumprimento das normas se dará através de processo administrativo e, neste contexto, um atenuante será a existência de uma política corporativa de boas práticas e de governança em eventuais casos de vazamento de dados com a adoção de rápidas ações de medidas corretivas, por exemplo.
Sem dúvida, os sistemas de controle de acessos condominiais e de empresas são um dos setores em que o controle, leitura e armazenamento dos dados pessoais de funcionários e visitantes se apresentam como uma questão crucial no cumprimento da nova LGPD, tanto por parte dos condomínios e corporações como para as empresas de segurança que fornecem e operam os sistemas de controle.
Estes sistemas de segurança operam com a identificação e cadastramento dos usuários através de diversos métodos de identificação, como a leitura de digitais e reconhecimento por imagens através das câmeras de videomonitoramento.
O sistema precisa garantir a inviolabilidade dos dados pessoais que passam por seu sistema e ficam armazenados em seu banco de dados. A criptografia, por exemplo, é um método simples de proteção destas informações de acesso, que garante o movimento seguro dos dados dentro da empresa e da internet, em seu trânsito pelas redes na troca de documentos através do servidor de arquivos.
É importante estabelecer uma política de privacidade dos dados, determinando a razão da obtenção dos dados e sua utilização. A segurança da informação deve ser uma prioridade da empresa, principalmente com os ciberataques.
Atualmente, a segurança da informação deve se apoiar nos seguintes pilares: confidencialidade, integridade e disponibilidade. É recomendado que a segurança digital seja composta de várias camadas de proteção. Firewalls, softwares e ferramentas de gestão adequadas tornam possíveis o combate dos malwares que podem afetar a rede e seus dispositivos como câmeras e servidores de armazenamento, entre outros.
Conforme citamos acima, o sistema de videomonitoramento para a segurança e controle de acesso ganhou um impulso ainda maior com novas tecnologias que garantem maior resolução das imagens.
O videomonitoramento permite a gravação das imagens, o que significa que cada visitante acaba tendo a sua imagem armazenada e em poder da empresa de segurança responsável pelo videomonitoramento. A LGPD estabelece definições a respeito de:
Dados pessoais: todas as informações relativas à pessoa natural identificada ou identificável.
Dados pessoais sensíveis: etnia, inclinação religiosa (através da visualização do uso de adereços como o quipá, turbantes (entre outros), idade, gênero, estado de humor, entre outras características distintas.
Dados anonimizados: são os dados relativos ao titular que não podem ser identificados através de meios técnicos.
Há diferentes interesses envolvidos no processo de tratamento dos dados. Estes interesses estão diretamente relacionados a 4 papéis ou atores que são desempenhados por pessoas ou empresas, definidos da seguinte forma:
Titular: indivíduo portador dos dados pessoais que serão objeto de tratamento.
Controlador: pessoa natural jurídica, de direito público ou privado responsável pelas decisões relativas ao tratamento de dados pessoais.
Operadores: pessoa natural ou jurídica, de direito público ou privado, que realizará o tratamento de dados pessoais em nome do controlador.
Encarregado: pessoa indicada pelo controlador e operador para atuar como um canal de comunicação entre o controlador, os titulares de dados e a ANPD.
ANPD (Autoridade Nacional de Proteção de Dados): órgão responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território brasileiro.
Durante todo o processo de captação de imagens, a empresa responsável pela geração e armazenamento dos arquivos do videomonitoramento precisará estar atenta aos princípios básicos da segurança da informação.
Para avaliar a adequação da sua empresa à LGPD do videomonitoramento, confira se estes princípios estão sendo observados:
Finalidade: definição de qual o objetivo/finalidade da obtenção das imagens, este ponto é determinante para a adequação das regras e pontos seguintes.
Adequação: Tendo em vista a finalidade, é necessário adequar a coleta de dados através do posicionamento das câmeras. Assim, se a finalidade é monitorar o acesso a determinado ambiente, as câmeras deverão estar localizadas de forma a cobrir todos os pontos de acesso.
Necessidade: verificação de câmeras em áreas que não necessitam realmente de monitoramento, assim como a análise da retirada de câmeras que não estão em funcionamento. Este tipo de adequação mostra a boa fé da empresa e a sua adequação às leis de coleta de informações.
Livre acesso: É importante manter por escrito quem poderá acessar os dados coletados, criando regras para a entrega e o tempo de armazenamento.
Qualidade dos dados: imagens de alta resolução resultam em pouco tempo de gravação, já em baixa resolução, perde-se na identificação das imagens, verifique qual é o objetivo da sua empresa e escolha o que melhor se adequar a sua realidade.
Transparência: ter uma política de privacidade clara e comunicá-la interna e externamente.
Segurança e prevenção: mensurar os riscos no processo de coleta, tratamento e armazenamento das imagens, como eventuais exclusões, estabelecendo boas práticas de segurança.
Não discriminação: não favorecer no processo algum indivíduo por posição social, hierárquica, religião ou outro fator que relacionado aos dados pessoais sensíveis.
Prestação de contas e responsabilização: ter bem estabelecido quem são os responsáveis pelo armazenamento das informações da política e a sua disponibilização à autoridade nacional.
A LGPD rege o tratamento de dados e toda a operação que envolve a coleta, utilização, acesso, distribuição, arquivamento, processamento e extração de informação.
Dessa forma, as imagens contendo pessoas e as operações de captura, armazenamento e divulgação de imagens reportam-se à LGPD, uma vez que as imagens de uma pessoa são dados pessoais.
Assim, a captação e utilização das imagens deverão seguir as hipóteses previstas na LGPD, como o consentimento do titular dos dados, o cumprimento de obrigação regulatória, uso pela administração pública para execução de políticas, por órgão de pesquisa, para execução de contrato, no exercício regular de direitos em processos, para a proteção da vida ou da incolumidade física do titular/terceiro, para a tutela da saúde, atender aos interesses legítimos, proteção do crédito, tudo conforme o art. 7 da LGPD.
Não existe privacidade sem segurança e a adoção de boas práticas independe de certificação para garantir a segurança e proteção das informações. Assim, alguns aspectos precisam ser considerados, como:
Realização da classificação das informações e sigilo em todas as etapas.
Determinação de qual será o envolvimento do RH e quem estará no processo.
Permissão (ou não) da utilização de dispositivos móveis nos locais de captação e armazenamento das imagens.
Análise da necessidade e/ou a existência de backups.
Uso de criptografia e antivírus para garantir a segurança na transmissão dos dados.
Gestão de cabeamento, terceirização no processo e outros dados que impactam diretamente na integridade e gestão dos processos de obtenção, tratamento e transmissão das imagens.
Planejamento e gestão de incidentes de segurança, caso ocorra um vazamento ou perda de dados.
Relatório de impacto à proteção de dados pessoais
Uma exigência estabelecida pela LGPD é a elaboração do relatório de impacto à proteção de dados pessoais. Este documento deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos para as liberdades civis e os direitos fundamentais.
Basicamente, este relatório tem a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Importante destacar que a ANPD, órgão responsável pela fiscalização da lei, pode solicitar este documento, sendo essencial sua empresa manter-se em dia com este relatório.
Ele deve conter:
- Descrição dos tipos de dados coletados.
- Metodologia para a coleta e garantia da segurança das informações.
- Análise do controlador sobre as medidas adotadas.
- Medidas de mitigação de riscos adotadas.
- Identificação dos agentes de tratamento e do encarregado responsáveis.
Hoje em dia, a maioria das câmeras utilizadas estão conectadas mesmo que indiretamente à internet, ficando passíveis da ação de cibercriminosos. Para se proteger, as empresas podem adotar algumas medidas, como ter maior atenção na criação de sua senha, manter um sistema de autenticação em dois fatores, utilizar criptografia SSL, ter cuidado com o armazenamento em nuvem, ter atenção quanto ao HTTPS e manter um processo de gravação contínua.
Como você pôde conferir, a segurança e proteção das informações nos sistemas de videomonitoramento atingiram um novo patamar com a entrada em vigor da LGPD. Novos requisitos de operação e protocolos devem ser obedecidos até mesmo sob multa por descumprimento e é essencial conhecer todas as novas exigências. Para conhecer mais sobre o assunto, acesse o webinar que a Seal preparou para você.
A Seal Telecom, uma empresa do Grupo Convergint, é uma multinacional integradora de soluções. Com forte presença na América Latina, oferece soluções inovadoras de Áudio e Vídeo, Comunicação Unificada, Smart Buildings, Broadcast, Incêndio e Segurança, customizadas para as necessidades de cada cliente. A Seal Telecom é certificada pelas ISO 9001:2015 e 27001:2013 e mantém mais de 150 escritórios em toda a América Latina, EUA, Europa, Ásia e Austrália.