Uso de Câmeras de Segurança e Dados Biométricos na Proteção de Patrimônio: Um Olhar pela LGPD e GDPR

Impactos aos Titulares e Riscos de Conformidade

O tratamento inadequado de dados biométricos pode levar a graves impactos aos direitos dos titulares, incluindo discriminação e sensação de monitoramento excessivo, não sendo bem visto pela sociedade e pelas Autoridades de Proteção de Dados. Além disso, essas tecnologias frequentemente levantam dúvidas sobre os questões de proporcionalidade e transparência, gerando riscos significativos de não conformidade. Para soluções voltadas à proteção de patrimônio, a justificativa da necessidade está potencialmente coberta pela LGPD, necessitando ainda de uma revisão detalhada sobre os objetivos do tratamento, eventuais desvios de finalidade, garantias e controles técnicos e operacionais existentes.

Esta análise deve feita conjuntamente, liderada pelo seu DPO (Encarregado pela Proteção de Dados). A avaliação deverá levar em conta a necessidade do tratamento, a descrição detalhada do mesmo, proteções oferecidas, eventuais argumentações acerca da justificativa e ações para prover mais segurança ao processo e reduzir potenciais impactos aos titulares. Devem participar as áreas de negócio envolvidas, o time jurídico e de TI. Durante este processo é importante considerar os conceitos de minimização de dados (e os eventuais ajustes de processo necessários, suportados pela tecnologia), anonimização e pseudoanonimização. Uma vez finalizado, o resultado e a documentação serão parte do RIPD – Relatório de Impacto à Proteção de Dados (ou DPIA, em inglês).

Veja também: Em Junho de 2024, A ANPD (Autoridade Nacional de Proteção de Dados) lançou o segundo volume do “Radar Tecnológico” cobrindo o tema de biometria e reconhecimento facial.

Casos de Uso Excessivo

Um exemplo relevante no uso de dados biométricos ocorreu nos Estados Unidos, onde a Disney foi multada por coletar dados de impressão digital de crianças sem consentimento adequado. No Brasil, o Metrô de São Paulo enfrentou questionamentos legais sobre o uso de câmeras com reconhecimento facial, levantando dúvidas sobre a proporcionalidade da medida. Em ambos os casos, a falta de transparência e a coleta excessiva de dados resultaram em consequências negativas para as organizações.

Adequação à LGPD: Medidas Técnicas e Operacionais Necessárias

Para garantir o uso responsável de câmeras de segurança que captam dados biométricos, é essencial implementar medidas técnicas e organizacionais robustas. 

Medidas organizacionais são aquelas garantidas por processos internos da empresa (condomínios inclusive) enquanto as técnicas são àquelas voltadas à tecnologia. Ambas andam lado a lado na garantia dos direitos dos titulares, sendo a parte tecnológica um habilitador, automatizador e potencializador dos controles identificados e documentados. Um exemplo de medida organizacional é garantir que indivíduos com acesso ao feed de imagens não entrem em locais portando celulares ou cameras. Enquanto um exemplo de medida técnica seria a eliminação automatizada dos dados do feed de imagem após o período de retenção de dados ter expirado.

Para estar adequado com a LGPD, o tratamento de dados biométricos não pode ser enquadrado como Legítimo Interesse.  

Condomínios e empresas devem avaliar previamente se o uso de câmeras tradicionais seria suficiente para atingir os objetivos de segurança, ou, se somente o uso de biometria com soluções de reconhecimento facial atenderia à necessidade. Políticas claras sobre o uso de sistemas biométricos devem existir assim como avisos de privacidade em locais de fácil visualização, garantindo transparência aos colaboradores, clientes e visitantes. É crucial realizar treinamentos regulares e nomear um Encarregado de Proteção de Dados (DPO) para gerenciar as demandas regulatórias e assegurar a proteção dos direitos dos titulares. 

O não cumprimento das determinações da LGPD, pode gerar impactos financeiros e reputacionais importantes! 

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Um dos requisitos mais críticos da LGPD, da GDPR e de diversas outras legislações de privacidade ao redor do mundo é a nomeação de um Data Protection Officer (DPO ou Encarregado pela Proteção de Dados). O DPO é responsável por pelos processos e práticas de compliance com privacidade de sua empresa (e condomínio) e por atuar como ponto de contato entre a organização e as autoridades reguladoras. Contar com um DPO especializado e multidisciplinar é fundamental, principalmente para ajudar a tomar as melhores decisões estratégicas sobre o tema. 

Além de cumprir com as exigências legais, empresas devem adotar práticas robustas de segurança, dentro de sua capacidade econômica, para garantir que dados pessoais, especialmente os sensíveis, sejam tratados com o máximo cuidado em todas as etapas do processo. 

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/