Ícone do siteÍcone do site Macher Tecnologia

Uso de Câmeras de Segurança e Dados Biométricos na Proteção de Patrimônio: Um Olhar pela LGPD e GDPR

BiometriaBiometria

Uso de Câmeras de Segurança e Dados Biométricos na Proteção de Patrimônio: Um Olhar pela LGPD e GDPR

A implementação de soluções que utilizam dados biométricos, como reconhecimento facial, íris ou impressões digitais exige uma reflexão aprofundada sobre as responsabilidades e obrigações legais associadas ao tratamento de dados pessoais sensíveis
Biometria

A utilização de câmeras de segurança em condomínios e empresas é uma ferramenta indispensável para a proteção do patrimônio. Contudo, a crescente implementação de tecnologias que utilizam dados biométricos, como reconhecimento facial, exige uma reflexão aprofundada sobre as responsabilidades e obrigações legais associadas ao tratamento de dados pessoais.

Tanto a Lei Geral de Proteção de Dados (LGPD) no Brasil quanto o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia trazem diretrizes específicas – e bastante semelhantes – para o tratamento desses dados sensíveis.

A LGPD divide dados pessoais em duas categorias: Dados pessoais e Dados pessoais sensíveis. Esta divisão ocorre principalmente pelo potencial impacto às liberdades e à vida privada dos titulares de dados (funcionários, contratados, clientes, prospects, etc) que um incidente de segurança poderia causar. 

Dados biométricos, como impressões digitais, reconhecimento facial e iris, são classificados como dados pessoais sensíveis pela LGPD e GDPR.

Sua coleta e tratamento demandam um nível mais elevado de segurança e uma justificativa legal robusta e detalhada. A finalidade deve ser clara, limitada e proporcional ao objetivo.

Tecnologias de Reconhecimento Facial, executadas por soluções de Inteligência Artificial pelo setor privado, ainda são uma barreira mais complexa de se transpor.

Impactos aos Titulares e Riscos de Conformidade

O tratamento inadequado de dados biométricos pode levar a graves impactos aos direitos dos titulares, incluindo discriminação e sensação de monitoramento excessivo, não sendo bem visto pela sociedade e pelas Autoridades de Proteção de Dados. Além disso, essas tecnologias frequentemente levantam dúvidas sobre os questões de proporcionalidade e transparência, gerando riscos significativos de não conformidade. Para soluções voltadas à proteção de patrimônio, a justificativa da necessidade está potencialmente coberta pela LGPD, necessitando ainda de uma revisão detalhada sobre os objetivos do tratamento, eventuais desvios de finalidade, garantias e controles técnicos e operacionais existentes.

Esta análise deve feita conjuntamente, liderada pelo seu DPO (Encarregado pela Proteção de Dados). A avaliação deverá levar em conta a necessidade do tratamento, a descrição detalhada do mesmo, proteções oferecidas, eventuais argumentações acerca da justificativa e ações para prover mais segurança ao processo e reduzir potenciais impactos aos titulares. Devem participar as áreas de negócio envolvidas, o time jurídico e de TI. Durante este processo é importante considerar os conceitos de minimização de dados (e os eventuais ajustes de processo necessários, suportados pela tecnologia), anonimização e pseudoanonimização. Uma vez finalizado, o resultado e a documentação serão parte do RIPD – Relatório de Impacto à Proteção de Dados (ou DPIA, em inglês).

Veja também: Em Junho de 2024, A ANPD (Autoridade Nacional de Proteção de Dados) lançou o segundo volume do “Radar Tecnológico” cobrindo o tema de biometria e reconhecimento facial.

Casos de Uso Excessivo

Um exemplo relevante no uso de dados biométricos ocorreu nos Estados Unidos, onde a Disney foi multada por coletar dados de impressão digital de crianças sem consentimento adequado. No Brasil, o Metrô de São Paulo enfrentou questionamentos legais sobre o uso de câmeras com reconhecimento facial, levantando dúvidas sobre a proporcionalidade da medida. Em ambos os casos, a falta de transparência e a coleta excessiva de dados resultaram em consequências negativas para as organizações.

Adequação à LGPD: Medidas Técnicas e Operacionais Necessárias

Para garantir o uso responsável de câmeras de segurança que captam dados biométricos, é essencial implementar medidas técnicas e organizacionais robustas. 

Medidas organizacionais são aquelas garantidas por processos internos da empresa (condomínios inclusive) enquanto as técnicas são àquelas voltadas à tecnologia. Ambas andam lado a lado na garantia dos direitos dos titulares, sendo a parte tecnológica um habilitador, automatizador e potencializador dos controles identificados e documentados. Um exemplo de medida organizacional é garantir que indivíduos com acesso ao feed de imagens não entrem em locais portando celulares ou cameras. Enquanto um exemplo de medida técnica seria a eliminação automatizada dos dados do feed de imagem após o período de retenção de dados ter expirado.

Para estar adequado com a LGPD, o tratamento de dados biométricos não pode ser enquadrado como Legítimo Interesse.  

Condomínios e empresas devem avaliar previamente se o uso de câmeras tradicionais seria suficiente para atingir os objetivos de segurança, ou, se somente o uso de biometria com soluções de reconhecimento facial atenderia à necessidade. Políticas claras sobre o uso de sistemas biométricos devem existir assim como avisos de privacidade em locais de fácil visualização, garantindo transparência aos colaboradores, clientes e visitantes. É crucial realizar treinamentos regulares e nomear um Encarregado de Proteção de Dados (DPO) para gerenciar as demandas regulatórias e assegurar a proteção dos direitos dos titulares. 

O não cumprimento das determinações da LGPD, pode gerar impactos financeiros e reputacionais importantes! 

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Um dos requisitos mais críticos da LGPD, da GDPR e de diversas outras legislações de privacidade ao redor do mundo é a nomeação de um Data Protection Officer (DPO ou Encarregado pela Proteção de Dados). O DPO é responsável por pelos processos e práticas de compliance com privacidade de sua empresa (e condomínio) e por atuar como ponto de contato entre a organização e as autoridades reguladoras. Contar com um DPO especializado e multidisciplinar é fundamental, principalmente para ajudar a tomar as melhores decisões estratégicas sobre o tema. 

Além de cumprir com as exigências legais, empresas devem adotar práticas robustas de segurança, dentro de sua capacidade econômica, para garantir que dados pessoais, especialmente os sensíveis, sejam tratados com o máximo cuidado em todas as etapas do processo. 

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

Sair da versão mobile