A LGPD aplicada ao mercado de segurança
Imagens do CFTV captam dados extremamente sensíveis e isso pode ser um problema para o condomínio
Por Fabio David* e Patricia Punder**
A LGPD entrou em vigor no ano passado e veio para ficar no mercado brasileiro. Mesmo com a Agência Nacional de Proteção de Dados (ANPD) ainda não penalizando as empresas infratoras, temos os Procons e Judiciário à frente deste tema.
A LGPD foi escrita para regularizar a privacidade de dados pessoais. O mercado entende que dados pessoais são os dados que estão basicamente em nossos documentos, porém se esquecem por onde passamos e como fazemos.
A LGPD tem aplicação transversal, ou seja, ela também engloba diversas legislações e não faz distinção de mercados ou empresas. Grandes, médias, pequenas ou startups estão sob a égide desta nova lei.
Pouco se comenta sobre a aplicação da LGPD no mercado de segurança. Escolas, condomínios (não importa o tamanho), bairro, cidade e Estado, shoppings centers, armazéns logísticos, redes varejistas, estacionamentos, comércios de bairro, que utilizam de equipamentos para garantir a segurança de seus usuários, também devem se adequar a LGPD, que possui peculiaridades específicas para o mercado de segurança.
Devemos entender que todos temos uma identidade de “como”, uma identidade além do documento, que são características próprias que nos tornam identificáveis. Entendendo o ponto que nós deixamos um “rastro” com nossa identidade por onde passamos e que nosso “jeito” é único, iniciamos a relação com a LGPD e a segurança.
A relação com a segurança pode ser vista de modo subjetivo, pois não há contato físico ou relação clara entre a pessoa (titular do dado) e a operação de segurança (operador e controlador).
Porém, perante a lei, esta relação está mais do que clara. Existe a relação a partir do momento em que a pessoa entra no campo de abrangência da câmera.
Neste momento, a coleta de dados pessoais existe e são inúmeras (altura, modo de antar, tipo do cabelo, cor do cabelo, modo de se vestir, opção religiosa, etnia e outros), esses dados podem não identificar imediatamente a pessoa, mas a torna identificável.
Como vimos acima, existe uma relação clara entre as pessoas (titular dos dados) e a operação de segurança que precisa ser considerada.
Essa massa de dados é tratada segundo a segundo, gerando cada vez mais maior número de informações durante o processo de aproximação física com a câmera (quanto mais a pessoa se aproxima, mais detalhes e maior assertividade temos).
Se olharmos as multas aplicadas recentemente pelas Autoridades Nacionais Europeias (que serve como referência para a LGPD) relacionadas a câmeras, um cálculo real para ser feito é: multiplicar e/ou considerar a história deste parágrafo acima pelo número de câmeras existentes, tipos de dados pessoais tratados, dados sensíveis, áreas fora de nossa responsabilidade (câmeras externas), 24 horas por dia, 365 dias por ano.
A mencionada conta acima, deve ser realizada por todos “Controladores de Dados” (condomínios, empresas, ...) e “Encarregados de Dados” (síndicos, síndicos profissionais, administradoras de condomínio, empresas de vigilância e monitoramento, consultores etc) para entender a grandeza do tema, vale a introspecção.
Consideramos que, para a segurança, os dados têm basicamente 2 pilares: volume e profundidade. Volume é o número de dados tratados pelo seu sistema de segurança; profundidade é o quão invasivo você é na privacidade da pessoa (titular do dado).
Para ser mais exato no ponto de profundidade, podemos ter um exemplo do que aconteceu na Suécia.
Foram instaladas câmeras nos corredores e escadas de um prédio, e o ângulo da câmera possibilitava a visualização do interior do apartamento quando a porta se abre. Visualizar o ambiente privado do outro é uma violação da privacidade muito grande perante a lei (profundidade).
A profundidade para as câmeras também pode ser entendida como uma única e invariável, pois ela identifica possivelmente todos ou grande parte dos dados pessoais sensíveis e não sensíveis, porém não deixando de ser uma profundidade ampla.
Considerar que pela LGPD todos são clientes é também essencial para darmos o primeiro passo. Funcionários, terceiros, visitas, clientes e pessoas que não conhecemos e entraram na área de abrangência da câmera (transeuntes), todos têm os seus direitos preservados pela lei e caso se entenda que os dados devam ser tratados, devemos nos basear legalmente para essa realização.
Um caso que se encaixa neste entendimento de volume, profundidade e clientes da GDPR (Diretiva de Proteção de Dados da Comunidade Europeia) é o caso emblemático da NBB (notebookbilliger.de).
Uma empresa de e-commerce de artigos eletrônicos alemã que implantou em 2018 (mesmo ano de vigência da lei na EU) seu sistema de câmeras em seu centro de distribuição, lojas e escritório, foi multada em 2021 em € 10.4 milhões por dois anos de tratamento de dados sem base legal. Vale destacar que a empresa (NBB) teve sua lição de casa realizada para os demais departamentos, porém, não considerou a segurança.
- [JURISPRUDÊNCIA] Cyrela é condenada por compartilhar dados de cliente
A LGPD indica vários passos que devem ser cumpridos pela lei, como: LIA (Análise de Legítimo Interesse), RIPD (Relatório de Impacto à Proteção de Dados), busca de modos menos invasivos, registros, monitoramento, entre outras etapas já estipuladas.
O Ministério da Economia pela Secretaria do Governo Digital também publicou um guia para auxiliar demais órgãos governamentais, porém em seu texto ele claramente expõe um ponto que será levado em consideração pela Agência Reguladora Brasileira:
“A elaboração de um único RIPD para todas as operações de tratamento de dados pessoais ou de um RIPD para cada projeto, sistema, ou serviço deve ser avaliada por cada instituição de acordo com os processos internos de trabalho. Assim, uma instituição que realiza tratamento de quantidade reduzida de dados pessoais, com poucos processos e serviços, pode optar por um RIPD único. Já uma instituição que implementa vários processos, projetos, sistemas e serviços que envolvam o tratamento de expressiva quantidade e diversidade de dados pessoais pode considerar que a elaboração de um único RIPD não seja a opção mais indicada, optando por elaborar RIPDs segregados por ser mais adequado à sua realidade."
É neste ponto que a massa de dados, o passo a passo com a lei e a segurança se relacionam. A provável expectativa do Governo Federal é que, além das análises estipuladas legalmente, haja boa-fé no processo, e isso vem de encontro com o volume e profundidade de dados tratados.
Podemos considerar que em muitos casos a segurança trata um volume muito maior de dados que os departamentos de RH, Jurídico e TI, identificamos que esse tratamento precisa ser previamente estudado e considerado pelo controlador (empresa) antes de ser implantado (o que não é possível, pois os sistemas de câmeras já estão operando, então já estamos atrasados).
Havendo esse estudo e possível equivalência na proporcionalidade de dados entre os departamentos, vem da empresa entender sua massa de dados tratada pelo sistema de segurança, analisar a possível necessidade de segregar os estudos (RIPD para segurança), adequar todos os seus pilares, monitorar sua evolução, atualizar quando necessário, validar sua eficácia, sempre considerar a boa-fé nas etapas, olhar pelo ponto de vista do dado do outro e tudo isso sem perder a essência do seu serviço.
Tendo em vista o exposto acima, nota-se a necessidade da conscientização das empresas e da alta liderança dos referidos mercados em relação à LGPD para manter a segurança.
O custo da não implementação pode sair muito caro, não apenas sob o aspecto financeiro (penalidades), mas também pelo abalo que pode ser causado na reputação. Vale lembrar que as mídias sociais não perdoam e não esquecem nunca.
(*) Fabio David é DPO, Sec DPO e Gestor de Segurança Patrimonial; experiência governamental e corporativa em segurança; formado em Administração pela UAM, MBA pela FIA em Riscos de Fraude e Compliance e Especializado em LGPD pela Data Privacy Brasil. Realiza consultoria e projetos de segurança condominial, corporativa e, adequação de LGPD e Compliance. (**) Patricia Punder é advogada é compliance officer com experiência internacional. Professora de Compliance no pós-MBA da FIA e LEC – Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”, lançado pela LEC em 2019 e Compliance – além do Manual 2020. Com sólida experiência no Brasil e na América Latina, Patrícia tem expertise na implementação de Programas de Governança e Compliance, LGPD, ESG; treinamentos; análise estratégica de avaliação e gestão de riscos; gestão na condução de crises de reputação corporativa e investigações envolvendo o DOJ (Department of Justice), SEC (Securities and Exchange Comission), AGU, CADE e TCU (Brasil).
