#bomdialgpd

Ontem tratamos em nosso artigo o caso de uma pessoa (titular) que precisou de uma imagem de uma câmera e a solicitou ao controlador. Hoje vamos para o outro lado da mesa: como o controlador recebe e responde a uma requisição de imagem do titular, solicitada pelo próprio titular, que é o caso no qual se aplica a LGPD. Em um exemplo simples, se o titular teve um acidente com seu veículo, precisa fazer uma comprovação para a seguradora e havia uma câmera filmando a área, o titular pode ir ao controlador e exercer o seu direito.

Do lado do controlador, esta tarefa não é tão óbvia pois as imagens de câmeras nem sempre têm qualidade suficiente para reconhecer uma pessoa e nem toda área é iluminada o bastante; nestes casos o representante do controlador terá que fazer o reconhecimento visual, e ele mesmo decidir se a pessoa da imagem é o próprio requisitante. Este é um desafio pois se uma pessoa passa-se por um titular e é parecido fisicamente com ele, o controlador vai, ao invés de garantir o direito de um titular, estar cometendo uma violação. Recentemente acompanhei um caso assim, uma pessoa se passou por um titular, conseguiu as imagens com uma boa conversa e depois a mesma imagem foi usada judicialmente contra o titular.

Este é um dos cuidados que precisam ser tomados. Este artigo fala para dois tipos de controladores, os preparados e os não preparados, para o segundo grupo tem uma só recomendação: prepare-se.

Em muitas organizações os sistemas de videovigilância é o ambiente que mais coleta e armazena dados pessoais. Para dar uma boa resposta para um titular que venha solicitar uma imagem a partir da LGPD é necessário ter uma política, a qual deve considerar:

• Demonstrar que o sistema de videovigilância atende aos princípios e requisitos gerais da LGPD;
• Realizar um Relatório de Impacto (RIPD);
• Caso a hipótese legal seja o legítimo interesse, realize um LIA - Legitimate Interests Assessment. Diferentes áreas podem ter propósito, finalidade e hipótese de tratamento diferentes, câmeras apontadas para área externa, dentro de uma agência bancária, em uma fábrica, em uma estrada ou em uma área portuária são classificadas de formas distintas;
• Manter na áreas filmadas um aviso de gravação alinhado com a LGPD (exemplo a seguir, link no comentário);

• Manter um inventário atualizado do ambiente (áreas filmadas, câmeras, servidores, agentes de tratamento, tecnologias, posição geográfica, canais - wifi, cabo -, resolução, local de armazenamento, ...);
• Os sistemas de videoanalítico que utilizam inteligência artificial também devem estar inventariados com suas funcionalidades descritas;
• Manter o ambiente administrado pela área de infraestrutura de TI, ou seguindo a sua orientação;
• Manter o ambiente configurado conforme as políticas de tecnologia da informação e segurança da informação da organização, das regulamentações de agências reguladores e da legislação federal, estadual e municipal (tem muito sistema de gravação ligado na internet com a senha do fabricante!);
• Definir um controle de acesso rigoroso aos dados gravados;
• Aprovar regras para atendimento à requisição de imagens, inclusive com prazo de resposta. Caso o argumento seja a LGPD, o pedido deve ser pelo canal do DPO, quando não for associado à lei, o canal é outro. Descreva o protocolo de identificação visual do requisitante que aparece nas imagens para garantir que é a mesma pessoa;
• Definir claramente o prazo de retenção das imagens e a tecnologia utilizada para descarte;
• Garante cláusulas rigorosas para os prestadores de serviço que cuidem de qualquer fase da videovigilância, seja ela terceirizada ou própria;
• Evite câmeras falsas, apontando para áreas com um aviso de filmagem, há a expectativa da existência dos registros. Ou seja, informar que está realizando o tratamento de dados pessoais e não fazê-lo pode ser uma forma de violação;
• Não caia na armadilha de copiar uma política da internet ou de outra organização, a videovigilância tem o propósito de ajudar a proteger seu negócio, se não for assim, a melhor ação é minimizar: pare de filmar.