#bomdialgpd

Hoje o texto é mais longo, ao final você pode baixar um modelo de aviso de área gravada alinhada com a LGPD, e ver a gravação de uma live sobre o assunto. O tema proteção de dados e videovigilância é amplo e polêmico, por exemplo, ontem o judiciário determinou que o Metro SP interrompa o uso de reconhecimento facial em seu CFTV.

Imagens de vídeo fazem parte do escopo da LGPD. Em muitas organizações, as câmeras são o principal instrumento de coletas de dados pessoais (e às vezes nem estão no escopo da LGPD). Mesmo que as pessoas filmadas não sejam identificadas ou estejam em uma área pública, a operação é considerada tratamento de dados pessoais, uma vez que o Art 5, inciso I da LGPD define dado pessoal como 'informação relacionada a pessoa natural, identificada ou identificável'. Todos os dias o noticiário nos mostra casos de alguém que passou por uma câmera e foi identificado.

O primeiro passo para atender as normas de proteção de dados é organizar o inventário das áreas filmadas, câmeras, servidores, armazenamento, backup, fornecedores, contratos, conformidade e políticas.

Podem haver diferentes hipóteses de tratamento, por exemplo: em uma área de porto, há a regulamentação do padrão internacional ISPS Code que determina a videovigilância, neste caso a base legal do tratamento de dados pessoais é baseada no Art 7, inciso II, 'obrigação legal ou regulatória'; no mesmo porto em um prédio administrativo ou estacionamento, a base legal da gravação de imagens pode ser baseada no Art 7, inciso IX, 'legítimo interesse', o que recomendar a aplicação de um LIA - Legitimate Interests Assessment e um relatório de impacto preventivo (RIPD ou DPIA).

Em organizações com muitas unidades o ambiente muitas vezes é heterogêneo, com infraestruturas diferentes: armazenamento (local, datacenter, fornecedor, nuvem), uso de video analítico, resolução da imagem, visão noturna, auto foco, auto zoom, movimento, inteligência artificial embarcada, imagens em 3d e biométricas por lentes múltiplas, sensores (presença, calor, som, movimento, luz, ...) e outras tecnologias que sempre surgem.

É importante atualizar a política para que regulamente o tratamento de dados pessoais com elementos como: registro das áreas filmadas, propósito, hipótese de tratamento, tempo de retenção de imagens, controle de acesso, regras de disponibilização, padronização de avisos, relacionamento com o titular e muitos outros.

Outro ponto essencial é a segurança cibernética; não é pouco comum encontrar servidores sem segurança ligados à rede interna, não conformidades e equipamentos de gravação com senhas de fábrica. Muitas organizações estão transferindo a gestão dos equipamentos de vídeo para a infraestrutura de TI.

As mensagens do tipo 'sorria, você está sendo filmado' precisam ser substituídas. Os novos avisos devem informar o propósito da filmagem / gravação, o controlador e o contato. No caso a seguir da Fundación Universitária em Madrid avisa a área videomonitorada no perímetro externo do controlador, com videomonitoramento realizado por um prestador de serviço, veja que o nome do controlador e seu contato são preenchidos a mão.