Bom Dia LGPD

Videovigilância e Relatório de Impacto

#bomdialgpd


Nestas semanas duas notícias mereceram a atenção das equipes de conformidade com a LGPD: a publicação da ANPD com Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), e os casos de violências em escolas.


Uma das formas mais eficazes de combater a violência, ou afastá-la de sua região, são ações preventivas como iluminação, videovigilância e rondas. Um dos recursos mais utilizados em escolas são os sistemas de videovigilância baseados em câmeras distribuídas pelas áreas comuns.


Muitos sistemas de videovigilância são frágeis no que se refere à segurança cibernética.


Ao mesmo tempo que um sistema de câmeras é um recurso contra a violência no mundo real, estes sistemas costumam ser frágeis quanto à segurança cibernética. Boa parte dos sistemas de videovigilância não estão sob a gestão das equipes de TI ou SI e com isso muitos deles são invadidos com alguma facilidade, inclusive por manterem as senhas de fábrica. Há muito tempo são divulgadas listas de câmeras privadas "abertas" na internet por não usarem senhas, por manter a senha de fábrica ou por usar senhas fáceis de quebrar.


Uma imagem gravada é uma informação forense e todos os dias assistimos casos nos quais as imagens ajudam a esclarecer uma série de fatos.


Na publicação da ANPD sobre o RIPD, a vigilância é um dos elementos que orientam a confecção de um Relatório de Impacto, assim os controladores sistemas de videovigilância devem ser objeto de uma avaliação de riscos e consequentemente deve haver um RIPD associado:




Seguem alguns pontos de atenção para o RIPD de videovigilância:


  • Há uma política para videovigilância? A política considera elementos como tempo de retenção, controle de acesso, forma de armazenamento, resposta a requisição de imagens ...;
  • As áreas filmadas contêm aviso de gravação alinhados com a LGPD? (há um exemplo de aviso de gravação no link);
  • O ambiente está inventariado? (áreas filmadas, câmeras, servidores, agentes de tratamento, tecnologias, posição geográfica, canais (wifi, cabo), resolução, local de armazenamento, ...);
  • A infraestrutura é administrada pelas equipes de TI e SI?;
  • O ambiente tecnológico está configurado conforme as políticas de segurança da informação da organização e a legislação federal, estadual e municipal?;
  • Um ponto de atenção são as câmeras falsas utilizadas como forma de coibir ações; uma vez que há uma câmera apontando para uma área e um aviso de filmagem, há a expectativa da existência dos registros. Ou seja, informar que está realizando o tratamento de dados pessoais e não fazê-lo pode ser uma forma de violação.


Incluí nos comentários alguns artigos e lives sobre o assunto que ganha importância a partir da definição da ANPD. Temos tido boas experiências na conformidade de videomonitoramento com a LGPD, ficamos à disposição.

Bom fim de semana.


Obrigado,


Abraço,


FNery.


Descrição da imagem no DALL-E: "Please create an oil painting style image featuring an array of CCTV cameras in various positions and angles"


Comentários:


Artigos: https://www.linkedin.com/pulse/videovigil%C3%A2ncia-est%C3%A1-em-seu-projeto-de-conformidade-com-fernando-nery/https://www.linkedin.com/pulse/video-vigil%C3%A2ncia-o-que-dpo-deve-fazer-fernando-nery/https://www.linkedin.com/pulse/video-vigil%C3%A2ncia-e-lgpd-fernando-nery/

Live no youtube: https://www.youtube.com/watch?v=L3sX5YXHZs8

(Art 20) Decisões Automatizadas e IA Biometria (Art 11) Dados Sensíveis Videovigilância
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato