Passo a discorrer sobre um caso estudado que pode auxiliar as empresas na correta adequação de suas políticas de proteção de dados pessoais que adotam sistemas de segurança necessários a vigilância patrimonial e de pessoas.
O tema está associado ao uso de câmeras no Circuito Fechado de TV (CFTV) pelo controlador de dados nas instalações de trabalho e a visualização das filmagens do CFTV (que contenham dados pessoais ou imagens dos titulares).
O caso – o controlador de dados tinha uma política de CFTV vigente, que determina que o motivo do sistema de CFTV era exclusivamente para segurança das instalações em face de eventuais riscos de explosão, furto, incêndio e outros potenciais acidentes no curso das atividades de entrega de produtos. Inclusive contendo a sinalização nos locais/áreas onde as câmeras de segurança estavam em operação.
Mas, na prática, infelizmente durante uma reunião de equipe, colaboradores ouviram de seu gerente que as imagens de CFTV, poderiam ser também utilizadas para monitorar o desempenho dos colaboradores durante sua jornada de trabalho. Fica claro que tal propósito nunca foi sequer cogitado na política e a explanação do gerente colocou em xeque a realidade versus as diretrizes da política de CFTV.
Quando o Titular formalizou pedido de explicações ao Controlador, este reconheceu que o uso dos dados pessoais/imagem do titular estava representando uma violação da política.
Quando os dados pessoais são processados para um propósito diferente daquele para o qual foram coletados, os propósitos subjacentes a esse processamento adicional não devem ser incompatíveis com os propósitos originais. Em relação ao uso dos dados pessoais do titular, o objetivo de monitorar seu desempenho foi distinto dos propósitos originais de segurança e vigilância patrimonial para os quais as filmagens de CFTV são coletadas.
Outro problema surgiu em relação à segurança em torno da forma como o sistema de CFTV e os registros de imagem são acessados. Em resposta por escrito ao titular, o controlador afirmou que o acesso às filmagens de CFTV estava disponível em um PC autônomo no departamento de segurança, com acesso por vários indivíduos e que não exigia informações de login. A ausência de um registro/proteção por senha para acesso as filmagens de CFTV representa também uma fragilidade no processo de proteção de dados em geral. Os controladores de dados devem implementar medidas de segurança e organizacionais adequadas, em relação às condições de acesso e para as operações com dados pessoais.
Com as evidências aqui constatadas. Coube ao controlador reforçar o treinamento com a Alta Liderança e alterar os equipamentos e procedimentos de acesso. Foi desativado e removido o único PC disponível a vários indivíduos. O acesso às gravações do CFTV está agora limitado, designado um único indivíduo na unidade específica, determinado o acesso por senha e as gravações são revisadas apenas em caso de incidente de segurança ou acidente, além de ser determinado prazo para exclusão das imagens.
Deste caso podemos concluir que, fundamentalmente a política de CFTV deve ter um propósito específico e legítimo que atenda a uma necessidade ou uma área de risco, como a prevenção ou redução de crimes em um determinado local ou área sujeita a atividades ilegais.
A base legal para tratamento de dados pelo CFTV deve ser estabelecida por meio de uma avaliação de risco mais aprofundada, em geral está alinhada a base legal do interesse legítimo (artigo 7º. Inciso IX da Lei Geral de Proteção de Dados). No entanto requer um relatório técnico para entender melhor sua aplicação e mecanismos a serem adotados para a segurança da informação.
Lembre-se no último dia 10 de fevereiro, a Emenda Constitucional (EC) 115/2022 representou um grande passo ao acrescentar no art. 5º, LXXIX da Constituição Federal – o direito à proteção de dados pessoais – no rol de direitos e garantias fundamentais ao cidadão.
Portanto, revise seus processos, adeque suas políticas e invista urgente no treinamento de pessoal.
Por Thais Carloni
Leia outras notícias no portal Mundo Agro Brasil
