Implicações do RGPD na videovigilância: Riscos e Oportunidades. Jorge Silva Martins

Transcrição

1

2 Implicações do RGPD na videovigilância: Riscos e Oportunidades Jorge Silva Martins

3 SEGURANÇA PRIVADA O enquadramento legal: i. Decreto-Lei n.º 231/98, de 22 de julho ii. Ac. do Tribunal Constitucional de 12 de junho de 2002 A permissão da utilização de equipamentos de videovigilância constitui uma limitação ou uma restrição do direito à reserva da intimidade da vida privada, consignada no artigo 26.º, n.º 1 da CRP Os meios utilizados na atividade de segurança privada e o respetivo tratamento implicam restrições ao direito à imagem e à liberdade de movimentos, integrando esses dados informação relativa à vida privada iii. Lei n.º 29/2003, de 22 de agosto: autorizou o Governo a legislar sobre o regime jurídico do exercício da atividade de segurança privada, desde que assegurados os direitos e interesses constitucionalmente protegidos iv. Decreto-Lei n.º 35/2004, de 21 de fevereiro: aprova o regime jurídico do exercício da atividade de segurança privada

4 SEGURANÇA PRIVADA E DADOS PESSOAIS A segurança privada em diálogo com o tema da proteção de dados pessoais: i. Lei n.º 67/98, de 26 de outubro: aprovou a Lei de Proteção de Dados ii. Lei n.º 29/2003, de 22 de agosto: o Remissão expressa para o regime geral em matéria de proteção de dados o Tratamento dos dados visa exclusivamente a proteção de pessoas e bens o Necessidade de delimitação temporal da conservação dos dados recolhidos (30 dias) o Conhecimento pelas pessoas da utilização dos meios de videovigilância o Restrição à utilização dos dados nos termos previstos na legislação processual penal iii. Até à publicação do Decreto-Lei n.º 35/2004, de 21 de fevereiro, a Lei de Proteção de Dados funcionou como regime de referência no âmbito da atividade de segurança privada iv. A Lei de Proteção de Dados surge como a legislação geral a que deve obedecer o tratamento operado por sistemas de videovigilância e de outras formas de captação, difusão de sons e imagens

5 SEGURANÇA PRIVADA E DADOS PESSOAIS O REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

6 SOBRE O RGPD O Regulamento Geral sobre Proteção de Dados: Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, publicado a 4 de maio de 2016 Será aplicável a partir de 25 de maio de 2018 Não depende, de uma forma geral, de diploma nacional de adaptação (ainda que o legislador comunitário remeta para o legislador nacional a densificação de várias matérias) 3 grandes objetivos: Regulamento em vez de Diretiva: maior harmonização Pretende atualizar a legislação aplicável à proteção de dados pessoais que foi aprovada há mais de 20 anos (1995), i.e., antes da utilização generalizada da Internet Devolver aos cidadãos o controlo sobre os seus dados pessoais

7 SOBRE O RGPD O Regulamento Geral sobre Proteção de Dados: Definições chave: «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ououtro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

8 SOBRE O RGPD O Regulamento Geral sobre Proteção de Dados: Os princípios são essencialmente os mesmos da Diretiva de 1995: Licitude, lealdade e transparência Limitação das finalidades (recolha e tratamento para finalidades determinadas, explícitas e legítimas) Minimização dos dados (os dados devem ser adequados, pertinentes e limitados ao necessário relativamente à finalidades) Exatidão (dados devem ser exatos e atualizados) Limitação da conservação (dados devem ser conservados apenas durante o período em que são necessários relativamente às finalidades) Integridade e confidencialidade (necessidade de adoção de medidas técnicas e organizativas adequadas) Responsabilidade (demonstração do cumprimento da lei) Responsabilização (aplicação de sanções pelo não cumprimento) O RGPD traz porém uma importante

9 AINDA SOBRE O RGPD MUDANÇA DE PARADIGMA

10 SOBRE O RGPD O Regulamento Geral sobre Proteção de Dados: Coimas 20 M ou 4% do volume de negócios mundial Accountability (risk based approach) Fim das notificações e autorizações junto da CNPD: esta Autoridade passará a desempenhar funções essencialmente inspetivas, deixando de existir (regra geral) qualquer interação a título preventivo/ex ante Maior procedimentalização (mais procedimentos, mais complexos, mais garantísticos) Privacy by design / Privacy by default: as preocupações com os temas da privacidade e proteção de dados passam a fazer parte da atividade das empresas e perdem a sua marginalidade Necessidade de demonstrar o cumprimento das regras do RGPD: registo, documentação, etc. Diálogo entre Legal e IT?

11 AINDA SOBRE O RGPD ALGUMAS ALTERAÇÕES RELEVANTES

12 SOBRE O RGPD Consentimento: «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; Artigo 7º Condições aplicáveis ao consentimento 1. Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais. 2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento. 3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar. 4. Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

13 SOBRE O RGPD Reforço dos direitos dos titulares: Direito de informação (art. 13.º) Identidade e contactos do responsável Contactos do EPD (se for o caso) Finalidade do tratamento e fundamento jurídico Destinatários dos dados pessoais Informações sobre transferências para países terceiros etc. Direito de acesso (art. 15.º) Confirmação de que os dados são, ou não, objeto de tratamento Direito de obter cópia dos dados etc. Direito de retificação (art. 16.º) Sem demora justificada Retificação dos dados pessoais inexatos Direitos a que os dados pessoais incompletos sejam completados etc.

14 SOBRE O RGPD Reforço dos direitos dos titulares: Direito ao apagamento dos dados (art. 17.º): Sem demora injustificada Motivos: Dados pessoais deixaram de ser necessários para a finalidade que motivou recolha ou tratamento Revogação do consentimento; Direito de oposição (p.e., marketing direto) etc. Exceções: Cumprimento deobrigação legal Interesse público/saúde pública etc. Direito de portabilidade dos dados (art. 20.º) Direito a receber os dados pessoais que lhe digam respeito num formato de uso corrente e leitura automática Direito de transmitir esses dados a outro responsável (de responsável para responsável), quando tecnicamente possível Direito de limitação (art. 18.º) Direito a restringir o tratamento dos dados

15 SOBRE O RGPD Encarregado da Proteção de Dados: Obrigação de designação Autoridades/organismos públicos Responsáveis/subcontratantes cujas atividades principais consistam em operações de tratamento que, devido à natureza/âmbito/finalidade exijam um controlo regular e sistemático dos titulares dos dados em grande escala Responsáveis/subcontratantes consistam em operações de tratamento em grande escala de categorias especiais de dados ( dados sensíveis ) e dados pessoais relacionados com contraordenações penais/infrações Designado com base nas qualidades profissionais e conhecimentos especializados no domínio do Direito e práticas de proteção de dados Posição do encarregado da proteção de dados Deve ser envolvido em todas as questões relacionadas com a proteção de dados pessoais Não pode ser destituído nem penalizado pelo exercício das funções Ponto de contacto com os titulares dos dados Pode exercer outras funções/atribuições dentro da empresa/entidade pública

16 SOBRE O RGPD Notificações de violações de dados pessoais: Definição: violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer tipo de tratamento [art. 4 n.º 12] Autoridade de Controlo Sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma A menos que a violação não seja suscetível de resultar num risco para direitos e liberdades dos titulares Subcontratante deve notificar o responsável sem demora injustificada Titulares dos dados pessoais Quando a violação for suscetível de resultar num risco para direitos e liberdades dos titulares Sem demora injustificada e em linguagem clara e simples Não é necessária em certos casos, p. ex. se responsável tiver tomado medidas de segurança adequadas

17 SOBRE O RGPD Sanções: As coimas têm como limite (i) EUR ou EUR, ou no caso de uma empresa, (ii) 2% ou 4% do volume de negócios anual a nível mundial correspondente ao exercício anterior, conforme o montante que for mais elevado Os Estados-Membros fixam as sanções aplicáveis às violações do Regulamento que não sejam sujeitas a coima nos termos do Regulamento O Regulamento não prevê sanções para as autoridades e organismos públicos (é o Estado-Membro que decide). Proposta de Lei distingue entre ilícitos de tipo contraordenacional e ilícitos de tipo penal Proposta de Lei isenta as entidades públicas da aplicação de coimas

18 RGPD E SEGURANÇA PRIVADA A INTERSEÇÃO DOS DOIS MUNDOS

19 RGPD E SEGURANÇA PRIVADA Alguns aspetos: 1. A vida privada não está classificada pelo RGPD como um dado especialmente protegido, pelo que as condições que legitimam o seu tratamento têm de ser encontradas no artigo 6.º (licitude do tratamento) Um dos tratamentos de dados pessoais que tem agora de ser enquadrado neste artigo é precisamente o decorrente da utilização de sistemas de videovigilância, pelo impacto que tem na vida privada das pessoas 2. O RGPD mantém, no essencial, os princípios subjacentes à Diretiva de 95. Porém, enfatiza que o tratamento deve ser transparente para os titulares de dados (i.e., no sentido de que deve ser claro onde, quando, como e por quem os respetivos dados serão tratados), o que terá inevitáveis consequências na extensão dos deveres de informação a cumprir pelas empresas de segurança privada 3. Quando o tratamento dos dados for baseado no consentimento dos titulares dos dados, é necessário garantir o cumprimento dos requisitos mais exigentes constantes do RGPD 4. O fim das notificações/autorizações tem como moeda de troca a necessidade de demonstração de cumprimento dos princípios e regras do RGPD. Aí ganham relevância, entre outros, o privacy by design e/ou os procedimentos de avaliação de impacto

20 RGPD E SEGURANÇA PRIVADA Alguns aspetos: 5. Avaliação sobre necessidade de designação de um Encarregado de Proteção de Dados torna-se exercício inevitável A este respeito, o GT29 entende que uma empresa que preste serviços de videovigilância de espaços públicos deverá, em princípio, designar um DPO. Já uma empresa que use serviços de videovigilância para controlo interno de segurança poderá não ter de nomear. 6. Redobradas exigências sempre que o responsável pelo tratamento recorra a subcontratantes: o contrato deverá ter um conjunto de cláusulas impostas pelo RGPD e a delimitação de responsabilidades entre controller e processor é tema da máxima relevância 7. Registos das atividades de tratamentos: cada responsável pelo tratamento / cada subcontratante deverá manter um registo atualizado e bastante detalhado de todas as atividades de tratamento sob a sua responsabilidade. Exceção: empresas com menos de 250 trabalhadores 8. Violações de dados pessoais: obrigatoriedade de notificação à autoridade de controlo / possível necessidade de comunicação ao titular dos dados

21 RGPD E SEGURANÇA PRIVADA Alguns aspetos: 9. Apesar do fim das notificações/autorizações à luz do RGPD, limitações ao tratamento anteriormente enunciadas deverão permanecer aplicáveis como coordenadas gerais de tratamento (por exemplo): Proibição da recolha de som; A recolha de imagens deve confinar-se à propriedade do responsável, não podendo abranger imagens da via pública ou de propriedades limítrofes; No caso de existirem terminais de pagamento ATM, as câmaras não podem estar direcionadas de modo a captar a digitações dos códigos; Não podem as câmaras incidir regularmente sobre os trabalhadores durante a atividade laboral, nem as imagens podem ser utilizadas para o controlo da atividade dos trabalhadores, seja para aferir a produtividade seja para efeitos de responsabilização disciplinar; Não podem, em circunstância alguma, ser recolhidas imagens de acesso ou interior de instalações sanitárias, acesso e interiores de vestiários, áreas de descanso ou outras áreas destinadas aos trabalhadores, zonas de fabrico, zonas de espera, salas de reuniões e auditórios; Ao disponibilizar as imagens ao titular dos dados, o responsável deve adotar as medidas técnicas necessárias para ocultar as imagens de terceiros que possam ter sido abrangidos pela gravação.

22 RISCO OU OPORTUNIDADE? RGPD E SEGURANÇA PRIVADA

23 RGPD E SEGURANÇA PRIVADA Riscos: 1. O que é que queremos verdadeiramente regular? Sobre o fim dos sistemas de videovigilância em circuito fechado e o surgimento de novas tecnologias (p.e., câmaras com ligação à internet) 2. Recurso crescente a soluções cloud-based (outsourcing, offshoring), maior automação (com implicações em matéria de segurança) 3. Custos de implementação / de compliance (dificuldade na adaptação de sistemas legacy) Oportunidades: 1. O cumprimento das novas regras poderá ser um importante catalisador de inovação e eficiência 2. As novas regras são mais data protection friendly: impõem (e permitem) um maior controlo de acessos, uma maior proteção dos direitos e interesses dos titulares dos dados 3. Maior responsabilização significa, também, maior responsabilidade. À luz do RGPD, a responsabilidade é demonstrável e mensurável.

24 Muito obrigado! Jorge Silva Martins PLMJ Advogados, SP, RL E.: T.: