Implicações do RGPD na videovigilância:

Riscos e Oportunidades

Jorge Silva Martins

O enquadramento legal:

i. Decreto-Lei n.º 231/98, de 22 de julho

ii. Ac. do Tribunal Constitucional de 12 de junho de 2002

“A permissão da utilização de equipamentos de videovigilância constitui uma limitação ou uma restrição do direito à reserva daintimidade da vida privada, consignada no artigo 26.º, n.º 1 da CRP”

“Os meios utilizados na atividade de segurança privada e o respetivo tratamento implicam restrições ao direito à imagem e à liberdadede movimentos, integrando esses dados informação relativa à vida privada”

iii. Lei n.º 29/2003, de 22 de agosto: autorizou o Governo a legislar sobre o regime jurídico do exercício da atividade de segurançaprivada, desde que assegurados os direitos e interesses constitucionalmente protegidos

iv. Decreto-Lei n.º 35/2004, de 21 de fevereiro: aprova o regime jurídico do exercício da atividade de segurança privada

SEGURANÇA PRIVADA

A segurança privada em diálogo com o tema da proteção de dados pessoais:

i. Lei n.º 67/98, de 26 de outubro: aprovou a Lei de Proteção de Dados

ii. Lei n.º 29/2003, de 22 de agosto:

o Remissão expressa para o regime geral em matéria de proteção de dados

o Tratamento dos dados visa exclusivamente a proteção de pessoas e bens

o Necessidade de delimitação temporal da conservação dos dados recolhidos (30 dias)

o Conhecimento pelas pessoas da utilização dos meios de videovigilância

o Restrição à utilização dos dados nos termos previstos na legislação processual penal

iii. Até à publicação do Decreto-Lei n.º 35/2004, de 21 de fevereiro, a Lei de Proteção de Dados funcionou como regime de referência noâmbito da atividade de segurança privada

iv. A Lei de Proteção de Dados surge como a legislação geral a que deve obedecer o tratamento operado por sistemas de videovigilânciae de outras formas de captação, difusão de sons e imagens

SEGURANÇA PRIVADA E DADOS PESSOAIS

O REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

SEGURANÇA PRIVADA E DADOS PESSOAIS

O Regulamento Geral sobre Proteção de Dados:

Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, publicado a 4 de maio de 2016

Será aplicável a partir de 25 de maio de 2018

Não depende, de uma forma geral, de diploma nacional de adaptação (ainda que o legislador comunitário remeta para o legisladornacional a densificação de várias matérias)

3 grandes objetivos:

Regulamento em vez de Diretiva: maior harmonização

Pretende atualizar a legislação aplicável à proteção de dados pessoais que foi aprovada há mais de 20 anos (1995), i.e., antes dautilização generalizada da Internet

Devolver aos cidadãos o controlo sobre os seus dados pessoais

SOBRE O RGPD

O Regulamento Geral sobre Proteção de Dados:

Definições chave:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é consideradaidentificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador,como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou maiselementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais,por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, aadaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma dedisponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que,individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais porconta do responsável pelo tratamento destes;

SOBRE O RGPD

O Regulamento Geral sobre Proteção de Dados:

Os princípios são essencialmente os mesmos da Diretiva de 1995:

Licitude, lealdade e transparência

Limitação das finalidades (recolha e tratamento para finalidades determinadas, explícitas e legítimas)

Minimização dos dados (os dados devem ser adequados, pertinentes e limitados ao necessário relativamente à finalidades)

Exatidão (dados devem ser exatos e atualizados)

Limitação da conservação (dados devem ser conservados apenas durante o período em que são necessários relativamente àsfinalidades)

Integridade e confidencialidade (necessidade de adoção de medidas técnicas e organizativas adequadas)

Responsabilidade (demonstração do cumprimento da lei)

Responsabilização (aplicação de sanções pelo não cumprimento)

O RGPD traz porém uma importante…

SOBRE O RGPD

MUDANÇA DE PARADIGMA

AINDA SOBRE O RGPD

O Regulamento Geral sobre Proteção de Dados:

Coimas € 20 M ou 4% do volume de negócios mundial

Accountability (risk based approach)

Fim das notificações e autorizações junto da CNPD: esta Autoridade passará a desempenhar funções essencialmente inspetivas,deixando de existir (regra geral) qualquer interação a título preventivo/ex ante

Maior procedimentalização (mais procedimentos, mais complexos, mais garantísticos)

Privacy by design / Privacy by default: as preocupações com os temas da privacidade e proteção de dados passam a fazer parteda atividade das empresas e perdem a sua “marginalidade”

Necessidade de demonstrar o cumprimento das regras do RGPD: registo, documentação, etc.

Diálogo entre Legal e IT?

SOBRE O RGPD

ALGUMAS ALTERAÇÕES RELEVANTES

AINDA SOBRE O RGPD

Consentimento:

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dadosaceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Artigo 7º

Condições aplicáveis ao consentimento 1. Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos

dados deu o seu consentimento para o tratamento dos seus dados pessoais.2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o

pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível ede fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presenteregulamento.

3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete alicitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados éinformado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.

4. Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de umcontrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não énecessário para a execução desse contrato.

SOBRE O RGPD

Reforço dos direitos dos titulares:

Direito de informação (art. 13.º) Identidade e contactos do responsável Contactos do EPD (se for o caso) Finalidade do tratamento e fundamento jurídico Destinatários dos dados pessoais Informações sobre transferências para países terceiros

etc.

Direito de acesso (art. 15.º) Confirmação de que os dados são, ou não, objeto de tratamento Direito de obter cópia dos dados

etc.

Direito de retificação (art. 16.º) Sem demora justificada Retificação dos dados pessoais inexatos Direitos a que os dados pessoais incompletos sejam completados

etc.

SOBRE O RGPD

Reforço dos direitos dos titulares:

Direito ao apagamento dos dados (art. 17.º): Sem demora injustificada

Motivos: Dados pessoais deixaram de ser necessários para a finalidade que motivou recolha ou tratamento Revogação do consentimento; Direito de oposição (p.e., marketing direto)

etc.

Exceções: Cumprimento de obrigação legal Interesse público/saúde pública

etc.

Direito de portabilidade dos dados (art. 20.º) Direito a receber os dados pessoais que lhe digam respeito num formato de uso corrente e leitura automática Direito de transmitir esses dados a outro responsável (de responsável para responsável), quando tecnicamente possível

Direito de limitação (art. 18.º) Direito a restringir o tratamento dos dados

SOBRE O RGPD

Encarregado da Proteção de Dados:

Obrigação de designação Autoridades/organismos públicos Responsáveis/subcontratantes cujas atividades principais consistam em operações de tratamento que, devido à natureza/âmbito/finalidade exijam um

controlo regular e sistemático dos titulares dos dados em grande escala Responsáveis/subcontratantes consistam em operações de tratamento em grande escala de categorias especiais de dados (“dados sensíveis”) e dados

pessoais relacionados com contraordenações penais/infrações

Designado com base nas qualidades profissionais e conhecimentos especializados no domínio do Direito e práticas de proteção de dados

Posição do encarregado da proteção de dados Deve ser envolvido em todas as questões relacionadas com a proteção de dados pessoais Não pode ser destituído nem penalizado pelo exercício das funções Ponto de contacto com os titulares dos dados Pode exercer outras funções/atribuições dentro da empresa/entidade pública

SOBRE O RGPD

Notificações de violações de dados pessoais:

Definição: violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, nãoautorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer tipo de tratamento [art. 4 n.º 12]

Autoridade de Controlo Titulares dos dados pessoais

SOBRE O RGPD

Sem demora injustificada e, sempre quepossível, até 72 horas após ter tidoconhecimento da mesma

A menos que a violação não sejasuscetível de resultar num risco paradireitos e liberdades dos titulares

Subcontratante deve notificar oresponsável sem demora injustificada

Quando a violação for suscetível deresultar num risco para direitos eliberdades dos titulares

Sem demora injustificada e emlinguagem clara e simples

Não é necessária em certos casos, p. ex.se responsável tiver tomado medidas desegurança adequadas

Sanções:

As coimas têm como limite (i) 10 000 000 EUR ou 20 000 000 EUR, ou no caso de uma empresa, (ii) 2% ou 4% do volume de negóciosanual a nível mundial correspondente ao exercício anterior, conforme o montante que for mais elevado

Os Estados-Membros fixam as sanções aplicáveis às violações do Regulamento que não sejam sujeitas a coima nos termos doRegulamento

O Regulamento não prevê sanções para as autoridades e organismos públicos (é o Estado-Membro que decide).

Proposta de Lei distingue entre ilícitos de tipo contraordenacional e ilícitos de tipo penal

Proposta de Lei isenta as entidades públicas da aplicação de coimas

SOBRE O RGPD

A INTERSEÇÃO DOS DOIS MUNDOS

RGPD E SEGURANÇA PRIVADA

Alguns aspetos:

1. A vida privada não está classificada pelo RGPD como um dado especialmente protegido, pelo que as condições que legitimam o seutratamento têm de ser encontradas no artigo 6.º (licitude do tratamento)

Um dos tratamentos de dados pessoais que tem agora de ser enquadrado neste artigo é precisamente o decorrente da utilização desistemas de videovigilância, pelo impacto que tem na vida privada das pessoas

2. O RGPD mantém, no essencial, os princípios subjacentes à Diretiva de 95. Porém, enfatiza que o tratamento deve ser transparentepara os titulares de dados (i.e., no sentido de que deve ser claro onde, quando, como e por quem os respetivos dados serão tratados),o que terá inevitáveis consequências na extensão dos deveres de informação a cumprir pelas empresas de segurança privada

3. Quando o tratamento dos dados for baseado no consentimento dos titulares dos dados, é necessário garantir o cumprimento dosrequisitos mais exigentes constantes do RGPD

4. O fim das notificações/autorizações tem como moeda de troca a necessidade de demonstração de cumprimento dos princípios eregras do RGPD. Aí ganham relevância, entre outros, o privacy by design e/ou os procedimentos de avaliação de impacto

RGPD E SEGURANÇA PRIVADA

Alguns aspetos:

5. Avaliação sobre necessidade de designação de um Encarregado de Proteção de Dados torna-se exercício inevitável

A este respeito, o GT29 entende que uma empresa que preste serviços de videovigilância de espaços públicos deverá, em princípio,designar um DPO. Já uma empresa que use serviços de videovigilância para controlo interno de segurança poderá não ter de nomear.

6. Redobradas exigências sempre que o responsável pelo tratamento recorra a subcontratantes: o contrato deverá ter um conjunto decláusulas impostas pelo RGPD e a delimitação de responsabilidades entre controller e processor é tema da máxima relevância

7. Registos das atividades de tratamentos: cada responsável pelo tratamento / cada subcontratante deverá manter um registo atualizadoe bastante detalhado de todas as atividades de tratamento sob a sua responsabilidade.

Exceção: empresas com menos de 250 trabalhadores

8. Violações de dados pessoais: obrigatoriedade de notificação à autoridade de controlo / possível necessidade de comunicação ao titulardos dados

RGPD E SEGURANÇA PRIVADA

Alguns aspetos:

9. Apesar do fim das notificações/autorizações à luz do RGPD, limitações ao tratamento anteriormente enunciadas deverão permaneceraplicáveis como coordenadas gerais de tratamento (por exemplo):

Proibição da recolha de som;

A recolha de imagens deve confinar-se à propriedade do responsável, não podendo abranger imagens da via pública ou depropriedades limítrofes;

No caso de existirem terminais de pagamento ATM, as câmaras não podem estar direcionadas de modo a captar a digitaçõesdos códigos;

Não podem as câmaras incidir regularmente sobre os trabalhadores durante a atividade laboral, nem as imagens podem serutilizadas para o controlo da atividade dos trabalhadores, seja para aferir a produtividade seja para efeitos de responsabilizaçãodisciplinar;

Não podem, em circunstância alguma, ser recolhidas imagens de acesso ou interior de instalações sanitárias, acesso e interioresde vestiários, áreas de descanso ou outras áreas destinadas aos trabalhadores, zonas de fabrico, zonas de espera, salas dereuniões e auditórios;

Ao disponibilizar as imagens ao titular dos dados, o responsável deve adotar as medidas técnicas necessárias para ocultar asimagens de terceiros que possam ter sido abrangidos pela gravação.

RGPD E SEGURANÇA PRIVADA

RISCO OU OPORTUNIDADE?

RGPD E SEGURANÇA PRIVADA

Riscos:

1. O que é que queremos verdadeiramente regular? Sobre o fim dos sistemas de videovigilância em circuito fechado e o surgimento denovas tecnologias (p.e., câmaras com ligação à internet)

2. Recurso crescente a soluções cloud-based (outsourcing, offshoring), maior automação (com implicações em matéria de segurança)

3. Custos de implementação / de compliance (dificuldade na adaptação de sistemas legacy)

Oportunidades:

1. O cumprimento das novas regras poderá ser um importante catalisador de inovação e eficiência

2. As novas regras são mais data protection friendly: impõem (e permitem) um maior controlo de acessos, uma maior proteção dosdireitos e interesses dos titulares dos dados

3. Maior responsabilização significa, também, maior responsabilidade. À luz do RGPD, a responsabilidade é demonstrável e mensurável.

RGPD E SEGURANÇA PRIVADA

Muito obrigado!

PLMJ Advogados, SP, RL

E.: jorge.silvamartins@plmj.pt

T.: +351 213 197 321

Jorge Silva Martins