A imagem de uma pessoa é considerada um dado pessoal e portanto enquadra-se no RGPD – Regulamento Geral de Proteção de Dados.
Os sistemas de vídeo vigilância, quando usados para proteção de pessoas e prevenção de crimes, servem para captar a imagem de pessoas com o fim de as identificar e portanto estão enquadradas na lei de segurança privada, por ser uma medida de segurança obrigatória para certas entidades (conforme definido nos art.º 7º e 8º da lei 46/2019) e nos restantes casos por estar referida no art.º 19º da lei 58/2019
A implicação é que o acesso às imagens é limitado a alguém que tenha autorização para as visualizar.
Devem por isso ser tomadas todas as medidas para que não possam ser transmitidas/partilhadas de uma forma generalizada.
(…) informamos que pode o responsável ou quem designado pelo mesmo aceder às gravações, no entanto, As imagens só podem ser transmitidas no termos da lei processual penal. Detetada a eventual infração penal, o responsável deverá, juntamente com a participação, enviar à autoridade judiciária ou ao órgão de polícia criminal competentes as imagens recolhidas. Noutras situações em que as autoridades solicitem acesso às imagens, tal só poderá ocorrer, no âmbito de processo judicial devidamente identificado, em cumprimento de despacho fundamentado da autoridade judiciária competente. Fora destas condições não pode o responsável comunicar as imagens.
Aproveitamos para informar ainda que que, desde 25 de maio de 2018, com a aplicação do Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679) – RGPD, a Comissão Nacional de Proteção de Dados – CNPD deixou de ter poderes para autorizar tratamentos de dados pessoais.
Para compensar a ausência de controlo prévio da CNPD, o RGPD faz recair a obrigação sobre quem realiza os tratamentos de dados pessoais de verificar se o tratamento está conforme com as regras e princípios do RGPD (cf. artigo 24.º do RGPD).
O RGPD refere o seguinte ao tratamento de dados, onde se inclui a videovigilancia:
O RGPD refere o seguinte ao tratamento de dados, onde se inclui a videovigilancia:
Artigo 24º
Responsabilidade do responsável pelo tratamento
1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.
2 Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.
3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de certificação aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.
Mas quem é o responsável pelo tratamento de dados?
Podemos encontrar a definição de RTD no artº 7 do RGPD e quem ele pode designar (sub contratante)
«Responsável pelo tratamento», é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro; –
«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes; – nº 8 do Artº do RGPD
- Documentar e identificar o fundamento jurídico dos tratamentos – Artigo 6.º RGPD
- Respeitar e cumprir os direitos do titular dos dados pessoais – Artigo 12.º RGPD
- Escolher o subcontratante – Artigo 28.º RGPD
- Registar as atividades de tratamento – Artigo 30.º RGPD
- Assegurar a proteção do dados por defeito e desde a conceção – Obrigação relacionada com os princípios da
- Responsabilidade e da minimização – Artigo 25.º RGPD
- Assegurar a segurança do tratamento de dados pessoais – Artigo 32.º RGPD
- Promover a notificação da violação dos dados pessoais – Artigos 33.º e 34.º RGPD
- Assegurar a avaliação de impacto e a consulta prévia – Artigo 35.º e 36.ºdo RGPD
Assim, estão bem definidas as responsabilidades do RTD e cabe a ele definir quem poderá ver as imagens.
De uma forma simples o RTD:
- ser for pessoa singular, poderá ser ele próprio a ver as imagens ou delegar em alguém.
- Se for pessoa coletiva deverá definir quem poderá ver as imagens.
Não existe a necessidade de indicar ou registar na CNPD quem é o RTD, porque é, no limite que responde pela organização onde está instalado o sistema de vídeo vigilância.
Quando existirem mais pessoas que possam ter acesso às imagens, além do RTD, aconselho que seja colocado por escrito quer seja para colaboradores internos, quer seja para empresas externas, mesmo que estas sejam empresas registadas na PSP.
Fontes de informação: CNPD; PSP – Departamento de Segurança Privada