Por: Andrei Junqueira, Channel Business Manager da Milestone Systems para o Brasil.

Diferentes políticas de privacidade de dados no mundo inteiro requerem que as organizações que utilizam os sistemas de gerenciamento de vídeo (VMS), adotem uma estratégia proativa para a proteção dos dados pessoais, em todas as etapas do processamento e armazenamento dos dados. A educação continuada é uma das formas mais eficazes de auxiliar os responsáveis pelo tratamento de dados, a identificar os dados privados e tratá-los com segurança.

Novas leis globais de privacidade recentemente adotadas no Brasil, Austrália, Japão e União Europeia, variam significativamente no tocante às políticas e às sanções. Considerada a mudança mais importante na regulamentação da privacidade de dados em 20 anos, o Regulamento Geral sobre Proteção de Dados (GDPR, por sua sigla em inglês) é um excelente exemplo de uma política rigorosa, que impõe questões de conformidade desafiadoras para muitas empresas que operam com a União Europeia.

A formação contínua é fundamental para entender como os complexos regulamentos sobre privacidade, como o GDPR, se aplicam em um ambiente de vigilância por vídeo. Os responsáveis pelo tratamento de dados, incluindo operadores, agentes de segurança e administradores de sistemas, devem aprender a identificar e proteger os dados pessoais, usando ferramentas como as máscaras de privacidade e as proteções para as provas exportadas.

Já faz quase dois anos que o GDPR entrou em aplicação, em 25 de maio de 2018. E muito embora o GDPR seja aplicável à União Europeia, ele também afeta as empresas que fazem negócios por lá. Muitas empresas dos EUA, com funcionários ou clientes na Europa, estão sentindo os efeitos decorrentes da conformidade com o GPDR.

Identificando Dados Pessoais

A privacidade se tornou um tema cada vez mais importante nos últimos anos, pois muitas tecnologias coletam dados pessoais. Dados pessoais são qualquer tipo de informação que direta ou indiretamente, pode ser utilizada para identificar uma pessoa, como nomes, números de identificação, dados de localização, incluindo vídeos, imagens estáticas e outros identificadores.

Alguns dados pessoais não identificam necessariamente uma única pessoa, mas são de natureza mais sensível, como a orientação sexual, crenças religiosas, quadro de saúde, origem étnica ou raça. Por exemplo, um VMS instalado em um hospital pode coletar dados pessoais relacionados ao quadro de saúde de uma pessoa. Quando combinadas com identificadores diretos como nome, imagem ou identidade nacional, essas informações deixariam de ser privadas.

Com um VMS, a quantidade de dados pessoais capturados varia de acordo com o tipo de tecnologia utilizada. Com câmeras de vídeo apenas, as empresas capturam somente detalhes visuais. No entanto, quando combinadas com microfones, controle de acesso, reconhecimento facial, reconhecimento de placas de veículos ou outros tipos de sistemas, a empresa terá acesso a mais dados pessoais. Essa combinação de detalhes torna as informações ainda mais sensíveis. É por isso que é importante proteger todos os tipos de dados privados.

Realizando uma Avaliação de Impactos na Proteção de Dados

Antes de instalar e implementar sistemas de vigilância por vídeo, os projetistas dos sistemas e os usuários finais, devem realizar conjuntamente uma avaliação do impacto na proteção da privacidade de dados. A avaliação determina o impacto do sistema proposto na privacidade dos indivíduos, assim como em outros direitos fundamentais, objetivando identificar as garantias para a privacidade.

O contexto é importante no equilíbrio entre vigilância por vídeo e privacidade, por isso é fundamental que os responsáveis pelo tratamento de dados sejam treinados para seguir a política de vigilância por vídeo da empresa. Normalmente, uma empresa possui vigilância por vídeo em suas próprias instalações, nos arredores e no estacionamento, no entanto, os acessos aos sanitários, chuveiros, guarda-volumes e vestiários, são considerados locais altamente sensíveis.

A avaliação de impactos deve examinar todas as áreas de um estabelecimento e documentar porque a gravação será necessária, e como a privacidade das pessoas será protegida. Uma solução é utilizar a máscara de privacidade, um recurso que possibilita ocultar partes de um determinado campo de visão - como quando janelas e outras áreas sensíveis de estabelecimentos ou residências adjacentes, permanecem visíveis. A opção de mascaramento ainda possibilita ao operador uma boa visibilidade de uma área, sem comprometer a privacidade.

Os usuários finais precisam trabalhar com os profissionais de segurança para realizar essa avaliação e estabelecer uma política de vigilância por vídeo pormenorizada, que proporcione uma visão geral do VMS e sua finalidade. A política deve descrever como o sistema será operado, como os dados pessoais serão utilizados e quais garantias de proteção de dados estarão em vigor. O objetivo deve contemplar a coleta de informações privadas ao mínimo necessário e ao menor período possível. Para os supervisores, é importante conhecer a justificação regulamentar da vigilância por vídeo na empresa.

Tratamento de Provas Exportadas

Ao compartilhar provas após um incidente criminal, a privacidade fica ameaçada quando os dados exportados saem do sistema de vigilância em um dispositivo de armazenamento removível, como uma unidade USB ou disco óptico. Se esses dados chegarem de forma indevida em mãos erradas, a privacidade dos envolvidos nas provas seria comprometida.

Os usuários do VMS devem receber treinamento contendo procedimentos compreensíveis para a exportação de provas, incluindo diretrizes sobre o pessoal autorizado a exportar provas, armazenamento e acesso a provas, formatos e criptografias para exportação, e prazos para a destruição de provas.

As ferramentas do software VMS também podem ser utilizadas para proteger os dados exportados, incluindo a proteção de senhas e assinaturas digitais, verificando se as provas não foram manipuladas.

Minimize os Riscos, Mantenha-se Informado

À medida que mais usuários finais e empresas projetistas de sistemas buscam se adequar as complexidades de conformidade, com as regulamentações sobre privacidade, continuará em crescimento a tendência da mitigação de riscos, envolvendo assim maior alocação de orçamentos para investimentos em formação nessas áreas.

O treinamento contínuo, a autoeducação e a conscientização, são componentes essenciais para o estabelecimento de uma cultura de responsabilidade em proteção de dados. Os profissionais de segurança de todas as áreas, devem se manter sempre muito bem informados sobre as regulamentações locais, regionais e nacionais. Além disso, eles devem trabalhar para alavancar as tecnologias disponíveis, utilizar as melhores práticas no tratamento de dados e a orientação valiosa dos consultores, para garantir a conformidade e evitar questões de privacidade embaraçosas e possivelmente onerosas.