Videovigilância/RGPD
9 fevereiro 2022
Na sequência de recente notificação trazida ao nosso Gabinete Jurídico, tivemos conhecimento da primeira autuação por parte da CNPD a empresa associada, no âmbito do Regulamento Geral de Protecção de Dados (RGPD).
No âmbito de acção de fiscalização (desencadeada pela PSP), foi detectado que a hora apresentada no sistema de videovigilância se apresentava errada (o desfasamento entre a hora do registo de imagens constante do equipamento (11h19mn) e a hora real (10h02mn) era de pouco mais de 60 mn).
A CNPD considerou violado o principio da exactidão, que postula a proibição de recolha ou armazenamento de dados incorrectos.
Em matéria de RGPD, as coimas aplicáveis podem atingir os 20 milhões de euros. Alertamos, assim, para a necessidade de rigoroso cumprimento das obrigações nesta matéria e, em particular, para o cumprimento das regras relativas aos sistemas de videovigilância, como sejam:
Nos locais objecto de vigilância com recurso a câmaras de vídeo é obrigatória a afixação, em local bem visível, de informação sobre as seguintes matérias:
- A existência de câmaras de vídeo;
- A menção «Para sua protecção, este local é objecto de videovigilância»;
- A entidade de segurança privada autorizada a operar o sistema, pela menção do nome e alvará ou licença;
- O responsável pelo tratamento dos dados recolhidos perante quem os direitos de acesso e rectificação podem ser exercidos.
A hora apresentada no sistema de videovigilância tem de estar em estrita correspondência com a hora real.
As gravações de imagem obtidas pelos sistemas de videovigilância são conservadas, em registo codificado, pelo prazo de 30 dias (há actividades em que o prazo é de 90 dias) contados desde a respectiva captação, findo o qual são destruídas no prazo máximo de 48 horas.
A monitorização externa do sistema (se ocorrer) terá de ser exclusivamente assegurada em central de recepção e monitorização de alarmes e videovigilância (CRMAV) de empresa de segurança titular de Alvará C ou entidade titular de licença de autoprotecção C, conforme aplicável (listagem das empresas e entidades autorizadas disponível em https://sigesponline.psp.pt/pages/empresas_alvara/lista.xhtml ).
O sistema somente poderá ser colocado por instalador credenciado (listagem das entidades autorizadas disponível em https://sigesponline.psp.pt/index.xhtml )
Aproveitamos para informar que a CNPD emitiu, no passado dia 25 de Janeiro de 2022, as primeiras directrizes sobre o tratamento de dados pessoais no âmbito das comunicações electrónicas de marketing directo, que podem sintetizar-se da seguinte forma:
São fundamentos para o tratamento de dados para fins de marketing directo o interesse legítimo e o consentimento dos titulares dos dados.
1. O interesse legítimo
O consentimento expresso dos titulares dos dados não será necessário, podendo ser invocado o interesse legítimo, nas seguintes condições:
- Se já existir uma relação prévia de clientela com o destinatário da comunicação;
- Se a comunicação de marketing respeitar a produtos ou serviços iguais ou similares aos transaccionados;
- Se os dados foram recolhidos no contexto da venda de um produto ou serviço; e
- Se o direito de oposição foi disponibilizado ao titular no momento da recolha dos dados, devendo cada mensagem de marketing conter a possibilidade de o cliente recusar, fácil e gratuitamente, a utilização dos seus dados para marketing directo, devendo estar explícitos a identidade e o meio de contacto do fornecedor.
2. O consentimento
O consentimento, quando necessário, deverá ser expresso e obedecer aos requisitos impostos pelo RGPD, entre os quais:
- Ser um acto positivo expresso - os consentimentos pré-preenchidos e os consentimentos implícitos são inválidos;
- Ser específico - cada consentimento deverá corresponder a uma finalidade e no caso de transmissão de dados cada terceiro que receba os dados para realizar comunicações electrónicas de marketing directo deverá ser objecto de um consentimento autónomo;
3. A recolha dos dados
Os dados pessoais (e-mail e telefone, entre outros) são recolhidos para fins de marketing directo através das seguintes formas:
- Pela própria empresa que pretende promover os seus produtos ou serviços;
- Indirectamente, através de terceiros (rede social, p.ex.) - neste caso, a empresa benificiária da acção irá adquirir os dados pessoais de contacto a estes terceiros.
4. Os subcontratantes
A recolha de dados para fins de marketing directo de uma determinada entidade, através de meios electrónicos, só pode ser realizada após a contratualização desse serviço pelo responsável pelo tratamento.
5. Obrigações do responsável pelo tratamento
- Adoptar medidas técnicas e organizativas adequadas à protecção dos dados pessoais;
- Escolher criteriosamente os subcontratantes que dêem garantias suficientes de execução de medidas técnicas e organizativas adequadas para cumprimento do RGPD e com eles celebrar um contrato escrito nos termos do artigo 28.º do RGPD;
- Manter uma lista actualizada das pessoas que deram o seu consentimento para receber comunicações electrónicas de marketing directo;
- Manter uma lista actualizada dos clientes que não se opuseram à recepção deste tipo de comunicações;
- Manter prova dos consentimentos dados para a recepção de comunicações electrónicas de marketing directo;
- Manter prova de que foi prestada ao titular a informação sobre a possibilidade e condições em que este pode revogar o consentimento e exercer o direito de oposição.