RKL Escritório de Advocacia

CÂMERAS DE SEGURANÇA E VIGILÂNCIA DE CIRCUITOS INTERNOS – REGRAS, QUESTÕES PONTUAIS E COMPARTILHAMENTO DE IMAGENS

CÂMERAS DE SEGURANÇA E VIGILÂNCIA DE CIRCUITOS INTERNOS – REGRAS, QUESTÕES PONTUAIS E COMPARTILHAMENTO DE IMAGENS

Luís Rodolfo Cruz e Creuz

 

Uma prática consideravelmente comum e cada vez mais rotineira é a instalação de câmeras de segurança e/ou de vigilância em casas, condomínios, empresas e locais de circulação de público. São distintos locais, de cunho e natureza privada, sejam residenciais, sejam comerciais ou empresariais.

Referimo-nos, aqui, às imagens captadas pelo chamado circuito fechado de televisão (“CFTV”), ou, em sua expressão inglesa, closed circuit television (“CCTV”), que é o monitoramento e vigilância feita por câmeras instaladas em pontos estratégicos (de grande circulação de pessoas ou de maior vulnerabilidade), que transmitem as imagens em tempo real para um gravador de vídeo (normalmente analógico, por cabos) ou central de monitoramento, no caso de câmeras IP (também chamado de digital). Ambos podem captar imagens (vídeo) e som (som e ambiência). De forma técnica, o sistema de CFTV possui duas tecnologias utilizadas no mercado: o analógico e o digital. O sistema analógico utiliza câmera de padrão coaxial, ligada a um dispositivo DVR (digital video recorder) que centraliza a gravação para melhor gerenciamento. Este pode ser um equipamento com comunicação à rede interna de tecnologia e, sendo assim, também com acesso à internet. O sistema digital utiliza câmera com tecnologia IP por cabeamento de rede (Cat5e ou Cat6) ou rede sem fio (Wireless ou Wi-Fi), possuindo mais opções de gerenciamento de câmeras e gravações, como o NVR (network video recorder), o servidor com software de gravação de imagens e o armazenamento interno da câmera. Todas as formas de armazenamento das gravações podem, e são comumente configurados para acesso remoto, seja na rede interna, seja na externa, por meio de softwares, sistema web e/ou até mesmo por aplicativo de celular.

Contudo, distintas situações podem surgir da prática. Desde simples dúvidas sobre coleta e armazenamento, local de instalação e eventuais proibições, passando por legislação apropriada que regule a questão, até mesmo sobre medidas a serem tomadas no caso de quaisquer tipos de solicitações e/ou requisições de imagens e gravações, seja por parte dos titulares das imagens ou daqueles que sejam impactados pelas gravações (constem das imagens), ou mesmo em caso de algum condômino de empreendimentos ou mesmo autoridade policial. De tais pontos pretendemos tratar.

De início, é importante esclarecer que não existe legislação federal no Brasil que trate especificamente sobre monitoramento público, ou de vias públicas, indicando onde pode ou não ser instalada uma câmera de segurança, seja internamente nas dependências de um estabelecimento (condomínio, loja, escritórios etc.), seja em áreas externas, inclusive alcançando vias públicas. Existem leis esparsas, em nível estadual e municipal, tratando de imagens, por exemplo, de captação em elevadores, ou tratando de locais de instalação visando à privacidade. No caso específico dos CFTV, existem normas da ABNT tratando e orientando sobre questões relacionadas à infraestrutura para equipamentos.

Por outro lado, temos proteções e garantias constitucionais e infraconstitucionais de proteção e preservação da intimidade e privacidade. Nossa Carta Magna, em seu art. 5º[1], assegura direitos pessoais de inviolabilidade do direito à intimidade, à privacidade, à honra e à imagem. Nosso Código Civil, em seus arts. 20 e 21[2], também regula a intimidade, dado ser a vida privada da pessoa natural inviolável, e prevendo que a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas. Referido art. 20 autoriza o uso quando necessário à administração da justiça ou à manutenção da ordem pública.

Desta forma, a primeira impressão dos usos feitos decorre, diretamente, da razoabilidade na aplicação e ponderação dos referidos direitos quando em confronto com práticas de monitoramento e vigilância.

Mas cabe a reflexão sobre outra possibilidade de alcance da proteção de imagens e sons, especificamente por meio da Lei Geral de Proteção de Dados (“LGPD”), a Lei nº 13.709, de 14 de agosto de 2018[3]. Referida norma dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para a LGPD, é considerada dada pessoal toda informação relacionada à pessoa natural identificada ou identificável e dado pessoal sensível aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O dado genético ou biométrico é aquele ligado às características físicas da pessoa, a exemplo da face humana O conceito de tratamento de dados para a LGPD é tão amplo que praticamente toda a operação de monitoramento e vigilância é abarcada nele[4]. Com isso, imagens e voz captadas, contendo pessoas naturais, assim como seu armazenamento e divulgação são elementos suficientes para atrair o enquadramento das operações à LGPD. Ainda mais se cogitarmos que as imagens captadas podem envolver tratamento de dados biométricos (dado pessoal sensível). A biometria é a medição e análise das características fisiológicas e comportamentais das pessoas, sendo baseada na premissa de que todos têm atributos fisiológicos únicos e, portanto, podem ser identificados por meio deles. Alguns exemplos de características fisiológicas são as impressões digitais, o DNA, o rosto, a íris e até o formato da orelha. Os recursos comportamentais incluem como a pessoa digita como anda, gestos do corpo e voz.[5]

Ainda que não diretamente assim não fosse considerado, as imagens captadas podem identificar origem ou grupo racial, ou grupo e convicção religiosa (pessoas passando e portando vestimentas típicas, p.ex.), ou mesmo informação sobre vida sexual (um casal homo ou heterossexual se beijando).

Visto que, no caso de câmeras de monitoramento (CFTV) em imóveis (privados ou condomínios), estas irão obter dados sensíveis de condôminos, visitantes, transeuntes e a via pública ao redor, e, portanto, será de extrema importância à elaboração de um Relatório de Impacto a Proteção de Dados (RIPD), conforme o inciso XVII do art. 5[6]: “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Com o RIPD seguindo alguns elementos-chaves, como a identificação da necessidade, a descrição da natureza do processamento, entre outros, irá apoiar alguns princípios como finalidade, adequação, transparência, segurança e da responsabilidade e prestação de contas, comprovando a tomada de medidas técnicas apropriadas e mitigando todos os riscos de segurança encontrados no RIPD.

Neste sentido, buscamos socorro na regulação europeia sobre o tema, dada sua notória inovação e pioneirismo. O Regulamento Geral sobre a Proteção de Dados Europeu (“GPDR”)[7] certamente poderá fornecer subsídios. O European Data Protection Board, por meio da Diretriz nº 03/2019[8], dispôs sobre tratamento de dados pessoais por meio de dispositivos de vídeo através de Guideline de janeiro de 2020.

A diretriz, dentre outros assuntos, deixa claro que a proteção de dados não atinge as situações nas quais não é possível identificar uma pessoa direta ou indiretamente, como exemplo em caso de câmeras falsas, gravações realizadas a altitudes elevadas sem possibilidade de identificar uma pessoa específica ou até mesmo em câmeras de vídeo integradas em automóveis. Igualmente, não está no escopo de proteção o tratamento de dados pessoais realizado por pessoa singular (pessoal natural) no exercício de atividade exclusivamente doméstica ou pessoal. É a chamada “isenção doméstica[9]. Assim, caso um condômino tenha uma câmera voltada para sua própria residência sem qualquer finalidade econômica, não será afetado por disposições da Lei Geral de Proteção de Dados.

Mas câmeras voltadas para locais e áreas comuns certamente extrapolam e não se enquadram no entendimento de “isenção doméstica”.

Lembramos que a LGPD foi inspirada no regramento europeu GPDR.

Contudo, em alguns casos, há hipóteses legais de tratamento com contornos distintos. É o caso do dado pessoal sensível, dentre estes consideradas a imagem capturada pelo CFTV de condôminos, visitantes e outros que passem pelo condomínio, que no GDPR encontra uma proibição como regra, a saber:

Tratamento de categorias especiais de dados pessoais

É proibido o tratamento de dados pessoais que revelem à origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

[…]

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado-Membro previr que a proibição a que se refere o no 1 não pode ser anulada pelo titular dos dados;

[…][10]

Já para a LGPD, temos a seguinte disposição:

Do Tratamento de Dados Pessoais Sensíveis

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

[…]

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.[11] (grifos nossos)

Veja-se que o Regulamento europeu parte de uma proibição, e a lei brasileira dispõe que o dado pessoal sensível poderá ser tratado quando preenchidos os requisitos abordados em seus incisos, especialmente nos casos supratranscritos. Nesse sentido, parece-nos haver permissão para tratamento de dados pessoais sensíveis obtidos por meio de câmeras de monitoramento (CFTV) por força do art. 11, II, g, da LGPD, acima transcrito, dado que primordiais para a segurança, especialmente em casos de áreas internas comuns de dependências de um estabelecimento (condomínio, loja, escritórios etc.), e ainda mais em áreas externas, inclusive alcançando vias públicas.

O monitoramento por câmeras de segurança, inclusive, é reconhecido no Brasil como legítimo em diversas esferas, como o monitoramento de funcionáriosem empresas, em elevadores e em condomínios edilícios comerciais ou não. O que deve se guardar é o cuidado extremo para evitar vazamento (acidental ou provocado) de dados contidos em gravações ou back-ups, ou mesmo divulgação não autorizada, e que possam conter imagem ou voz dos titulares, evitando assim abusos, danos ou lesões de cunho moral. Tal premissa é sacramentada na própria Constituição Federal, que determina, em seu art. 5º, X[12], que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.

Por outro lado, o seu uso de maneira geral e impessoal é reconhecido nas mais diversas frentes. A Suprema Corte Trabalhista (“TST”), por exemplo, fixou o entendimento de que o empregador pode exercer, de forma moderada, generalizada e impessoal, o controle de seus empregados, conforme ficou expresso no recente julgamento do Recurso de Revista de autos nº 21162-51.2015.5.04.0014, que se deu em 26.08.2020, sendo provido para que a empregadora mantivesse as câmeras em suas dependências.

Já o Tribunal de Justiça de São Paulo (“TJSP”)[13] se posicionou recentemente sobre a legalidade do monitoramento em apelação que determinava que fossem fornecidas gravações específicas a uma moradora de condomínio edilício para desvendar possível acesso não autorizado em sua residência. No caso do Município de São Paulo, a Lei nº 13.541/2003[14], regulamentada pelo Decreto nº 43.236/2003[15], determina a fixação de placas informativas na entrada e saída dos ambientes monitorados (portaria, garagem, elevadores, áreas comuns etc.).

Conforme o princípio de segurança, estabelecido no art. 6º, VII, da LGPD[16], a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” reforça a importância da segurança de dados para tratamento. Quanto às imagens de gravação, sendo um dado sensível, serão necessários alguns cuidados a mais de segurança do que apenas dados pessoais. Esses dados sensíveis precisam ter um controle de acesso mais restrito do que os dados pessoais e precisam ser armazenados separadamente, assim garantindo um melhor controle de quem acessa esses dados e com qual finalidade esses dados foram acessados. Um histórico de acesso às informações (log de acessos) será obrigatório para conformidade com a LGPD, gerando evidências junto com o RIPD das medidas técnicas tomadas para garantir a segurança, necessárias para uma possível apresentação de provas de conformidade a lei, caso seja requisitado pela ANPD.

Sendo assim, a segurança de dados, cyber segurança, e a adequação do sistema de CFTV se tornam especialmente importantes e necessárias no ambiente corporativo. Seguindo padrões internacionais de segurança de dados como a ISO:2700120, é possível mitigar os riscos de violação de dados primeiramente com medidas técnicas, como atualização da parte tecnológica e restrição de acesso físico aos dispositivos de gravação, tais quais medidas organizacionais como políticas internas e definição de funções internas de acesso às gravações.

 

 

[1] Constituição Federal de 1988: “Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: […] X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação […]” (Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.htm>. Acesso em: 1º fev. 2021).

[2] Código Civil: “Art. 20. Salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra,a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais. Parágrafo único.

Em se tratando de morto ou de ausente, são partes legítimas para requerer essa proteção o cônjuge, os ascendentes ou os descendentes. Art. 21. A vida privada da pessoa naturalé inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma” (Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm>. Acesso em: 1º fev. 2021).

[3]Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).

Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 1º fev. 2021.

[4]Lei nº 13.709, de 14 de agosto de 2018: “Art. 5º Para os fins desta lei, considera-se: […]

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; […]” (Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/

L13709compilado.htm>. Acesso em: 1º fev. 2021).

[5]O que são dados biométricos? Disponível em: <https://cryptoid.com.br/biometria-2/oque-sao-dados biometricos/>. Acesso em: 1º fev. 2021.

[6]Lei nº 13.709, de 14 de agosto de 2018: “Art. 5º Para os fins desta lei, considera-se: […] XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; […]” (Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 1º fev. 2021).

[7] Regulamento Geral sobre a Proteção de Dados Europeu (“GPDR”). Regulamento (UE) nº 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva nº 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=EN>. Acesso em:8 fev. 2021

[8] Disponível em: <https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_pt>.

[9] De acordo com o Tribunal de Justiça da União Europeia (TJUE), a chamada “isenção doméstica” deve “ser interpretada como tendo unicamente por objeto as atividades que se inserem no âmbito da vida privada ou familiar dos particulares, o que não é manifestamente o caso do tratamento de dados de caráter pessoal que consiste na sua publicação na internet de maneira que esses dados são disponibilizados a um número indefinido de pessoas”. Tribunal de Justiça, acórdão de 6 de novembro de 2003, Bodil Lindqvist, C-101/01, EU:C:2003:596, nº 47.

[10] Regulamento Geral sobre a Proteção de Dados Europeu (“GPDR”). “Art. 9º Tratamento de categorias especiais de dados pessoais – 1º É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. 2º O disposto no nº 1 não se aplica se se verificar um dos seguintes casos: a) se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado-Membro previr que a proibição a que se refere o nº 1 não pode ser anulada pelo titular dos dados; b) se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

c) se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de titulá-lo dos dados estar física ou legalmente incapacitado de dar o seu consentimento; d) se o tratamento for efetuado, no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos seus titulares; e) se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

f) se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício das suas função jurisdicional; g) se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados; h) se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no nº 3; i) se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional; j) se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o art. 89, nº 1, com base no direito da União ou de um Estado-

-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados. 3º Os dados pessoais referidos no nº 1 podem ser tratados para os fins referidos no nº 2, alínea h, se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes. 4º Os Estados-Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde” (Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=EN>. Acesso em: 8 fev. 2021).

[11] Lei nº 13.709, de 14 de agosto de 2018: “Do Tratamento de Dados Pessoais Sensíveis –

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; ou f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

2º Nos casos de aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta lei. § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: I – a portabilidade de dados quando solicitada pelo titular; ou II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários” (Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 1º fev. 2021).

[12]Constituição Federal de 1988: “Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: […] X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; […]” (Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.htm>. Acesso em: 8 fev. 2021).

[13] “Medida cautelar de exibição de fitas de circuito interno de prédio de apartamento. Solicitação de moradora interessada em desvendar possível acessa não autorizada à sua residência. Legalidade, até por ser a moradora coproprietária das fitas que são gravadas com subsídio das taxas. Provimento.” (TJSP, Apel. 556.072.4/2, São Paulo, 4ª CDPriv., Rel.Des. Enio Zuliani, J. 19.02.2009)

[14] Lei Municipal SP nº 13.541, de 24 de março de 2003. Dispõe sobre a colocação de placa informativa sobre filmagem de ambientes, e dá outras providências. Disponível em:

<http://legislacao.prefeitura.sp.gov.br/leis/lei-13541-de-24-de-marco-de-2003/detalhe>. Acesso em: 8 fev. 2021.

[15]Decreto Municipal SP nº 43.236, de 22 de maio de 2003. Regulamenta a Lei nº 13.541, de 24 de março de 2003, que determina a colocação de placas informativas sobre filmagem de ambientes. Disponível em: <http://legislacao.prefeitura.sp.gov.br/leis/decreto-43236-de-22-de-maio-de-2003>. Acesso em: 8 fev. 2021.

[16] Lei nº 13.709, de 14 de agosto de 2018: “Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas” (Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 1º fev. 2021 – grifos nossos).