A Comissão Nacional para a Proteção de Dados de Luxemburgo (CNPD) decidiu por infrações múltiplas ao Regulamento Geral sobre a Proteção de Dados (RGPD) cometidas por uma escola pública em seu sistema de videovigilância. A investigação foi iniciada em outubro de 2022 e incluiu visitas presenciais ao estabelecimento em dezembro de 2022 e julho de 2023. A escola foi considerada responsável pelo tratamento de dados pessoais, uma vez que determinou autonomamente as finalidades e meios do sistema de videovigilância, incluindo a escolha do prestador, validação do orçamento e financiamento com recursos próprios.

A autoridade identificou violação ao princípio de responsabilidade estabelecido no artigo 5.2 do RGPD, pois a escola baseou o tratamento na base legal do interesse legítimo para controle de acesso e proteção de bens, mas não realizou o teste de balanceamento exigido entre seus interesses legítimos e os direitos fundamentais das pessoas afetadas. Também foram constatadas violações aos princípios de transparência e às obrigações de informação, já que a sinalização sobre videovigilância limitava-se a três painéis com pictogramas de câmera e a menção "zona sob videovigilância", sem qualquer informação adicional sobre o responsável pelo tratamento, finalidades ou direitos dos titulares.

O sistema de videovigilância, composto por 12 câmeras funcionando 24 horas por dia, apresentava problemas de proporcionalidade no tratamento de dados. Duas câmeras específicas captavam não apenas áreas de acesso, mas também espaços destinados ao lazer e esporte dos estudantes durante o horário de funcionamento do estabelecimento. A CNPD considerou que a vigilância desses espaços de convivência era desproporcional em relação às finalidades declaradas e constituía violação excessiva à privacidade, especialmente considerando que meios alternativos menos invasivos, como supervisão por pessoal, poderiam ser implementados durante o período letivo.

Adicionalmente, foram identificadas violações relacionadas à conservação excessiva de dados e à segurança do tratamento. As imagens eram conservadas por 57 dias, muito superior aos 30 dias que poderiam ser justificados pelas férias escolares prolongadas. O acesso ao sistema apresentava falhas de segurança significativas, com seis membros da equipe técnica compartilhando um único usuário e senha para acessar o software de videovigilância, sem qualquer sistema de rastreabilidade de acessos. A CNPD determinou a adequação do sistema em prazo de três meses, incluindo limitação dos campos de visão das câmeras, redução do período de conservação para 30 dias, melhoria da sinalização informativa e implementação de contas individuais com sistema de auditoria de acessos.

Este post foi resumido a partir da decisão original com o uso de IA, com revisão humana.

Com informações da Commission nationale pour la protection des données de Luxembourg (em francês)

Comentário: Embora a decisão tenha se dado em Luxemburgo, a aproximação entre a LGPD e o GDPR faz com que ela seja relevante para ser avaliada no Brasil. A Autoridade Nacional de Proteção de Dados publicou em 2024 o "Guia Orientativo - Hipóteses legais de tratamento de dados pessoais - Legítimo Interesse" que prevê expressamente a necessidade de realização do teste de balanceamento quando for utilizada esta hipótese legal. O Guia ainda tece considerações sobre os cuidados na utilização do legítimo interesse quando forem tratados dados de crianças e adolescentes. Entre as medidas recomendadas pela Autoridade, no caso de tratamento de dados provenientes de câmeras de segurança que eventualmente captem imagens de crianças e adolescentes, encontram-se "o rígido controle de acesso aos vídeos, , um prazo mais curto de armazenamento, a divulgação em pontos estratégicos do shopping de informações sobre o funcionamento das câmeras e a não utilização de tecnologias que tratem as imagens a nível biométrico, levando assim ao tratamento de dados sensíveis" (justamente as medidas apontadas pela autoridade luxemburguesa). Portanto, o caso deve inspirar cuidado àqueles que tratam dados pessoais de crianças e adolescentes em situações similares. Lembrando, ainda, que situações de uso de câmeras de segurança amparadas pelo legítimo interesse ainda devem contar com o teste de balanceamento, mesmo que não captem imagens de crianças e adolescentes.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

30 de Maio, 2025

Escola sancionada por violações de proteção de dados na videovigilância

Quer ficar por dentro das ultimas notícias na área?

Posts recentes