Nos dias de hoje, por razões de segurança e proteção de pessoas e bens, muitas empresas optam por instalar nos seus locais de atividades câmaras de videovigilância criando um circuito fechado de televisão (CCTV).
A captação de imagem através destes sistemas constituí uma operação de tratamento de dados pessoais no conceito do Regulamento Geral de Proteção de Dados.
Além de ser necessário o respeito pelos princípios do RGPD, esta operação de tratamento está também sujeita ao cumprimento de outras obrigações legais relevantes.
Código do Trabalho
Em primeiro lugar, devemos ter em atenção o disposto nos artigos 20.º e 21.º do Código do Trabalho que regulam os meios de vigilância à distância, assim como a sua utilização.
“1 – O empregador não pode utilizar meios de vigilância a distância no local de trabalho, mediante o emprego de equipamento tecnológico, com a finalidade de controlar o desempenho profissional do trabalhador.
2 – A utilização de equipamento referido no número anterior é lícita sempre que tenha por finalidade a proteção e segurança de pessoas e bens ou quando particulares exigências inerentes à natureza da atividade o justifiquem.
3 – Nos casos previstos no número anterior, o empregador informa o trabalhador sobre a existência e finalidade dos meios de vigilância utilizados, devendo nomeadamente afixar nos locais sujeitos os seguintes dizeres, consoante os casos: «Este local encontra-se sob vigilância de um circuito fechado de televisão» ou «Este local encontra-se sob vigilância de um circuito fechado de televisão, procedendo-se à gravação de imagem e som», seguido de símbolo identificativo.” (destaques nossos)
Com a entrada em vigor do RGPD deixa de ser obrigatória a comunicação à CNPD prevista no artigo 21.º do Código do Trabalho, sendo necessário que o responsável pelo tratamento cumpra os requisitos sem uma avaliação prévia antes de iniciar o tratamento dos dados como acontecia anteriormente.
Lei n.º 34/2013 que estabelece o regime do exercício da atividade de segurança privada e novas alterações
Além destas obrigações devemos também olhar para o artigo 31.º da Lei n.º 34/2013, com as recentes alterações que lhe foram introduzidas pela Lei n.º 46/2019, de 8 de julho.
Os requisitos a ser respeitados (como sublinha a, agora aprovada, lei para a execução do RGPD) incluem:
“2 – As gravações de imagem obtidas pelos sistemas videovigilância são conservadas, em registo codificado, pelo prazo de 30 dias contados desde a respetiva captação, findo o qual são destruídas, no prazo máximo de 48 horas.
3 – Todas as pessoas que tenham acesso às gravações realizadas nos termos da presente lei, em razão das suas funções, devem sobre as mesmas guardar sigilo, sob pena de procedimento criminal.
4 — É proibida a cessão ou cópia das gravações obtidas de acordo com a presente lei, só podendo ser utilizadas nos termos da legislação processual penal.
5 — Nos locais objeto de vigilância com recurso a câmaras de vídeo é obrigatória a afixação, em local bem visível, de informação sobre as seguintes matérias:
a) (Revogada)
b) A menção «Para sua proteção, este local é objeto de videovigilância»;
c) A entidade de segurança privada autorizada a operar o sistema, pela menção do nome e alvará ou licença;
d) O responsável pelo tratamento dos dados recolhidos perante quem os direitos de acesso e retificação podem ser exercidos.
(…)
7 – Os sistemas de videovigilância devem ter as seguintes caraterísticas:
a) Capacidade de acesso direto às imagens em tempo real pelas forças e serviços de segurança, para efeitos de ações de prevenção ou de investigação criminal, lavrando auto fundamentado da ocorrência;
b) Sistema de alarmística que permita alertar as forças e serviços de segurança territorialmente competentes em caso de iminente perturbação, risco ou ameaça à segurança de pessoas e bens que justifique a sua intervenção;
c) Registo dos acessos incluindo identificação de quem a eles acede e garantia de inviolabilidade dos dados relativos à data e hora da recolha.”
Lei que assegura a execução do RGPD
Além das obrigações formais que decorrem da aplicação da lei da segurança privada, a lei de execução do RGPD define ainda que as câmaras não podem incidir sobre:
“a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.”
É proibida a captação de som enquanto as instalações estiverem abertas ao público e nos estabelecimentos de ensino as câmaras de videovigilância apenas podem incidir sobre os perímetros externos e locais de acesso e sobre outros espaços que requeiram especial proteção como laboratórios ou salas de informática.
Ademais, se a vigilância se focar em zonas acessíveis ao público em grande escala, o artigo 35.º do Regulamento Geral de Proteção de Dados obriga à realização de uma Avaliação de Impacto da Proteção de Dados.