A instalação de câmaras fora da via pública vai passar a ser livre e vai deixar de depender de autorização da Comissão Nacional de Proteção de Dados (CNPD), avança o Público na edição desta segunda-feira. A mudança das regras entra em vigor a partir de 25 de maio.
Não se pense, no entanto, que a partir daquela data qualquer particular ou empresa privada ou pública vai poder instalar um sistema de videovigilância entre as suas paredes. A mudança na lei, que decorre da aplicação do Regulamento Geral da Proteção de Dados, prevê que não exista controlo prévio e deixa cair a taxa de 150 euros que era cobrada para a autorização da CNPD, no entanto prevê multas que podem atingir os 20 milhões de euros ou os 4% da faturação das empresas que violem as regras.
É que, apesar da mudança de paradigma, as regras para instalar uma câmara são para manter. A saber algumas delas: as câmaras não podem captar imagens da via pública e na maior parte das vezes é proibido captarem som, não podem ser colocadas em casas-de-banho, balneários ou vestiários, não podem estar viradas diretamente para a atividade laboral dos trabalhadores, por exemplo. Mais. As imagens não podem ser guardadas mais de 30 dias, não podem ser copiadas ou divulgadas e quem as trata deve manter sigilo sobre elas.
O regulamento europeu vem, assim, libertar a CNPD que, só em 2017, emitiu 11998 autorizações de instalação de sistemas de videovigilância, segundo dados avançados pelo jornal Público. Entre 1 de janeiro a 27 de abril deste ano de 2018, as autorizações emitidas pela CNPD atingiam já as 4665.
Há, no entanto, algumas exceções. Nos espaços onde exista uma grande afluência de público e onde possa existir um risco elevado na garantia da proteção de dados, a lei exige que haja uma avaliação externa do impacto do sistema de videovigilância naquele local. Essa avaliação poderá ter custos mais pesados para as entidades públicas ou privadas. E, antes de o sistema entrar em funcionamento, é necessária uma consulta prévia da CNPD. Caberá, por isso, à própria CNPD publicar uma lista das situações em que esta avaliação é obrigatória.
Sempre que a avaliação de impacto sobre a proteção de dados indicar que o tratamento apresenta um elevado risco que o responsável pelo tratamento não poderá atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos de aplicação, será necessário consultar a autoridade de controlo antes de se proceder ao tratamento de dados pessoais”, lê-se no regulamento.
O encarregado dos dados e o “direito a ser esquecido”
Duas outras novidades da aplicação em Portugal deste novo regime europeu — que prevê uniformizar as legislações da proteção de dados em toda a União Europeia — são a criação de um responsável pelos dados e do “direito a ser esquecido”.
Nesta lei prevê-se, então, a criação de uma nova figura: o encarregado da proteção de dados, que pode ser uma equipa interna ou externa à empresa e que ficará responsável por toda a informação confidencial. Por outro lado, é consagrado o “direito a ser esquecido”. Quem quiser que os seus dados sejam apagados e deixem “de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados” pode pedi-lo. E a entidade que detenha essa informação deve conseguir eliminar todos os dados relativos a esse pedido.
“Se os titulares dos dados retirarem o seu consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Esse direito assume particular importância quando o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto”, lê-se no regulamento.