Escolar Documentos
Profissional Documentos
Cultura Documentos
2021
Stefano Rodotà
força nas últimas décadas. Com o avanço da ciência de dados, as antigas formas de
vigilância ganham fôlego e se elevam a um novo patamar, baseando-se agora nas
possibilidades trazidas pela tecnologia. Como expõe Rodotà, “o impulso para o emprego
máximo dos dados biométricos foi recentemente reforçado pela importância que assumiu a
luta contra o terrorismo, que tende a fazer prevalecer a finalidade da segurança sobre
todas as outras” . 2
É possível observar que, desde o início deste século, cresceu a pressão para que se
reduza a proteção dos dados pessoais em nome da guerra contra o terror. Particularmente
depois dos atentados ocorridos em setembro de 2001 nos Estados Unidos da América,
estabeleceu-se a ideia de que é necessário um tradeoff entre proteção de dados e 3
precisam renunciar sua privacidade e de seus dados pessoais para estarem mais seguras.
O que é compreensível, pois todos queremos ser protegidos contra eventuais danos. O
crime e a violência estão “no topo da lista de coisas que todos gostaríamos de evitar” , 6
então faz sentido que não nos importemos em abdicar de alguns (ou muitos) de nossos
dados pessoais em favor de um sistema de vigilância recrudescido, desde que este
efetivamente nos proteja.
O problema é que, na realidade, mais vigilância não significa mais segurança; pelo
contrário, pode acabar por acentuar problemas latentes ao simplesmente “ignorá-los”. É o
alerta feito por Rodotà, ao discorrer especificamente sobre o videomonitoramento. Ao
valer-se de aparatos tecnológicos para a vigilância, o poder público reduz todo o problema
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 1/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
da violência e insegurança a uma questão de mero “risco” à ordem pública, de modo que
se eximem da obrigação política que possuem de enfrentar as razões sociais e
econômicas que podem estar na gênese desse problema:
É nessa perspectiva que Gilliom e Monahan afirmam que “infelizmente, estudo atrás de
estudo mostra que a vigilância tecnológica não é muito boa na prevenção de crimes e é
provavelmente ainda menos efetiva na prevenção do terrorismo” . Ainda, segundo os 8
autores, por mais desenvolvidos do ponto de vista tecnológico e por mais impressionantes
que sejam, os sistemas de vigilância digital nem sempre funcionam. Mais precisamente,
eles nem sempre produzem os resultados desejados ou prometidos. O uso de câmeras de
segurança e, recentemente, de tecnologias de reconhecimento facial, não impede a
ocorrência de crimes. O que frequentemente acontece é que a presença de aparatos de
vigilância faz com que os crimes simplesmente ocorram em outros lugares, menos
vigiados . 9
Não podemos negar, contudo, o fato de que muitas coisas no mundo nos assustam. O
medo de perder bens que arduamente conquistamos pelo nosso trabalho, a violência em
grandes centros urbanos, a possibilidade – ainda que remota – de sermos vítimas de um
ataque terrorista são apenas alguns exemplos. Como elucidam Gilliom e Monahan, todas
essas ameaças contribuem para a nossa cultura de inseguridade; em face disso, nos
apegamos a basicamente qualquer promessa de segurança. Ainda que haja pouca
evidência de que o fortalecimento de sistemas de vigilância nos traga, realmente, mais
segurança, governos, indústria e mídia parecem trabalhar em conjunto para “criar um
mundo que se mostre tão assustador que a vigilância ostensiva parece a única resposta
sensata” . 13
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 2/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
Os custos sociais são realmente grandes. Mas valem a pena? A questão da segurança,
muitas vezes, parece apenas mais uma “demanda manufaturada”. Embora, como
expusemos anteriormente, certo grau de controle social seja necessário e benéfico, até
que ponto realmente precisamos de novas técnicas e formas de vigilância e até que ponto
temos sido meros consumidores dessa indústria, alimentados pela ilusão da insegurança?
medidas que fazem com que as pessoas se sintam mais seguras, mas que em nada
contribuem, de fato, para a sua segurança. O autor cita como exemplo o fato de tropas da
Guarda Nacional dos EUA terem permanecido por meses nos aeroportos do país depois
dos atentados terroristas de 2001, mas com seus armamentos descarregados. Como a
segurança é tanto um sentimento quanto uma realidade, o security theater encontra
espaço na interação entre os líderes políticos e os cidadãos. Segundo Schneier, quando as
pessoas se sentem ameaçadas, elas buscam algo que as faça se sentir seguras, ao passo
que os governantes, em resposta às crises de segurança, oferecem quaisquer soluções
que pareçam acalmar os ânimos da população, ainda que não sejam uma solução
verdadeira.
população seja importante, o security theater não passaria, no final das contas, de uma
mentira contada pelos governantes. Proteger direitos de maneira significativa requer que
estes sejam sacrificados apenas quando as medidas de segurança forem realmente
eficazes, e não em função de mentiras, independentemente de quão nobre seja a intenção
por trás delas . 17
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 3/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
de segurança realmente eficazes não precisam ser aquelas que mais afetam nossos
direitos. Aliás, geralmente, medidas de segurança realmente eficientes são quase
invisíveis. Schneier aponta que, no caso de combate ao terrorismo nos EUA, tais medidas
incluem, entre outras, o aprimoramento das habilidades de coleta de informações dos
serviços secretos, a contratação de especialistas culturais e tradutores de árabe, a
construção de pontes com as comunidades islâmicas, tanto nacionalmente quanto
internacionalmente . Para nossa “surpresa”, essas medidas não incluem novas e
22
Nesse sentido, nas palavras de Rodotà, “a formulação correta do problema exige não
somente um balanceamento entre os diversos interesses em jogo, mas uma avaliação
preventiva das modalidades e dos efeitos de uma eventual compressão da proteção dos
dados pessoais” . Ao buscarmos um equilíbrio entre segurança e privacidade, não
23
o lado de segurança da balança deve avaliar apenas até que ponto essa supervisão e
regulamentação reduzem a eficácia da medida de segurança. Se, por exemplo, a supervisão e
a regulamentação judiciais projetadas para proteger a privacidade resultarem em atrasos,
burocracias e limitações que tornam uma medida de segurança 10% menos eficaz, não faz
sentido equilibrar toda a medida de segurança com a privacidade. Em vez disso, o equilíbrio
deve estar entre a privacidade e a diminuição de 10% na eficácia da medida.24
A escolha a ser feita, portanto, não é entre adotar uma medida de segurança ou fazer
nada, mas entre adotar uma medida de segurança com supervisão e regulamentação ou
uma medida de segurança que decorra exclusivamente do arbítrio daqueles que estão no
poder. Em muitos casos, a supervisão e a regulamentação não diminuem
substancialmente a eficiência de uma medida de segurança, de modo que o custo para
proteger a privacidade e os dados pessoais dos cidadãos é muito baixo. Em outros casos,
contudo, a opção pela segurança pode implicar uma diminuição tamanha na proteção dos
dados pessoais a ponto de acarretar violações à dignidade da pessoa humana. Nesses, a
modalidade de segurança em jogo deverá ser excluída ou reformulada, uma vez que a
dignidade humana constitui hoje uma referência ineludível . 25
Infelizmente, como aponta Solove, a busca pelo equilíbrio quase nunca é avaliada
adequadamente. Quando a balança é utilizada sob a influência de argumentos falaciosos,
ela tende a pender drasticamente para o lado da segurança, fazendo com que os custos
da proteção dos direitos individuais sejam falsamente inflados e as medidas de segurança
ganhem mais peso do que deveriam. No entanto, se vamos ponderar direitos individuais e
liberdades contra interesses governamentais, é imperativo que a ponderação seja feita
apropriadamente. Ainda, segundo o autor, a maneira correta de reconciliar a privacidade e
a proteção de dados é colocar os programas de segurança sob supervisão, limitando usos
futuros dos dados pessoais e garantindo que os programas sejam executados de forma
equilibrada e controlada . 26
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 4/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
4. Se deve haver uma troca entre privacidade e segurança, até que ponto uma medida de
segurança deve ser limitada para proteger a privacidade? Até que ponto esses limites
impedirão a eficácia da medida de segurança? Os benefícios do regulamento valem o custo em
termos de eficácia reduzida?28
O big data foi um fator decisivo para que definíssemos a vida moderna como a era da
informação . Uma das promessas que surgem com essa tecnologia é a possibilidade de
30
se compreender o mundo por meio dos dados; tentadora, tal promessa é amplamente
sustentada por argumentos que buscam justificar o desenvolvimento e a adoção de
infraestruturas baseadas em informações, principalmente em se tratando daquelas
relativas à segurança , em nome da suposta objetividade tecnológica . Um dos muitos
31 32
necessidade de olharmos não para quais são de fato as nossas expectativas quanto a
esse direito (e ao direito à proteção de dados, à liberdade etc.), num exame puramente
descritivo, mas sim para quais elas deveriam ser, numa análise normativa . Nesse sentido, 36
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 5/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
De acordo com Bruno Ricardo Bioni e Maria Luciano, “as incertezas quanto aos
benefícios e os riscos pelo emprego de tecnologias de reconhecimento facial formaram
uma arena regulatória efervescente”, que se encontram divididas em três eixos:
b) no outro extremo, há vozes que clamam pelo banimento da tecnologia por vislumbrar no
seu design riscos exacerbados para fins de opressão;
c) ao centro desse movimento pendular, encontra-se uma estratégia que visa desenhar uma
arquitetura precaucionária de danos, de modo que o emprego de tecnologias de
reconhecimento facial deveria ser antecedido de ações por parte do seu próprio proponente
que mitigassem seus eventuais malefícios.37
A regulação pela tecnologia, à qual iremos nos referir como tecnorregulação , está 38
regulação realizada pelo próprio design dessas novas tecnologias, estando, portanto,
inserida em seus códigos . Em razão do rápido desenvolvimento das tecnologias de big
40
pessoas. Esse contexto permitiu que vários negócios “evoluíssem em um ambiente no qual
o suposto vácuo regulatório fosse convenientemente preenchido pela autorregulação
criada pelos agentes em seu próprio benefício” . 42
Todavia, a regulação pelos algoritmos configura uma espécie de controle sem controle,
o que acaba por aumentar o poder que corporações e órgãos do governo possuem. A
autorregulação que vemos hoje em dia é “abusiva e sem limites, estabelecida apenas em
favor dos interesses das próprias plataformas” . A confiança depositada em uma data-
43
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 6/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
cartilha intitulada “SIA Principles for the Responsible and Effective Use of Facial
Recognition Technology”, na qual constam critérios a serem seguidos a fim de que o uso
dessas tecnologias pelas empresas se dê de modo ético e responsável . Os princípios 45
Sem dúvidas, como afirma Rodotà, “a valoração social do impacto das inovações
cientificas e tecnológicas é hoje um dever de todas as instituições públicas e privadas” . A 48
importância da tecnorregulação não pode ser ignorada. Mas é preciso levar em conta que
também o direito é um importante instrumento para a salvaguarda de garantias individuais.
O direito à privacidade e à proteção de dados existem porque, em algum momento, as
sociedades perceberam a importância de proteger esses valores não apenas para
preservar o status quo, mas também para modificar a realidade ao diminuir deficiências e
resolver problemas. Construímos leis para estabelecer um estado de coisas que
queremos, não apenas para preservar realidades preexistentes. Nessa empreitada, cabe a
nós empregarmos o direito proativamente a fim de criar o nível de proteção que
almejamos . 49
É importante que tenhamos em mente que o dever a que Rodotà se refere é ainda
maior em se tratando das instituições que possuem a obrigação de garantir, mediante a
proteção da privacidade e dos dados pessoais, “uma dimensão essencial da liberdade dos
nossos contemporâneos” . A conjuntura econômica, política e social do século XXI tornou
50
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 7/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
Doneda observa que nos EUA, em 1973, um estudo realizado pela Secretary for health,
education and welfare concluiu que a tutela da privacidade de uma pessoa se relaciona
diretamente com a proteção de seus dados pessoais . A concepção de privacidade 53 54
definida pelo órgão não forneceu uma base para determinar a priori quais dados pessoais
poderiam/deveriam ser registrados e utilizados. Todavia, foi capaz de fundamentar o
estabelecimento de procedimentos que garantissem ao indivíduo o direito de participar de
maneira significativa nas decisões sobre a coleta e o uso de seus dados e informações
pessoais. Foram determinados princípios fundamentais para a proteção da privacidade,
assim apresentados:
Não deve existir nenhum sistema de registro de dados pessoais cuja própria existência seja
secreta.
Deve existir uma maneira de um indivíduo descobrir quais informações que lhe digam
respeito estão contidas em determinado registro e como são utilizadas.
Deve existir uma maneira de um indivíduo impedir que informações sobre ele obtidas para
um determinado fim sejam utilizadas ou disponibilizadas para outros fins sem o seu
consentimento.
Qualquer organização que crie, mantenha, use ou divulgue registros de dados pessoais
identificáveis deve assegurar a confiabilidade dos dados para seu uso pretendido e deve tomar
precauções razoáveis para evitar o uso indevido dos dados.55
c) Princípio da finalidade, pelo qual qualquer utilização dos dados pessoais deve obedecer à
finalidade comunicada ao interessado antes da coleta de seus dados. Este princípio possui
grande relevância prática: com base nele fundamenta-se a restrição da transferência de dados
pessoais a terceiros, além do que se pode, a partir dele, estruturar-se um critério para valorar a
razoabilidade da utilização de determinados dados para certa finalidade (fora da qual haveria
abusividade);
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 8/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
d) Princípio do livre acesso, pelo qual o indivíduo tem acesso ao banco de dados no qual
suas informações estão armazenadas, podendo obter cópias desses registros, com a
consequente possibilidade de controle desses dados; após este acesso e de acordo com o
princípio da exatidão, as informações incorretas poderão ser corrigidas e aquelas obsoletas ou
impertinentes poderão ser suprimidas, ou mesmo pode-se proceder a eventuais acréscimos;
e) Princípio da segurança física e lógica, pelo qual os dados devem ser protegidos contra os
riscos de seu extravio, destruição, modificação, transmissão ou acesso não autorizado.57
OCDE em 1980 foram “deixados intactos” na atualização das Diretivas ocorrida em 2013.
Isso demonstra a importância de uma regulação baseada em princípios, uma vez que
estes deveriam orientar o desenvolvimento de novas tecnologias, e não o contrário . Os 59
estatutos legais devem ser flexíveis o suficiente para atender às novas tecnologias – como
propõem as Diretivas da OCDE – e, para tanto, devem ter como ponto de origem alguns
princípios básicos. Sobre tecnologias de vigilância de maneira geral, argumenta Solove
que estas devem ser orientadas pelos seguintes princípios:
3. Supervisão. A coleta e o uso de informações por parte do governo devem ser submetidos
a uma supervisão significativa. Autoridades governamentais devem ser supervisionadas para
assegurar que elas mantenham suas atividades limitadas, evitem abusos de poder, e sejam
responsabilizados por seu comportamento.60
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad82… 9/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
estas devem se estender àquela. Muitas desses princípios, aliás, ora são semelhantes, ora
se sobrepõem. A questão é que a utilização de sistemas de IA vem ocorrendo sem o
correspondente e devido debate ético e jurídico , o que se aplica igualmente ao uso
63
massivo de videomonitoramento.
Na medida em que boa parte dos processos de decisões automatizadas com o emprego de
IA envolverá o processamento de dados pessoais, leis gerais de proteção de dados, talhadas
com base em uma mentalidade de regulação de risco e no princípio da accountability, são
vetores de democratização do próprio processo de regulação de tal tecnologia.64
dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural.66
que
seja em razão do amplo alcance da LGPD, seja em razão da sua preocupação com a tutela
das situações existenciais dos titulares de dados, pode-se dizer que foi acolhida concepção
convergente com a daqueles que, a exemplo de Rodotà, sustentam que a proteção de dados
consiste corresponde (sic) a verdadeiro direito fundamental autônomo, expressão da liberdade
e da dignidade humana, que está intrinsecamente relacionada à impossibilidade de transformar
os indivíduos em objeto de vigilância constante.69
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 10/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração.73
O segundo ponto, por sua vez, concerne aos meios em que a LGPD é aplicável: a
expressão inclusive nos meios digitais deixa claro que a Lei não está restrita ao meio
digital. Pelo contrário, se aplica a todos os meios pelos quais dados podem ser coletados e
utilizados. Assim, não restam dúvidas quanto à sua aplicabilidade quando falamos de
dados biométricos faciais, sejam estes coletados em ambientes “físicos”, mediante, por
exemplo, câmeras de videomonitoramento ou em ambientes virtuais.
embora a heterorregulação – aqui traduzida pela LGPD e todas as demais leis e atos
normativos estatais que se destinam a regular o tratamento de dados no Brasil – seja
fundamental para endereçar o problema do tratamento de dados pessoais, isso não quer dizer
que ela, sozinha, seja suficiente para tal propósito.77
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 11/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
Isso não é, absolutamente, uma tentativa de diminuir a relevância de uma lei geral de
proteção de dados. Antes, reconhecemos o papel “crucial e necessário” da LGPD, uma vez
que oferece “uma base comum de regras e princípios que poderá ser utilizada por outras
áreas, sempre que tiverem que lidar com a problemática dos dados” . Esses princípios, 78
O primeiro princípio elencado nos incisos do art. 6º da LGPD é o da finalidade, que diz
respeito à “realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades” . Em seguida, guardando estreita relação com o princípio da
79
O princípio da finalidade dos dados determina que esta deve poder ser conhecida antes
que ocorra a sua coleta, devendo ser especificada a relação entre os dados colhidos e a
finalidade perseguida. Isso significa que o princípio da adequação, denominado de
pertinência por Rodotà, é uma manifestação da finalidade. Para o autor, a finalidade ainda
se especifica na relação entre a finalidade da coleta e a utilização dos dados (princípio da
utilização não abusiva) e na eliminação ou na transformação em dados anônimos das
informações que não são mais necessárias (princípio do direito ao esquecimento) . 81
detentores dos dados podem não apenas registrar e processar todo o passado, mas
também antecipar e decidir o futuro das pessoas . Nesse sentido, o princípio da finalidade
84
é crucial para que se evite o uso secundário de dados, como debatido no Capítulo 3 deste
trabalho.
Relacionado aos dois primeiros, talvez um dos princípios que mais se mostra relevante
ao debate sobre tecnologias de reconhecimento facial seja o da necessidade. De acordo
com o inciso III do art. 6º, o princípio da necessidade corresponde à “limitação do
tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência
dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do
tratamento de dados” . Especialmente no que tange ao tratamento de dados para fins de
85
segurança pública, o art. 4º, § 1º, determina que as medidas previstas pelo poder público
deverão ser proporcionais e estritamente necessárias ao atendimento do interesse público.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 12/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
se parece reducionista e perigosa uma formulação que leve a concluir que “nós somos os
nossos dados”, é indubitável porém que o nexo entre corpo, informações pessoais e controle
social pode assumir contornos dramáticos, a ponto de fazer evocar de imediato o respeito à
dignidade da pessoa, o qual impõe uma interpretação particularmente rigorosa do princípio da
estrita necessidade na coleta e no tratamento de informações, no sentido de que somente se
deve recorrer a dados capaz de identificar um sujeito quando este recurso for a única forma de
alcançar tal finalidade.87 (sic)
Em relação ao princípio necessidade, Rodotà traz ainda duas indicações. Uma delas
diz respeito à necessidade de uma avaliação rigorosa no uso de dados biométricos com
referência à sua confiabilidade, o que irá variar a depender da tecnologia. Argumenta o
autor que, quando recorremos a dados biométricos, a utilização de tais dados só é legítima
quando não for possível alcançar a mesma finalidade de dados que não envolvam o corpo.
Diante da multiplicidade de técnicas e ferramentas hoje disponíveis, não é inviável
buscarmos soluções que preservem a privacidade e os dados pessoais dos cidadãos. A
segunda indicação, de caráter geral, é que o uso de dados biométricos deve ser submetido
a um teste de compatibilidade com os valores democráticos, aplicável a toda utilização de
dados biométricos:
Mais relevante ainda, todavia, é a consideração que diz respeito ao número de sujeitos de
quem são colhidas as informações. As coletas generalizadas, de fato, sobretudo quando
justificadas por razões de segurança, modificam a percepção social que delas se tem e
acabam por transformar todos os cidadãos em suspeitos em potencial: “a nation under
suspicion”, com já se disse. Fazem aumentar, além do mais, a vulnerabilidade social, sendo
muito difícil eliminar completamente o risco de abusos, dada a enorme quantidade de dados,
ou defender grandes bancos de dados de violações, que poderiam vir até de grupos terroristas
ou criminosos, gerando um perigoso efeito bumerangue.90
É nesse sentido que Pasquale afirma que devemos reclamar nosso direito à
91
presunção de inocência. Pode ser que não possamos impedir a coleta de nossos dados
pessoais, mas devemos ao menos tentar regular a maneira como são utilizados. Embora
Pasquale reconheça que é “mais fácil falar do que fazer” , a alternativa – permanecer de
92
braços cruzados diante dos abusos cometidos por autoridades governamentais – é ainda
pior.
podem estar sujeitos a esse tipo de juízo, uma vez que são deontológicos e vinculantes . 94
Ainda que houvesse um trade off entre o direito à inovação – aqui concretizado nas TRF –
e direitos individuais, “seria preciso ponderar que a inovação não é um valor absoluto e
que, exatamente por isso, não pode ser perseguida de forma irrestrita e às custas do
sacrifício das situações existenciais mais elementares dos titulares de dados” . 95
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 13/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
de impressões digitais para fins de identificação. Em primeiro lugar, aponta, devemos levar
em conta a possibilidade de utilização ulterior desses dados, já que os sinais
continuamente deixados permitem reconstituir a movimentação das pessoas, de modo que
não bastaria que se invocassem medidas de segurança com o objetivo de impedir o uso
indevido das impressões digitais. Na realidade, seria preferível substituir a sua utilização
enquanto instrumento de identificação ou de autenticação por dados biométricos não
rastreáveis, como o reconhecimento da íris. Embora o autor fale sobre o uso de
impressões digitais, o exemplo se aplica de maneira ainda mais contundente quando
pensamos no emprego em tecnologias de reconhecimento facial . 96
determinado local, a partir da análise das imagens obtidas por câmeras de segurança. O
sistema é capaz de identificar qual tipo de arma (se um revólver, pistola, fuzil etc.) aparece
na cena, emitindo um alerta em tempo real para autoridades. Além disso, a ferramenta
conta com a possibilidade de emitir notificações caso haja alguma transmissão em redes
sociais em que ocorra o aparecimento de alguma arma, o que poderia diminuir a projeção
de ataques terroristas como os ocorridos na Nova Zelândia, em março de 2019 . 99
4.5.1.1. Consentimento
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 14/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 15/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
específico da proteção de dados pessoais sensíveis, uma questão importante que deve ser
levantada é “representada pelo fato de que alguns sistemas biométricos se baseiam em
dados que, como aqueles relativos às impressões digitais e ao DNA, podem ser obtidos
sem que as pessoas às quais se referem tenham disso qualquer consciência” , o que 108
ocorre porque determinados dados pessoais biométricos podem ser obtidos a partir de
vestígios involuntariamente deixados por seus titulares. O autor usa como exemplo
amostras de DNA ou impressões digitais, que podem ser colhidas em ambientes onde uma
pessoa esteve, ainda que por um breve período. A nosso ver, tal raciocínio se torna ainda
mais evidente quando pensamos na coleta de biometrias faciais, que sequer demandam a
presença de um elemento “físico” – um fio de cabelo, um objeto que a pessoa tenha
tocado – para sua obtenção.
controle por parte do titular dos dados, mesmo nos casos em que não há a aplicação da
base legal do consentimento” . Acreditamos que sim, porque “ausência de consentimento
110
a tese central da teoria da integridade contextual é que o que incomoda as pessoas, o que
nós vemos como perigoso, ameaçador, perturbador ou irritante, o que nos deixa indignados,
resistentes, inseguros e ultrajados nas nossas experiências com sistemas e práticas
contemporâneas de coleta, associação, análise e disseminação de informações não é que eles
diminuem nosso controle e trespassam nossos segredos, mas que eles transgredem normas
informacionais relativas-contextuais.114 (sic)
titular dos dados é capaz de estipular quais são as legítimas expectativas que possui e o
modo como ocorrerá o fluxo de seus dados, o que determina, então, a sua integridade.
Bioni elucida que
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 16/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
razão pela qual foi publicizado um dado; particularmente, na esperança de que o trânsito das
suas informações pessoais não minará e trairá a sua capacidade de livre desenvolvimento da
personalidade e de participação social.117
possui de não ter seus dados biométricos faciais colhidos, armazenados e utilizados para
fins vigilância, monitoramento, perfilização etc., ainda que isso ocorra em nome da
segurança e/ou do interesse público. Contudo, não sendo este o foco do presente trabalho,
por ora encerramos a discussão levantada neste tópico, deixando claro que o tema é
merecedor de um debate aprofundado.
princípio não está adstrito ao momento de coleta de dados pessoais. Ao contrário, deve
permear todas as etapas do tratamento. Embora a disposição legal pareça clara, a
discussão sobre a transparência no caso de tecnologias de reconhecimento facial não é
tão simples . Mike Ananny e Kate Crawford argumentam que a transparência de sistemas
122
necessário que reconheçamos as limitações desse princípio, para que sejamos capazes de
utilizar “os limites da transparência como ferramentas conceituais para compreender como
assemblages algorítmicas devem ser responsabilizadas” . 125
O livre acesso, por sua vez, é a “garantia, aos titulares, de consulta facilitada e gratuita
sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados
pessoais” . Em conjunto com a transparência, esse princípio assume o papel de reforçar a
126
posição dos indivíduos perante os controladores de dados, para suprir, “no limite do
possível, o gap de poder entre estes e os ‘senhores da informação’” . O direito de acesso 127
supera o âmbito das informações pessoais e a sua disciplina tende a se conjugar com a
outra, mais geral, de um “direito à informação”, também esse encarado em uma versão ativa e
dinâmica: não mais, portanto, como simples “direito a ser informado” mas como o direito a ter
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 17/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
que deve ser concedido à pessoa o poder de controle direto e contínuo sobre os coletores
de informações, independentemente da existência de uma violação a seus direitos,
alterando-se assim a técnica de proteção da privacidade e se deslocando a atenção em
direção ao bom funcionamento das regras sobre a circulação de informações.
Conquanto esse seja o cenário ideal, a realidade tem demonstrado que são as pessoas
que têm se tornado cada vez mais “transparentes” – cada vez mais submetidos à
vigilância – e que os órgãos públicos possuem cada vez menos controle político e legal no
que tange aos dados pessoais dos cidadãos . Nesse sentido e a título exemplificativo,
131
Barros e Venturini, em análise sobre o município do Rio de Janeiro, expõem que “as
atividades do Estado – inclusive na área de segurança pública e vigilância – seguem
secretas e pouco sujeitas a escrutínio público, enquanto os cidadãos encontram-se cada
vez mais expostos tanto frente ao próprio Estado, quanto a outros agentes privados” . 132
Referindo-se à pesquisa realizada pela Fundação Getúlio Vargas (FGV) em 2016, cujo
objetivo foi obter dados da gestão municipal e avaliar o grau de transparência das
Prefeituras brasileiras com relação à gestão de dados, a oferta de serviços on-line e a
existência de iniciativas de cidades inteligentes na área de segurança pública, as autoras
concluem que “boa parte dos municípios avaliados ainda estão despreparados para
enfrentar os novos desafios colocados pelas práticas de big data no que diz respeito às
suas políticas de gestão da Tecnologia da Informação e de tratamento de dados
pessoais” . Aduzem ainda que,
133
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 18/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
Frazão destaca que, a fim de que haja um mínimo de confiança e tranquilidade quanto
ao uso de algoritmos baseados em big data, são necessários dois tipos de controle
referentes à qualidade . Primeiro, deve haver o controle sobre a qualidade dos dados em
140
si, para verificar se atendem “aos requisitos da veracidade, exatidão, precisão, acurácia e
sobretudo adequação e pertinência diante dos fins que justificam a sua utilização”. Depois,
é necessário avaliar “a qualidade do processamento de dados, a fim de saber se, mesmo a
partir de dados de qualidade, a programação utilizada para o seu tratamento é idônea para
assegurar resultados confiáveis” . 141
Prevenção, por sua vez, diz respeito à “adoção de medidas para prevenir a ocorrência
de danos em virtude do tratamento de dados pessoais” (art. 6º, inciso VIII). Podemos
perceber, em vista de todas as discussões trazidas nesta pesquisa, que pensar em
prevenção de danos decorrentes do uso de tecnologias de reconhecimento facial não é
uma tarefa fácil. De acordo com Frazão, em se tratando do emprego de algoritmos para
tomada de decisões automatizadas, “o jeito mais efetivo para minimizar o risco de
resultados não desejados é por meio de testes extensivos, a fim de se fazer uma longa
lista dos tipos de maus resultados que podem ocorrer e tentar excluí-los sempre que se
mostrarem presentes” . 144
Há, porém, casos em que a realização de testes não é possível ou não se revela
totalmente eficiente. Pensemos, por exemplo, no já mencionado fato de o sistema de
reconhecimento facial adotado pela Prefeitura do Rio de Janeiro ter falhado logo em seu
segundo dia de uso, identificando incorretamente uma mulher, o que ocasionou a sua
injusta detenção, Ou, então, no caso do sistema adotado pela cidade de Londres: ainda
que mais de 80% dos alertas feitos pelo sistema durante o período de teste estivessem
incorretos, a polícia insistiu em sua adoção. Somente a aplicação da tecnologia na prática
seria capaz de demonstrar, de fato, quais são os danos que determinadas práticas
implicariam. Nesse sentido, antes mesmo da adoção da tecnologia ou da realização de
testes, é imperioso avaliar minimamente os riscos decorrentes de seu uso, inclusive para o
fim de delimitar quais técnicas de vigilância sequer deveriam ser empregadas.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 19/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
entre desenvolvedores desse tipo de tecnologia e aqueles que são impactados por ela” , o 146
que tem levado à maior demanda social no que tange à transparência e à precaução na
utilização de tecnologias de IA . 147
facial deveria ser antecedido de ações por parte do seu próprio proponente, capazes de
mitigar seus eventuais malefícios.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 20/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
segundo a definição de Maria Celina Bodin de Moraes, são os “dados pessoais que dizem
respeito à saúde, opiniões políticas ou religiosas, hábitos sexuais etc. aptos a gerar
situações de discriminação e desigualdade” , o que justifica o tratamento especial a eles
154
dispensado.
isso aconteça.
Aliás, cabe dizer que, mesmo que o raciocínio matemático efetuado por um sistema de
IA esteja correto, este, em si, pode constituir uma espécie de discriminação, “na medida
em que o julgamento a respeito de uma pessoa é feito a partir de critérios gerais que
desconsideram a sua individualidade” . Por esse motivo, é necessário cuidado com o
156
Para Anna Maria Campos, nas sociedades democráticas, é natural e esperável que os
governos e o serviço público sejam responsáveis perante os cidadãos, de modo que a
noção de accountability e o aperfeiçoamento das práticas administrativas andem juntas . 158
A accountability pode ser compreendida, então, como uma questão inerente à democracia:
“quanto mais avançado o estágio democrático, maior o interesse pela accountability”, que
“tende a acompanhar o avanço de valores democráticos, tais como igualdade, dignidade
humana, participação, representatividade” . 159
Em que pese a dificuldade de tradução do termo accountability , a noção de que não 160
apenas governos, mas também corporações e demais instituições devem ser considerados
responsáveis por seus atos, encontra-se plenamente consolidada em inúmeros
ordenamentos jurídicos na atualidade. Isso decorre, sobretudo, da consciência de que
sistemas algorítmicos para tomada de decisões podem ser utilizados de maneira ilícita ou
abusiva, culminando na violação de direitos. Assim, caso ocorra algum dano ao titular dos
dados em decorrência da não observação dos princípios da segurança, prevenção ou não
discriminação, o princípio da responsabilização e prestação de contas se apresenta como
fundamento apto a ensejar a reparação ou minimização do prejuízo ocorrido.
Em relação ao tratamento de dados pessoais nas hipóteses do art. 4º, inciso III , os 161
Em linhas gerais, esses relatórios são a documentação pela qual o controlador deve
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 21/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
registar todos os processos do tratamento de dados, bem como as medidas que adotou
para mitigar os possíveis riscos aos direitos dos titulares dos dados . 163
Nos termos legais, conforme art. 5º, XVII, relatório de impacto à proteção de dados
pessoais é a “documentação do controlador que contém a descrição dos processos de
tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” . 164
Embora os RIDPD adquiram cada vez mais importância nas leis de proteção de dados
pessoais, a lei geral brasileira não os regulamentou adequadamente . A despeito de 165
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 22/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
debate ainda mais pontual sobre o assunto. No país, a discussão é incipiente, fazendo-se
presente, em âmbito legislativo, principalmente nos PL 9736/2018 e PL 4612/2019.
a identificação criminal por reconhecimento facial já vem sendo adotada em outros países
que passam por problemas em suas unidades prisionais e constitui-se em uma medida
inovadora. Nos Estados Unidos da América, por exemplo, vem sendo utilizada com sucesso
até mesmo fora do sistema prisional, em aeroportos e outros locais públicos, para a rápida
identificação de fugitivos ou pessoas com mandados de prisão pendentes de cumprimento.170
O PL 4612/2019, por sua vez, é mais extenso e abrangente, tendo sido, inclusive,
apensado ao PL 12/2015 . De autoria do deputado Bibo Nunes, do PSL/RS, “dispõe sobre
171
ser estritamente necessária (por existirem melhores soluções não adotadas ou analisadas
pelo ente público), ora por causa do fato de frequentemente os entes públicos adotarem
medidas apenas para fins de security theater.
Não é nosso objetivo, nesta pesquisa, realizar um estudo comparado de normas 174
Dentro da discussão aqui trazida, uma estratégia regulatória que ganha destaque é a
Ordinance NO. 107-19, da cidade de São Francisco (EUA). A norma chama atenção,
176
imediatamente, pela jurisdição a que se refere, uma vez que regula o uso de tecnologias
de reconhecimento facial para fins de vigilância no maior município da área da Baía de São
Francisco, que abriga o chamado Vale do Silício – região na parte sul da baía, conhecida
por ser um dos maiores centros globais de tecnologia e inovação e sede de empresas
como Apple, Google, Microsoft, Tesla,. Promulgada em junho de 2019 pelo Conselho de
Supervisores da cidade, a lei conta com a seguinte ementa:
Emenda o Código Administrativo para exigir que os departamentos da Cidade que adquiram
tecnologia de vigilância, ou que celebrem acordos para receber informações de tecnologia de
vigilância de terceiros, apresentem uma Política de Tecnologia de Vigilância aprovada pelo
Conselho de Supervisores, com base em uma política ou políticas desenvolvidas pelo Comitê
de Tecnologia da Informação (COIT), e um Relatório de Impacto da Vigilância ao Conselho em
relação a qualquer solicitação de fundos para a aquisição de tal tecnologia ou para aceitar e
despender fundos de reserva para tal fim, ou ainda para adquirir equipamentos ou serviços de
tecnologia de vigilância; exige que cada departamento da Cidade que possua e opere
equipamentos ou serviços de tecnologia de vigilância já existentes apresente ao Conselho uma
proposta de Política de Tecnologia de Vigilância que regule o uso da tecnologia de vigilância; e
exige que o Controlador, na qualidade de Auditor de Serviços da Cidade, audite anualmente o
uso de equipamentos ou serviços de tecnologia de vigilância e a conformidade de tal uso com
uma Política de Tecnologia de Vigilância aprovada e forneça um relatório de auditoria ao
Conselho de Supervisores.177
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 25/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
resguardados; e que o uso da tecnologia de vigilância a que se refere a Política não será
utilizada com base em fatores discriminatórios ou parciais, nem terá impacto
desproporcional a qualquer grupo ou comunidade . Além disso, em caso de aprovação da
178
norma dispõe que a propensão dessas tecnologias para colocar em perigo os direitos civis
e as liberdades individuais supera substancialmente seus supostos benefícios. Além disso,
o seu uso exacerba injustiças raciais e ameaça a nossa possibilidade de viver livres do
contínuo monitoramento do Estado . 181
que possível, depois de forte deliberação, em consequência do impacto que podem causar
a diversos direitos e liberdades civis . Em suma, a decisão da cidade de São Francisco,
183
por tecnologias de vigilância são maiores que seus eventuais benefícios, e estabelece
importantes medidas de precaução que devem ser tomadas a fim de mitigar os danos que
decorreriam do seu uso.
específica sobre o assunto realizada pela agência, foi analisar as implicações aos direitos
fundamentais decorrentes do uso de tecnologias de reconhecimento facial ao vivo para 188
O documento aponta que a imagem facial de uma pessoa constitui um dado pessoal
biométrico, nos termos do Artigo 4.º, item 14, do GDPR : 189
Destaca ainda que, conforme Artigo 9.º, item 1, os dados pessoais biométricos são
compreendidos como uma categoria especial de dados pessoais, por serem aptos a
revelar a origem racial ou étnica de uma pessoa. Por causa de sua natureza sensível, as
imagens faciais encontram-se dentro da definição de categorias especiais de dados
pessoais ou dados pessoais sensíveis , de modo que recebem maior proteção e
191
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 26/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
Qualquer restrição ao exercício dos direitos e liberdades reconhecidos pela presente Carta
deve ser prevista por lei e respeitar o conteúdo essencial desses direitos e liberdades. Na
observância do princípio da proporcionalidade, essas restrições só podem ser introduzidas se
forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos
pela União, ou à necessidade de proteção dos direitos e liberdades de terceiros.195
direito à privacidade ou à proteção de dados – podem ser limitados até certa medida, mas
não completamente desconsiderados. Uma vez determinado que a medida de segurança a
ser adotada não viola o núcleo essencial e inalienável de um direito, deve-se proceder à
análise da necessidade e proporcionalidade dessa medida, como disposto no artigo supra.
Desse modo,
Nas palavras trazidas pela Agência, “tendo em vista as questões de direitos fundamentais
em jogo e sua complexidade, a supervisão independente é essencial para proteger
verdadeiramente as pessoas cujos direitos podem ser afetados pela tecnologia de
reconhecimento facial” . 199
O artigo discute ainda quais direitos fundamentais são especificamente afetados pelo
uso de tecnologias de reconhecimento facial para fins de segurança. Embora não se
proponha a realizar uma análise exaustiva do tema, apresenta uma lista de exemplos
pertinentes, destacando-se, entre eles, os seguintes: direitos à privacidade e à proteção de
dados pessoais; direito à não discriminação; direito à liberdade de expressão e à liberdade
de associação e reunião.
como o direito “clássico” à proteção da privacidade, e como um direito mais “moderno”, o direito
à proteção de dados. Ambos se esforçam para proteger valores semelhantes, i.e., a autonomia
e a dignidade humana dos indivíduos, garantindo-lhes uma esfera pessoal na qual eles podem
desenvolver livremente suas personalidades, pensar e moldar suas opiniões. Assim, formam
um requisito essencial para o exercício de outros direitos fundamentais, como a liberdade de
pensamento, consciência e religião (artigo 10 da Carta [de Direitos Fundamentais da União
Europeia]), liberdade de expressão e informação (artigo 11 da Carta) e liberdade de reunião e
de associação (artigo 12 da Carta).200
c) cumprir com os requisitos de minimização do uso de dados, precisão dos dados, limitação
de armazenamento, segurança dos dados e responsabilidade e prestação de contas.201
normativa referente à matéria no âmbito da União Europeia foi parcialmente preenchida 203
pela edição das diretrizes, adotadas no dia 29 janeiro de 2020. O instrumento dispõe,
como seu título indica, sobre o tratamento de dados pessoais obtidos por meio de sistemas
de videomonitoramento, com o objetivo de orientar os Estados Membros da UE no que diz
respeito à aplicação do GDPR para fins de regulação de tecnologias de vigilância e de
reconhecimento facial . 204
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 28/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
técnicas possam ser mais ou menos invasivas, é preciso também considerar que, havendo
outros meios de se atingir o objetivo pretendido, o videomonitoramento não poderá ser
considerado uma necessidade . 208
para o tratamento de dados pessoais realizada das pelas autoridades competentes para
propósitos de prevenção, detecção e investigação de condutas criminais ou execução de
sanções, que se encontra regido pelo GDPR . A principal exceção apontada é referente à
210
uso de câmeras de segurança em uma propriedade privada, desde que dentro de seus
limites, ou uma gravação realizada por um turista em férias.
adiante. A princípio, todas as bases legais elencadas no Artigo 6.º (1) podem fundamentar
o tratamento dos dados obtidos pela videovigilância. Na prática, todavia, espera-se que os
tratamentos sejam embasados no interesse legítimo ou na necessidade de exercício de
funções de interesse público ou ao exercício da autoridade pública de que está investido o
responsável pelo tratamento; excepcionalmente, o consentimento poderá ser utilizado
como base legal pelo controlador . 213
Importante apontar que, ainda nos termos das Diretivas, a “videovigilância baseada no
mero objetivo de ‘segurança’ ou ‘para sua segurança’ não é suficientemente específica” , 214
sendo, portanto, ilícita. O legítimo interesse deve ser existente e atual, isto é, não deve ser
ficcional ou especulativo; existência essa que deverá ser reavaliada de tempos em tempos,
a fim de averiguar a necessidade do monitoramento . Ainda que situações de risco 215
iminente configurem um interesse legítimo (como poderia ocorrer com um banco ou uma
joalheria), apenas interesses considerados inafastáveis poderiam se sobrepor aos
interesses, aos direitos e às liberdades do titular de dados . 216
Ainda no que se refere à licitude, temos que os dados pessoais devem ser adequados,
relevantes e limitados ao mínimo necessário em relação às finalidades para as quais são
processados, em observância ao princípio da minimização dos dados. Medidas de
videomonitoramento apenas devem ser empregadas quando os propósitos aos quais se
destinam não puderem ser razoavelmente concretizados mediante quaisquer outros meios
que impliquem menos violações aos direitos fundamentais e liberdades das pessoas . A 217
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 29/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
6.º (1) (f) do GDPR, devem ser ponderados os interesses legítimos perseguidos pelo
responsável pelo tratamento ou por terceiros e os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, especialmente se o
titular for uma criança. Dessa forma, presumindo que o sistema de vigilância por vídeo é de
fato necessário para a promoção dos interesses legítimos do controlador, esse sistema só
poderá ser colocado em operação caso os interesses dos primeiros superem os interesses
dos últimos . Esse tipo de decisão, como dito, deverá ser tomada caso a caso, de modo
219
que indicar hipóteses abstratas ou comparar situações semelhantes não deve ser
considerado suficiente . 220
Para que o tratamento dos dados seja lícito, devem ser levadas em conta, ainda, as
legítimas expectativas dos titulares no que se refere ao tempo e ao contexto do
tratamento . Os titulares têm a expectativa, por exemplo, de não serem monitorados em
221
às pessoas que estão sendo vigiadas não devem ser considerados aptos a determinar o
nível de expectativa dos titulares , de modo que, exceto se se tratar de hipóteses onde há
223
consentimento, o controlador deverá se certificar de que toda pessoa que ingresse na área
sujeita a videomonitoramento o conceda . 225
desses registros para autoridades públicas constitui um processo independente, regido por
diretivas específicas, e demandará uma justificação em separado para o controlador . 227
Um dos aspectos que mais nos interessa, trazido no quinto ponto, é o tratamento de
categorias especiais de dados pessoais (que correspondem, nos termos da legislação
brasileira, aos dados sensíveis). Embora nem sempre o videomonitoramento implique o
tratamento de categorias especiais de dados, muito frequentemente, serão empregados
sistemas de reconhecimento facial, que necessariamente realizam o tratamento de dados
biométricos. Além disso, dados aparentemente não sensíveis coletados via vídeo, se
analisados em conjunto com outros dados, podem revelar informações sensíveis sobre
uma pessoa . Dessa forma, sempre que se optar pelo uso de sistemas de vigilância
228
baseada em vídeo, o princípio da minimização dos dados deverá ser observado, ainda que
o Artigo 9.º (que regula o tratamento de categorias especiais de dados), a princípio, não se
aplique . 229
deletados assim que for cumprido o fim para o qual o titular consentiu . Destaca-se ainda 232
geralmente requerem o armazenamento dos dados, este deve ser feito em local
apropriado, garantindo-se a disponibilidade, integridade e confidencialidade das
informações . Por fim, se estabelece que os controladores deverão deletar todos os dados
235
Os direitos dos titulares dos dados são explicados no sexto tópico das Diretivas. O
primeiro deles, direito de acesso, refere-se à garantia que o titular possui de obter
informações acerca do tratamento de seus dados, devendo o controlador informá-lo acerca
da forma e duração do tratamento, bem como sobre a integridade dos dados . Também 237
são direitos do titular a exclusão dos dados (i.e., se o tratamento dos dados obtidos por
meio do videomonitoramento prosseguir para além da vigilância em tempo real, o titular
poderá exigir o apagamento de seus dados) e o direito de se opor ao tratamento (o titular
238
Uma das principais novidades trazidas pelas Diretivas encontra-se no tópico intitulado
“obrigações de transparência e informação”. Embora o dever de informar sobre a operação
de videomonitoramento venha de longa data no regime de proteção de dados europeu , 240
aviso:
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 31/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
EDPB sugere ainda que o aviso de primeiro nível contenha um código QR ou endereço
eletrônico que permita o acesso às informações de segundo nível, que, a despeito da
existência da versão digital, devem estar disponibilizadas em versão física no ambiente
vigiado.
armazenados por mais tempo que o necessário para o cumprimento das finalidades do
tratamento , e que este armazenamento deverá ser revisto periodicamente, a fim de
246
garantir que se atenha ao mínimo necessário, geralmente não mais que 72 horas . O 247
direito de apagamento, por sua vez, segue o estipulado no Artigo 15.º (1) (e) do GDPR.
No tópico seguinte, são trazidas medidas técnicas e organizacionais que devem ser
observadas ao longo de todo o tratamento dos dados, o qual deve ser legalmente
permitido e cumprir com todas as medidas de segurança necessárias. O que significa dizer
que devem ser estabelecidas ações no sentido de prevenir danos resultantes de
destruição, perda e alteração acidentais ou ilícitas, e da divulgação ou acesso não
autorizados aos dados . Aqui, o destaque se encontra na recomendação de definição de
248
apenas no design das tecnologias em si, mas também nas práticas organizacionais
relativas ao tratamento dos dados . 250
com base nas Diretivas para a Avaliação de Impacto sobre a Proteção de Dados . 252
Reconhece-se que o uso de videovigilância pode acarretar altos riscos para os direitos e
as liberdades individuais, de modo que se torna necessária a realização das avaliações.
Caso a avaliação conclua que o tratamento dos dados implicará um risco elevado, a
despeito das medidas de segurança apresentadas pelo controlador, será preciso o aval
das autoridades competentes para que a coleta e o processamento de dados ocorram . 253
.Tradeoff é um termo da língua inglesa utilizado para se referir a uma decisão que consiste na escolha de
uma opção em detrimento de outra, inatingíveis ao mesmo tempo. Embora possa ser traduzido, a depender
do contexto, como “troca”, “câmbio” ou “escolha”, optaremos por manter o termo em inglês por causa do
sentido mais amplo que possui.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 33/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
4
.SOLOVE, 2011.
5
.SOLOVE, 2011.
6
.RODOTÀ, 2003.
8
.KING, Jennifer; MULLIGAN, Deidre; RAPHAEL; Steven. CITRIS Report: The San Francisco’s Community
Safety Camera Program. Disponível em: www.muniwireless.com/reports/sf-video-study-2008.pdf. Acesso
em: 29 jul. 2020.
11
.SOLOVE, 2011.
17
.SOLOVE, 2011.
18
.SOLOVE, 2011.
19
.SOLOVE, 2011.
20
.SCHNEIER, 2009.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 34/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
23
.FRAZÃO, 2019b.
28
.SOLOVE, 2011.
30
.HONG, 2020.
33
.Neste ponto, é importante que não confundamos o verdadeiro problema posto pelo big data. Brendon
Mittelstadt e Luciano Floridi (2016) pontuam que o termo “big” (grande, em inglês) é empregado, de maneira
geral, porque os dados a que se referem a expressão big data são difíceis de classificar e analisar com as
tecnologias de computação existentes. Assim, o principal problema seria possuirmos uma quantidade de
dados maior do que aquela que podemos processar, e a solução se encontraria no desenvolvimento de
melhores técnicas e tecnologias de análise de dados. Todavia, “grande” é um predicativo relativo (FLORIDI,
2012), sendo empregado em termos procedimentais, não quantitativos, de modo que o que hoje é
considerado grande pode não o ser daqui a alguns anos em razão do avanço das técnicas computacionais e
de big analytics. Ademais, é provável que esse avanço gere, na realidade, ainda mais dados
(MITTELSTADT; FLORIDI, 2016), o que nos levaria de volta ao primeiro problema. Floridi aponta que do uso
de grandes bases de dados decorrem problemas epistemológicos e éticos. O problema epistemológico
refere-se aos “pequenos padrões”: com o big data, muitos dados podem ser gerados e processados
rapidamente e a baixo custo, e a partir de praticamente qualquer coisa, gerando uma infinidade de
pequenos padrões. Esses pequenos padrões podem representar um risco, principalmente quando
combinados mediante o cruzamento de bancos de dados distintos, porque “ultrapassam o limite do que é
previsível e, portanto, do que pode ser antecipado, não apenas sobre o comportamento da natureza, mas
também das pessoas” (FLORIDI, 2012, tradução nossa). O problema ético, por sua vez, diz respeito a como
vamos empregar os dados, estando mais conectado ao tema da presente pesquisa.
34
.SOLOVE, 2008.
35
.SOLOVE, 2008.
37
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 35/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.BIONI, Bruno Ricardo; LUCIANO, Maria. O Princípio da Precaução na Regulação de Inteligência Artificial:
seriam as leis de proteção de dados o seu portal de entrada? In: FRAZÃO, Ana; MULHOLLAND, Caitlin
(Org.). Inteligência artificial e direito: ética, regulação e responsabilidade. São Paulo: Thomson Reuters
Brasil, 2019, p. 222.
38
.Ugo Pagallo et al. empregam o termo “techno-regulation” ou “legal regulation by design” (PAGALLO, Ugo et
al. New technologies and law: global insights on the legal impacts of technology, law as meta-technology and
techno regulation, 2015. Disponível em: https://lawschoolsgloballeague.com/wp-
content/uploads/2017/01/New-Technologies-and-Law-Research-Group-Paper-2015.pdf. Acesso em: 29 jul.
2020).
39
.LESSIG, Lawrence. Code Is Law. On Liberty in Cyberspace. Harvard Magazine, [s.l.], 01 jan. 2000.
Disponível em: https://harvardmagazine.com/2000/01/code-is-law-html. Acesso em: 29 jul. 2020.
41
.“The Security Industry Association (SIA) is a nonprofit trade association representing more than 1,100
businesses providing a broad range of security products and services in the United States and
internationally. Our members include many of the leading developers of facial recognition technology;
companies offering products that incorporate this technology in a variety of identity, security and public safety
applications; and installers and integrators of these systems.” Cf.: “About SIA”. Disponível em:
https://www.securityindustry.org/about-sia/. Acesso em: 20 ago. 2020.
45
.Cf.: SECURITY INDUSTRY ASSOCIATION. SIA Principles for the Responsible and Effective Use of Facial
Recognition Technology, 2020. Disponível em: https://www.securityindustry.org/wp-
content/uploads/2020/08/SIA-Principles-Responsible-Ethical-Facial-Recognition-Usage.pdf. Acesso em: 20
ago. 2020.
46
.GERSHGORN, Dave. The Facial Recognition Industry Promises to Regulate Itself. Sure, Okay. One Zero,
[s.l.], 21 ago. 2020. Disponível em: https://onezero.medium.com/the-facial-recognition-industry-promises-to-
regulate-itself-sure-ok-6524dc87c06b. Acesso em: 22 ago. 2020.
47
.SOLOVE, 2008.
50
.DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico, Joaçaba,
v. 12, n. 2, p. 91-108, jul./dez. 2011, p. 98.
53
.DONEDA, 2011.
54
.A relação entre privacidade e proteção de dados foi formulada nos seguintes termos: “A privacidade de um
indivíduo é afetada diretamente pelo tipo de divulgação e de utilização feitas com as informações
registradas a seu respeito. Um registro contendo informações sobre um indivíduo que permitam a sua
identificação deve, portanto, ser regido por procedimentos que concedam ao indivíduo o direito de participar
na decisão sobre qual será o conteúdo do registro, bem como sobre como deverão ser feitos o uso e a
divulgação das informações pessoais nele contido. Qualquer gravação, divulgação e uso de informações
pessoais identificáveis não regidas por tais procedimentos deve ser proibida como uma prática de
informação desleal, a menos que tal gravação, divulgação ou uso seja especificamente autorizado por lei”
(ESTADOS UNIDOS DA AMÉRICA. Records, computers, and the rights of citizens. Report of the Secretary’s
Advisory Committee on Automated Personal Data Systems, 1973. Disponível em:
https://epic.org/privacy/hew1973report/c3.htm. Acesso em: 29 jul. 2020, tradução nossa).
55
.DONEDA, 2011.
57
.Os princípios são: collection limitation principle; data limitation principle; purpose specification principle; use
limitation principle; security safeguard principle; openness principle; individual participation principle;
accountability principle (ORGANIZAÇÃO PARA COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO
(OCDE). OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 23 de
setembro de 1980. Disponível em:
https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonalda
Acesso em: 29 jul. 2020; ORGANIZAÇÃO PARA COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO
(OCDE). THE OECD PRIVACY FRAMEWORK. Disponível em:
https://www.oecd.org/internet/ieconomy/privacy-guidelines.htm. Acesso em: 29 jul. 2020).
59
.SOLOVE, 2011.
60
.FRAZÃO, 2019b.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 37/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
64
.No Brasil, o regime de proteção de dados pessoais encontra amparo em legislações como o Código de
Defesa do Consumidor (Lei n.º 8.078/1990), a Lei de Acesso à Informação (Lei n.º 12.527/2011), o Marco
Civil da Internet (Lei n.º 12.965/2014), e no próprio Código Civil (Lei n.º 10.406/2002) e na Constituição.
66
.BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário
Oficial da União, Brasília, DF, 15 ago. 2018a. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 29 jul. 2019.
67
.Nesse sentido, a Proposta de Emenda à Constituição (PEC) 17/2019 “acrescenta o inciso XII-A, ao art. 5º, e
o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados pessoais entre os direitos
fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria” (BRASIL.
Senado Federal. Proposta de Emenda à Constituição n.° 17, de 2019b. Acrescenta o inciso XII-A, ao art. 5º,
e o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados pessoais entre os
direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria.
Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/135594. Acesso em: 29 jul.
2020). A PEC foi aprovada pelo Plenário do Senado Federal e, até o momento, aguarda a deliberação do
plenário da Câmara dos Deputados. (Cf.: BRASIL. Câmara dos Deputados. Proposta de Emenda à
Constituição (PEC) 17/2019. Altera a Constituição Federal para incluir a proteção de dados pessoais entre
os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre
proteção e tratamento de dados pessoais. Disponível em: https://www.camara.leg.br/propostas-
legislativas/2210757. Acesso em: 23 nov. 2020.)
69
.O art. 5º, inciso V, da LGPD, considera titular a “pessoa natural a quem se referem os dados pessoais que
são objeto de tratamento” (BRASIL, 2018a).
71
.BRASIL, 2018a.
74
.BRASIL, 2018a.
76
.FRAZÃO, 2019b.
77
.BRASIL, 2018a.
80
.BRASIL, 2018a.
81
.RODOTÀ, 2008.
82
.DONEDA, 2011.
83
.FRAZÃO, 2019b.
85
.BRASIL, 2018a.
86
.RODOTÀ, 2004.
94
.FRAZÃO, 2019c.
95
.AllSeenEye é a junção das palavras all, seen e eye, que formam a expressão “o olho que tudo vê”.
98
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 39/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.Cf.: “Atentados em mesquitas da Nova Zelândia deixam pelo menos 49 mortos”. Disponível em:
https://brasil.elpais.com/brasil/2019/03/15/internacional/1552616642_719105.html. Acesso em: 20 jul. 2020.
100
.OLIVEIRA, Marco Aurélio Bellizze; LOPES, Isabela Maria Pereira. Os princípios norteadores da proteção de
dados pessoais no Brasil e sua otimização pela Lei 13.709/2018. In: TEPEDINO, Gustavo; FRAZÃO, Ana;
OLIVA, Milena D. (coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito
Brasileiro. 1. ed. São Paulo: Thomson Reuters Brasil, 2019.
101
.Conforme a definição da LGPD, dado pessoal sensível é o “dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural” (BRASIL, 2018a, grifo nosso).
103
.É o que dispõe o art. 11, § 2º, da LPGD: “§ 2º Nos casos de aplicação do disposto nas alíneas ‘a’ e ‘b’ do
inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida
dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei” (BRASIL, 2018a).
104
.SCHNEIER. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. Nova York:
W.W. Norton & Company, 2015.
107
.NISSENBAUM, Helen. Privacy in context: technology, policy, and the integrity of social life. Stanford:
Stanford University Press, 2010.
113
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 40/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.Bioni (op. cit.) apresenta a expressão normas informacionais como abreviação de normas informacionais
relativas contextuais.
116
.RODOTÀ, 2008.
121
.BRASIL, 2018a.
122
.ANNANY, Mike; CRAWFORD, Kate. Seeing without knowing: Limitations of the transparency ideal and its
application to algorithmic accountability. New media & society, p. 1-17, 2016. Disponível em:
http://mike.ananny.org/papers/anannyCrawford_seeingWithoutKnowing_2016.pdf. Acesso em: 29 jul. 2019.
124
.O termo accountability está relacionado aos conceitos de “responsabilidade (objetiva e subjetiva), controle,
transparência, obrigação de prestação de contas, justificativas para as ações que foram ou deixaram de ser
empreendidas, premiação e/ou castigo” (PINHO, José Antonio Gomes de; SACRAMENTO, Ana Rita Silva.
Accountability: já podemos traduzi-la para o português? Revista de Administração Pública, Rio de Janeiro,
43(6), 2009 (nov./dez.). Disponível em: https://www.scielo.br/pdf/rap/v43n6/06.pdf. Acesso em: 29 jul. 2020,
p. 1364). Por causa da dificuldade de se traduzir o termo para o português, ora utilizaremos a palavra em
inglês, ora traduziremos como “responsabilização” ou “prestação de contas”, como veremos mais adiante.
125
.BRASIL, 2018a.
127
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 41/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.RODOTÀ., 2013.
132
.Machine learning (traduzido como “aprendizado de máquina”) é uma área da ciência da computação, no
campo da inteligência artificial. Grosso modo, é uma modalidade de programação que, a partir de regras
(comandos) previamente definidas, permitem que os computadores tomem decisões com base nos dados
previamente inseridos e com base nos dados gerados pelo usuário.
136
.MULHOLLAND, Caitlin; FRAJHOF, Isabella Z. Inteligência Artificial e a Lei Geral de Proteção de dados
Pessoais: breves anotações sobre o direito à explicação perante a tomada de decisões por meio de
machine learning. In: FRAZÃO, Ana; MULHOLLAND, Caitlin (Org.). Inteligência artificial e direito: ética,
regulação e responsabilidade. São Paulo: Thomson Reuters Brasil, 2019, p. 272, 273.
137
.RODOTÀ, 2013.
138
.FRAZÃO, 2019b.
141
.BRASIL, 2018a.
144
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 42/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.BODIN DE MORAES, Maria Celina. Ampliando os direitos da personalidade. In: Na medida da pessoa
humana. Rio de Janeiro: Renovar, 2010. p. 3, grifo nosso.
155
.FRAZÃO, 2019b.
156
.BRASIL, 2018a.
158
.CAMPOS, Anna Maria. Accountability: quando poderemos traduzi-la para o Português. Revista de
Administração Pública, 1990 (fev./abr.). Disponível em:
http://bibliotecadigital.fgv.br/ojs/index.php/rap/article/view/9049/8182. Acesso em: 29 jul. 2020.
159
.Campos iniciou a problematização acerca da tradução do termo accountability para a língua portuguesa em
1975, mas, tendo desistido de encontrar uma tradução exata, concentrou-se em compreender seu
significado. Para a autora, accountability pode ser compreendido “como sinônimo de responsabilidade
objetiva ou obrigação de responder por algo: como um conceito oposto a – mas não necessariamente
incompatível com – responsabilidade subjetiva. Enquanto a responsabilidade subjetiva vem de dentro da
pessoa, a accountability, sendo uma responsabilidade objetiva, ‘acarreta a responsabilidade de uma pessoa
ou organização perante uma outra pessoa, fora de si mesma, por alguma coisa ou por algum tipo de
desempenho (MOSHER, 1968, p. 7)’” (sic) (CAMPOS, op. cit., p. 33). Todavia, ainda hoje, “adota-se o
pressuposto de que não existe mesmo uma palavra única que o expresse em português. O que se percebe
são ‘traduções’ diferentes para o termo por parte de vários autores, ainda que os termos produzidos possam
estar próximos ou convergentes. Em síntese, não existe perfeita concordância nas traduções” (PINHO;
SACRAMENTO, op. cit., p. 1346). Pinho e Sacramento concluem que “não existe um termo único em
português que defina a palavra accountability, havendo que trabalhar com uma forma composta. Buscando
uma síntese, accountability encerra a responsabilidade, a obrigação e a responsabilização de quem ocupa
um cargo em prestar contas segundo os parâmetros da lei, estando envolvida a possibilidade de ônus, o
que seria a pena para o não cumprimento dessa diretiva” (op. cit., p. 1348).
161
a) segurança pública;
b) defesa nacional;
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 43/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
c) segurança do Estado; ou
.BRASIL, 2018a.
163
.BRASIL, 2018a.
165
.“Art. 55-J. Compete à ANPD: XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais
e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o
tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos
nesta Lei” (BRASIL, 2018a).
167
.COSTA, Ramon Silva; OLIVEIRA, Samuel Rodrigues de. Os direitos da personalidade frente à sociedade
de vigilância: privacidade, proteção de dados pessoais e consentimento nas redes sociais. Revista Brasileira
de Direito Civil em Perspectiva. Belém, v. 5, n. 2, p. 22-41, jul./dez., 2019.
169
.BRASIL. Câmara dos Deputados. Projeto de Lei n.º 9.736, de 07 de março de 2018b. Acrescenta
dispositivo à Lei n.º 7.210, de 11 de julho de 1984, para incluir a previsão de identificação por
reconhecimento facial. Brasília, 07 mar. 2018. Disponível em:
https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2169011. Acesso em: 29 jul.
2020.
170
.BRASIL, 2018b.
171
.O Projeto de Lei em questão dispõe sobre a utilização de sistemas de verificação biométrica em âmbito
nacional. Inteiro teor disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?
codteor=1296692&filename=PL+12/2015. Acesso em: 29 jul. 2020.
172
.BRASIL. Câmara dos Deputados. Projeto de Lei n.º 4.612, de 21 de agosto de 2019a. Dispõe sobre o
desenvolvimento, aplicação e uso de tecnologias de reconhecimento facial e emocional, bem como outras
tecnologias digitais voltadas à identificação de indivíduos e à predição ou análise de comportamentos.
Brasília, 21 ago. 2019. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?
idProposicao=2216455. Acesso em: 29 jul. 2020.
173
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 44/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
tratamento de determinada matéria em seu ordenamento é incipiente, incompleta ou até mesmo incoerente.
Assim, frequentemente buscam inspiração em outros sistemas legais, a fim de aperfeiçoar ou melhor
compreender o seu próprio direito, tomando emprestadas ideias reconhecidas em ordenamentos jurídicos
estrangeiros e transplantando-as para a sua própria realidade (BASEDOW, Jürgen. Comparative Law and its
Clients. The American Journal of Comparative Law, v. 62, 2014, p. 821-857). Em vista disso, optamos por
apenas trazer reflexões a partir do direito estrangeiro, sem a pretensão de apresentar uma análise de direito
comparado.
175
.O termo ordinance pode ser traduzido, literalmente, como portaria ou decreto. Todavia, no sistema jurídico
estadunidense, o termo se refere à “lei adotada por uma câmara municipal, conselho de supervisores do
município ou outro conselho de administração municipal” (LEGAL INFORMATION INSTITUTE. Cornell Law
School. Wex, 2020. Disponível em: https://www.law.cornell.edu/wex/ordinance. Acesso em: 29 jul. 2020), o
que corresponde, no nosso ordenamento jurídico, ao conceito de lei municipal.
177
.CITY AND COUNTY OF SAN FRANCISCO. Board of Supervisors. Ordinance NO. 107-19, de 2019.
Administrative Code – Acquisition of Surveillance Technology. Disponível em:
https://sfgov.legistar.com/View.ashx?M=F&ID=7321214&GUID=0045453C-D4AB-4620-81AC-
CB75FBF5649C. Acesso em: 29 jul. 2020, tradução nossa).
178
.“SEC. 19B.4. STANDARD FOR APPROVAL. It is the policy of the Board of Supervisors that it will approve a
Surveillance Technology Policy ordinance only if it determines that the benefits the Surveillance Technology
ordinance authorizes outweigh its costs, that the Surveillance Technology Policy ordinance will safeguard
civil liberties and civil rights, and that the uses and deployments of the Surveillance Technology under the
ordinance will not be based upon discriminatory or viewpoint-based factors or have a disparate impact on
any community or Protected Class.” (CITY AND COUNCIL OF SAN FRANCISCO, op. cit.)
179
.“SEC. 19B.6. ANNUAL SURVEILLANCE REPORT. (a) A Department that obtains approval for the
acquisition of Surveillance Technology under Section 19B.2 must submit to the Board of Supervisors and
COIT and make available on its website, an Annual Surveillance Report for each Surveillance Technology
used by the City Department within 12 months of Board approval of the applicable Surveillance Technology
Policy (…).” (CITY AND COUNCIL OF SAN FRANCISCO, op. cit.)
180
.“SEC. 1. General Findings. (c) While surveillance technology may threaten the privacy of all of us,
surveillance efforts have historically been used to intimidate and oppress certain communities and groups
more than others, including those that are defined by a common race, ethnicity, religion, national origin,
income level, sexual orientation, or political perspective” (CITY AND COUNCIL OF SAN FRANCISCO,
op. cit.).
181
.“SEC. 1. General Findings. (d) The propensity for facial recognition technology to endanger civil rights and
civil liberties substantially outweighs its purported benefits, and the technology will exacerbate racial injustice
and threaten our ability to live free of continuous government monitoring.” (CITY AND COUNCIL OF SAN
FRANCISCO, op. cit.)
182
.“SEC. 1. General Findings. (a) It is essential to have an informed public debate as early as possible about
decisions related to surveillance technology” (CITY AND COUNCIL OF SAN FRANCISCO, op. cit.).
183
.“SEC. 1. General Findings. (b) Whenever possible, decisions relating to surveillance technology should
occur with strong consideration given to the impact such technologies may have on civil rights and civil
liberties.” (CITY AND COUNCIL OF SAN FRANCISCO, op. cit.)
184
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 45/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.Segundo o sítio eletrônico da União Europeia, “a Agência dos Direitos Fundamentais (FRA) da União
Europeia presta serviços de aconselhamento fundamentado e independente aos responsáveis políticos
nacionais e da UE, contribuindo assim para alimentar o debate, as políticas e a legislação em matéria de
direitos fundamentais e torná-los mais eficazes”. Disponível em: https://europa.eu/european-union/about-
eu/agencies/fra_pt#em-s%C3%ADntese. Acesso em: 29 jul. 2020.
187
.UNIÃO EUROPEIA. Agência dos Direitos Fundamentais da União Europeia (FRA), [s.l.], 19 fev. 2019.
Disponível em: https://europa.eu/european-union/about-eu/agencies/fra_pt#em-s%C3%ADntese. Acesso
em: 29 jul. 2020.
188
.O artigo emprega o termo live facial recognition technology, que se refere à comparação de imagens
obtidas a partir de câmeras de segurança em circuitos fechados de televisão com imagens presentes em
bases de dados governamentais.
189
.Embora frequentemente se traduza para a língua portuguesa como “Regulamento Geral de Proteção de
Dados” (RGPD), utilizaremos, no presente trabalho, o acrônimo em língua inglesa, GDPR, em função da
maior familiaridade com o termo.
190
.UNIÃO EUROPEIA. Regulamento n.º 2016/679, de 27 de abril de 2016. Relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que
revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#ntc7-
L_2016119PT.01000101-E0007. Acesso em: 29 jul. 2020.
191
.Na Lei geral brasileira, o termo utilizado é “dado pessoal sensível” (art. 5º, II). Importante notar que, assim
como a LGPD, o GDPR não traz o conceito de dados pessoais sensíveis, limitando-se à enunciação de
tipos de dados que assim são considerados (RIGOLON KORKMAZ, 2019).
192
.A expressão law enforcement pode ser traduzida, a depender do contexto, como cumprimento da lei,
aplicação da lei, manutenção da ordem, entre outros. Pode se referir também ao conceito de segurança
pública (como no caso em questão), assim como aos órgãos legais encarregados da implementação de
disposições normativas.
194
.UNIÃO EUROPEIA. Carta dos Direitos Fundamentais da União Europeia, de 26 de outubro de 2012.
Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN.
Acesso em: 29 jul. 2020.
196
.“Artigo 8º. Proteção de dados pessoais 1. Todas as pessoas têm direito à proteção dos dados de caráter
pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins
específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por
lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a
respetiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade
independente.”
199
.EUROPEAN DATA PROTECTION BOARD (EDPB). Guidelines 3/2019 on processing of personal data
through video devices. Disponível em:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf. Acesso
em: 20 ago. 2020.
203
.Quanto à eficácia normativa das diretivas, importante apontar que “as diretivas vinculam os Estados
Membros destinatários (um, vários ou o conjunto deles) quanto ao resultado a alcançar, mas deixam às
instâncias nacionais a competência quanto à forma e aos meios. O legislador nacional deve adotar um ato
de transposição ou uma ‘medida nacional de execução’ para o direito interno, que adapte o direito nacional
aos objetivos fixados nas diretivas.” (PARLAMENTO EUROPEU. As fontes e o âmbito de aplicação do
direito da União Europeia. Disponível em: https://www.europarl.europa.eu/factsheets/pt/sheet/6/as-fontes-e-
o-ambito-de-aplicacao-do-direito-da-uniao-europeia. Acesso em: 05 ago. 2020.)
204
.EUROPEAN DATA PROTECTION BOARD. Guidelines 3/2019 on processing of personal data through video
devices. Disponível em: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-
processing-personal-data-through-video_en. Acesso em: 05 ago. 2020.
205
.“1. The intensive use of video devices has an impact on citizen’s behaviour. Significant implementation of
such tools in many spheres of the individuals’ life will put an additional pressure on the individual to prevent
the detection of what might be perceived as anomalies. De facto, these technologies may limit the
possibilities of anonymous movement and anonymous use of services and generally limit the possibility of
remaining unnoticed. Data protection implications are massive.” (EUROPEAN DATA PROTECTION BOARD,
op. cit.)
206
.“2. While individuals might be comfortable with video surveillance set up for a certain security purpose for
example, guarantees must be taken to avoid any misuse for totally different and – to the data subject –
unexpected purposes (e.g. marketing purpose, employee performance monitoring etc.).” (EUROPEAN DATA
PROTECTION BOARD, op. cit.)
207
.“3. Video surveillance systems in many ways change the way professionals from the private and public
sector interact in private or public places for the purpose of enhancing security, obtaining audience analysis,
delivering personalized advertising, etc. Video surveillance has become high performing through the growing
implementation of intelligent video analysis. These techniques can be more intrusive (e.g. complex biometric
technologies) or less intrusive (e.g. simple counting algorithms).” (EUROPEAN DATA PROTECTION
BOARD, op. cit.)
208
.“5. Video surveillance is not by default a necessity when there are other means to achieve the underlying
purpose.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 47/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
209
.“7. Systematic automated monitoring of a specific space by optical or audio-visual means, mostly for
property protection purposes, or to protect individual´s life and health, has become a significant phenomenon
of our days. This activity brings about collection and retention of pictorial or audio-visual information on all
persons entering the monitored space that are identifiable on basis of their looks or other specific elements.
Identity of these persons may be established on grounds of these details. It also enables further processing
of personal data as to the persons´ presence and behaviour in the given space. The potential risk of misuse
of these data grows in relation to the dimension of the monitored space as well as to the number of persons
frequenting the space. This fact is reflected by the General Data Protection Regulation in the Article 35
(3) (c) which requires the carrying out of a data protection impact assessment in case of a systematic
monitoring of a publicly accessible area on a large scale, as well as in Article 37 (1) (b) which requires
processors to designate a data protection officer, if the processing operation by its nature entails regular and
systematic monitoring of data subjects.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
210
.“10. Notably processing of personal data by competent authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including
the safeguarding against and the prevention of threats to public security, falls under the directive
EU2016/680.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
211
.“11. Pursuant to Article 2 (2) (c), the processing of personal data by a natural person in the course of a
purely personal or household activity, which can also include online activity, is out of the scope of the GDPR.”
(EUROPEAN DATA PROTECTION BOARD, op. cit.)
212
.“15. Before use, the purposes of processing have to be specified in detail (Article 5 (1) (b)). Video
surveillance can serve many purposes, e.g. supporting the protection of property and other assets,
supporting the protection of life and physical integrity of individuals, collecting evidence for civil claims. These
monitoring purposes should be documented in writing (Article 5 (2)) and need to be specified for every
surveillance camera in use.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
213
.“In principle, every legal ground under Article 6 (1) can provide a legal basis for processing video
surveillance data. For example, Article 6 (1) (c) applies where national law stipulates an obligation to carry
out video surveillance.7 However in practice, the provisions most likely to be used are: Article 6
(1) (f) (legitimate interest), Article 6 (1) (e) (necessity to perform a task carried out in the public interest or in
the exercise of official authority). In rather exceptional cases Article 6 (1) (a) (consent) might be used as a
legal basis by the controller.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
214
.“Video surveillance based on the mere purpose of “safety” or “for your safety” is not sufficiently specific
(Article 5 (1) (b).” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
215
.“20. The legitimate interest needs to be of real existence and has to be a present issue (i.e. it must not be
fictional or speculative)10. A real-life situation of distress needs to be at hand – such as damages or serious
incidents in the past – before starting the surveillance. In light of the principle of accountability, controllers
would be well advised to document relevant incidents (date, manner, financial loss) and related criminal
charges. Those documented incidents can be a strong evidence for the existence of a legitimate interest. The
existence of a legitimate interest as well as the necessity of the monitoring should be reassessed in periodic
intervals (e.g. once a year, depending on the circumstances).” (EUROPEAN DATA PROTECTION BOARD,
op. cit.)
216
.“22. Imminent danger situations may constitute a legitimate interest, such as banks or shops selling precious
goods (e.g. jewellers), or areas that are known to be typical crime scenes for property offences (e.g. petrol
stations).” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
217
.“24. Personal data should be adequate, relevant and limited to what is necessary in relation to the purposes
for which they are processed (‘data minimisation’), see Article 5 (1) (c). Before installing a video-surveillance
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 48/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
system the controller should always critically examine if this measure is firstly suitable to attain the desired
goal, and secondly adequate and necessary for its purposes. Video surveillance measures should only be
chosen if the purpose of the processing could not reasonably be fulfilled by other means which are less
intrusive to the fundamental rights and freedoms of the data subject.” (EUROPEAN DATA PROTECTION
BOARD, op. cit.)
218
.“25. Given the situation that a controller wants to prevent property related crimes, instead of installing a
video surveillance system the controller could also take alternative security measures such as fencing the
property, installing regular patrols of security personnel, using gatekeepers, providing better lighting,
installing security locks, tamper-proof windows and doors or applying anti-graffiti coating or foils to walls.
Those measures can be as effective as video surveillance systems against burglary, theft and vandalism.
The controller has to assess on a case-by-case basis whether such measures can be a reasonable solution.”
(EUROPEAN DATA PROTECTION BOARD, op. cit.)
219
.“30. Presuming that video surveillance is necessary to protect the legitimate interests of a controller, a video
surveillance system may only be put in operation, if the legitimate interests of the controller or those of a third
party (e.g. protection of property or physical integrity) are not overridden by the interests or fundamental
rights and freedoms of the data subject.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
220
.“32. As the balancing of interests is mandatory according to the regulation, the decision has to be made on a
case-by-case basis (see Article 6 (1) (f)). Referencing abstract situations or comparing similar cases to one
another is insufficient.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
221
.“36. According to Recital 47, the existence of a legitimate interest needs careful assessment. Here the
reasonable expectations of the data subject at the time and in the context of the processing of its personal
data have to be included.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
222
.“38. Data subjects can also expect to be free of monitoring within publicly accessible areas especially if
those areas are typically used for recovery, regeneration, and leisure activities as well as in places where
individuals stay and/or communicate, such as sitting areas, tables in restaurants, parks, cinemas and fitness
facilities.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
223
.“40. Signs informing the data subject about the video surveillance have no relevance when determining what
a data subject objectively can expect. This means that e.g. a shop owner cannot rely on customers
objectively having reasonable expectations to be monitored just because a sign informs the individual at the
entrance about the surveillance.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
224
.“43. Consent has to be freely given, specific, informed and unambiguous as described in the guidelines on
consent.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
225
.“46. If the controller wishes to rely on consent it is his duty to make sure that every data subject who enters
the area which is under video surveillance has given her or his consent.” (EUROPEAN DATA PROTECTION
BOARD, op. cit.)
226
.“49. In principle, the general regulations of the GDPR apply to the disclosure of video recordings to third
parties.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
227
.“56. The disclosure of video recordings to law enforcement agencies is also an independent process, which
requires a separate justification for the controller.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
228
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 49/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.“62. Video surveillance systems usually collect massive amounts of personal data which may reveal data of
a highly personal nature and even special categories of data. Indeed, apparently non-significant data
originally collected through video can be used to infer other information to achieve a different purpose (e.g. to
map an individual’s habits). However, video surveillance is not always considered to be processing of special
categories of personal data.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
229
.“66. In general, as a principle, whenever installing a video surveillance system careful consideration should
be given to the data minimization principle. Hence, even in cases where Article 9 (1) does not apply, the data
controller should always try to minimize the risk of capturing footage revealing other sensitive data (beyond
Article 9), regardless of the aim.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
230
.“73. The use of biometric data and in particular facial recognition entail heightened risks for data subjects’
rights. It is crucial that recourse to such technologies takes place with due respect to the principles of
lawfulness, necessity, proportionality and data minimisation as set forth in the GDPR. Whereas the use of
these technologies can be perceived as particularly effective, controllers should first of all assess the impact
on fundamental rights and freedoms and consider less intrusive means to achieve their legitimate purpose of
the processing.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
231
.“77. The use of video surveillance including biometric recognition functionality installed by private entities for
their own purposes (e.g. marketing, statistical, or even security) will, in most cases, require explicit consent
from all data subjects (Article 9 (2) (a)), however another suitable exception in Article 9 could also be
applicable.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
232
.“79. In this type of cases, where biometric templates are generated, controllers shall ensure that once a
match or no-match result has been obtained, all the intermediate templates made on the fly (with the explicit
and informed consent of the data subject) in order to be compared to the ones created by the data subjects
at the time of the enlistment, are immediately and securely deleted. The templates created for the enlistment
should only be retained for the realisation of the purpose of the processing and should not be stored or
archived.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
233
.“86. Finally, when the consent is required by Article 9 GDPR, the data controller shall not condition the
access to its services to the acceptance of the biometric processing. In other words and notably when the
biometric processing is used for authentication purpose, the data controller must offer an alternative solution
that does not involve biometric processing – without restraints or additional cost for the data subject.”
(EUROPEAN DATA PROTECTION BOARD, op. cit.)
234
.“87. In compliance with the data minimization principle, data controllers must ensure that data extracted from
a digital image to build a template will not be excessive and will only contain the information required for the
specified purpose, thereby avoiding any possible further processing. Measures should be put in place to
guarantee that templates cannot be transferred across biometric systems.” (EUROPEAN DATA
PROTECTION BOARD, op. cit.)
235
.“88. Identification and authentication/verification are likely to require the storage of the template for use in a
later comparison. The data controller must consider the most appropriate location for storage of the data.
89. In any case, the controller shall take all necessary precautions to preserve the availability, integrity and
confidentiality of the data processed.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
236
.“90. Besides, data controllers should proceed to the deletion of raw data (face images, speech signals, the
gait, etc.) and ensure the effectiveness of this deletion. If there is no longer a lawful basis for the processing,
the raw data has to be deleted.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
237
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 50/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.“92. A data subject has the right to obtain confirmation from the controller as to whether or not their personal
data are being processed. For video surveillance this means that if no data is stored or transferred in any
way then once the real-time monitoring moment has passed the controller could only give the information
that no personal data is any longer being processed (besides the general information obligations under
Article 13, see section 7 – Transparency and information obligations). If however data is still being processed
at the time of the request (i.e. if the data is stored or continuously processed in any other way), the data
subject should receive access and information in accordance with Article 15.” (EUROPEAN DATA
PROTECTION BOARD, op. cit.)
238
.“99. If the controller continues to process personal data beyond real-time monitoring (e.g. storing) the data
subject may request for the personal data to be erased under Article 17 GDPR.” (EUROPEAN DATA
PROTECTION BOARD, op. cit.)
239
.“105. For video surveillance based on legitimate interest (Article 6 (1) (f) GDPR) or for the necessity when
carrying out a task in the public interest (Article 6 (1) (e) GDPR) the data subject has the right – at any time –
to object, on grounds relating to his or her particular situation, to the processing in accordance with Article 21
GDPR. Unless the controller demonstrates compelling legitimate grounds that overrides the rights and
interests of the data subject, the processing of data of the individual who objected must then stop. The
controller should be obliged to respond to requests from the data subject without undue delay and at the
latest within one month.”
240
.“110. It has long been inherent in European data protection law that data subjects should be aware of the
fact that video surveillance is in operation.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
241
.“111. In light of the volume of information, which is required to be provided to the data subject, a layered
approach may be followed by data controllers where they opt to use a combination of methods to ensure
transparency (WP260, par. 35; WP89, par. 22). Regarding video surveillance the most important information
should be displayed on the warning sign itself (first layer) while the further mandatory details may be
provided by other means (second layer).” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
242
.“113. The information should be positioned in such a way that the data subject can easily recognize the
circumstances of the surveillance before entering the monitored area (approximately at eye level).”
(EUROPEAN DATA PROTECTION BOARD, op. cit.)
243
.“114. The first layer information (warning sign) should generally convey the most important information, e.g.
the details of the purposes of processing, the identity of controller and the existence of the rights of the data
subject, together with information on the greatest impacts of the processing.” (EUROPEAN DATA
PROTECTION BOARD, op. cit.)
244
.“7. As informações a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser
dadas em combinação com ícones normalizados a fim de dar, de uma forma facilmente visível, inteligível e
claramente legível, uma perspectiva geral significativa do tratamento previsto. Se forem apresentados por
via eletrónica, os ícones devem ser de leitura automática.” (UNIÃO EUROPEIA, cit.)
245
.“117. The second layer information must also be made available at a place easily accessible to the data
subject, for example as a complete information sheet available at a central location (e.g. information desk,
reception or cashier) or displayed on an easy accessible poster. As mentioned above, the first layer warning
sign has to refer clearly to the second layer information. In addition, it is best if the first layer information
refers to a digital source (e.g. QR-code or a website address) of the second layer.
However, the information should also be easily available non-digitally.” (EUROPEAN DATA PROTECTION
BOARD, op. cit.)
246
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 51/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
.“120. Personal data may not be stored longer than what is necessary for the purposes for which the
personal data is processed (Article 5 (1) (c) and (e) GDPR).” (EUROPEAN DATA PROTECTION BOARD,
op. cit.)
247
.“121. Whether the personal data is necessary to store or not should be controlled within a narrow timeline. In
general, legitimate purposes for video surveillance are often property protection or preservation of evidence.
Usually damages that occurred can be recognized within one or two days. To facilitate the demonstration of
compliance with the data protection framework it is in the controller’s interest to make organisational
arrangements in advance (e.g. nominate, if necessary, a representative for screening and securing video
material). Taking into consideration the principles of Article 5 (1) (c) and (e) GDPR, namely data minimization
and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting
vandalism) be erased, ideally automatically, after a few days. The longer the storage period set (especially
when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of
storage has to be provided.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
248
.“123. As stated in Article 32 (1) GDPR, processing of personal data during video surveillance must not only
be legally permissible but controllers and processors must also adequately secure it. Implemented
organizational and technical measures must be proportional to the risks to rights and freedoms of natural
persons, resulting from accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access
to video surveillance data. According to Article 24 and 25 GDPR, controllers need to implement technical and
organisational measures also in order to safeguard all data-protection principles during processing, and to
establish means for data subjects to exercise their rights as defined in Articles 15-22 GDPR.” (EUROPEAN
DATA PROTECTION BOARD, op. cit.)
249
.“126. As stated in Article 25 GDPR, controllers need to implement appropriate data protection technical and
organisational measures as soon as they plan for video surveillance – before they start the collection and
processing of video footage. These principles emphasize the need for built-in privacy enhancing
technologies, default settings that minimise the data processing, and the provision of the necessary tools that
enable the highest possible protection of personal data.” (EUROPEAN DATA PROTECTION BOARD,
op. cit.)
250
.“127. Controllers should build data protection and privacy safeguards not only into the design specifications
of the technology but also into organisational practices.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
251
.“136. According to Article 35 (1) GDPR controllers are required to conduct data protection impact
assessments (DPIA) when a type of data processing is likely to result in a high risk to the rights and
freedoms of natural persons. Article 35 (3) (c) GDPR stipulates that controllers are required to carry-out data
protection impact assessments if the processing constitutes a systematic monitoring of a publicly accessible
area on a large scale. Moreover, according to Article 35 (3) (b) GDPR a data protection impact assessment is
also required when the controller intends to process special categories of data on a large scale.”
(EUROPEAN DATA PROTECTION BOARD, op. cit.)
252
.“137. The Guidelines on Data Protection Impact Assessment27 provide further advice, and more detailed
examples relevant to video surveillance.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
253
.“138. It is also important to note that if the results of the DPIA indicate that processing would result in a high
risk despite security measures planned by the controller, then it will be necessary to consult the relevant
supervisory authority prior to the processing.” (EUROPEAN DATA PROTECTION BOARD, op. cit.)
254
.É a disposição do Art. 55-J, LGPD. Importante destacar que a ANPD teve sua estrutura regimental e quadro
de funcionários aprovados dois anos posteriormente à promulgação da Lei geral, mas segue sem a
definição quanto aos nomes que comporão o quadro da agência. Ademais, da designação dos membros da
ANPD, resta em aberto a criação do Conselho Nacional de Proteção de Dados Pessoais, órgão consultivo
que contará com a participação de vários setores da sociedade civil. Cf.: BRASIL. Decreto n.º 10.474, de 26
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 52/53
14/03/2022 10:32 Thomson Reuters ProView - Sorria, Você Está Sendo Filmado! - Ed. 2021
de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e
das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos
em comissão e funções de confiança. Brasília, DF: Diário Oficial da União [2020]. Disponível em:
https://www.in.gov.br/en/web/dou/-/decreto-n-10.474-de-26-de-agosto-de-2020-274389226. Acesso em: 20
set. 2020.
https://proview.thomsonreuters.com/title.html?redirect=true&titleKey=rt%2Fmonografias%2F253598654%2Fv1.2&titleStage=F&titleAcct=i0ad8… 53/53