Segurança em Condomínios: como o Reconhecimento Facial se encaixa na LGPD

O uso do reconhecimento facial em condomínios vem crescendo a passos largos em todo o país, especialmente no universo dos condomínios. Embora ofereça benefícios e praticidade em termos de segurança e controle de acesso, a ferramenta também suscita importantes questões éticas e legais ligadas à Lei Geral de Proteção de Dados (LGPD).

De maneira geral, a coleta e o armazenamento de dados biométricos considerados sensíveis, como as imagens faciais, devem ser realizados com o consentimento explícito dos moradores, que precisam ser informados sobre a finalidade, duração e uso dessas informações. Além disso, é necessário garantir a segurança e confidencialidade desses dados, adotando medidas técnicas e administrativas adequadas para prevenir acessos não autorizados ou vazamentos.

Bases legais adequadas para a utilização da tecnologia

De acordo com Roberto Rila, especialista em Engenharia de Suprimentos e professor nos cursos de Logística, Gestão e Negócios do Senac EAD, para que a utilização de tecnologias de reconhecimento facial em condomínios esteja em conformidade com a LGPD no Brasil, há algumas considerações importantes. A primeira e principal delas é o consentimento.

“De acordo com a LGPD, o consentimento do titular dos dados é uma das bases legais para o tratamento de dados pessoais. No caso de reconhecimento facial em condomínios, os moradores e visitantes devem ser informados de forma clara e transparente sobre o uso dessa tecnologia e dar seu consentimento explícito para o tratamento de seus dados biométricos”, explica.

Outro ponto que é considerado uma base legal para a utilização é o interesse legítimo do controlador dos dados.

“No contexto de condomínios, o uso de tecnologias de reconhecimento facial pode ser justificado com base na segurança e proteção dos moradores e do patrimônio do condomínio. No entanto, é importante garantir que o interesse legítimo não viole os direitos e liberdades fundamentais dos indivíduos, e que seja realizado um adequado balanceamento de interesses”, diz o especialista.

E por fim, o terceiro ponto é o cumprimento de obrigação legal: “Se houver uma obrigação legal que justifique o uso de tecnologias de reconhecimento facial em condomínios, essa também pode ser uma base legal para o tratamento de dados pessoais”, revela.

É importante ressaltar que, independentemente da base legal utilizada, o tratamento de dados pessoais deve ser realizado de acordo com os princípios da LGPD, incluindo os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

A importância da contratação adequada

Professor da UniSecovi, advogado e consultor em LGPD, Dr. Leonardo Perseu explica que, a contratação do serviço adequado de reconhecimento facial é essencial para evitar problemas futuros, como por exemplo, o acesso inadequado e o vazamento de dados.

“O reconhecimento facial é uma realidade. Eu moro em Niterói, na Região Oceânica do Rio de Janeiro, onde ficam as praias, e praticamente todos os condomínios já têm portaria remota e reconhecimento facial. Para que tudo ocorra bem, é essencial o condomínio verificar se a empresa que vai implantar o sistema já está em conformidade com a LGPD”, sentencia o profissional, que também é membro da Comissão de Proteção de Dados da OAB/RJ e diretor do IBCTD – Instituto Brasileiro de Consumidores e Titulares de Dados.

Ele explica que muitos aspectos devem ser observados: onde os dados serão armazenados, de que forma, se o condomínio terá acesso a esses dados, se o servidor de armazenamento é uma nuvem e onde ela está localizada, entre outros pontos. Mesmo a localização do servidor é importante, pois se a nuvem está fora do país, estamos falando de transferência internacional de dados, e a regulação acaba sendo diferente neste caso.

“Existem dois conceitos na lei: o controlador de dados e o operador de dados. Se você contrata uma empresa com essa finalidade específica (coleta de biometria para ingresso no condomínio, por exemplo), tem que dar transparência aos condôminos do que será feito com esses dados e quem poderá ter acesso. A empresa que presta o serviço, por ser uma operadora de dados, precisa garantir a transparência”, ressalta.

Ele conta que o processo mais adequado nestes casos, é levar a empresa ou as propostas para uma assembleia específica sobre o assunto, na qual serão sanadas todas as dúvidas e explicados em mínimos detalhes aos condôminos todos os pontos sensíveis que envolvem a implementação. Mas e se um morador não estiver de acordo?

“O titular de dados tem o direito de não querer o sistema, pois o consentimento é uma base legal. Neste caso, o condomínio precisa criar uma alternativa de acesso para este morador”, explica Leonardo.

Outro ponto que o especialista cita é o caso de rompimento do contrato com a empresa. “A empresa contratada precisa garantir que irá fazer, e de que forma, a devolução, a exclusão ou a anonimização dos dados coletados”, diz.

Os desvios de finalidade dos dados também não podem ocorrer, segundo a LGPD. Leonardo cita um caso de um condomínio comercial que solicitou os dados de acesso de um funcionário quando ele foi demitido.

“Isso é desvio de finalidade. Se os dados coletados forem também para controle de acesso, isso precisa ser esclarecido e informado antes que eles aceitem ceder os dados para o condomínio. Compete ao síndico e ao condomínio esclarecer isso em detalhes, precisamos ter transparência quando se trata de LGPD”, afirma.

A LGPD também cita a possibilidade de correção e exclusão de dados pessoais: “O direito dos moradores à revisão, correção e exclusão de seus dados pessoais se aplica plenamente quando se trata de dados biométricos capturados por sistemas de reconhecimento facial, de acordo com a Lei Geral de Proteção de Dados (LGPD) no Brasil”, explica Roberto Rila.

Medidas de segurança

Como estamos falando de dados sensíveis, é necessário que existam medidas de segurança para proteger tais informações. Roberta Rila cita algumas:

1) Criptografia: Os dados biométricos devem ser criptografados durante a transmissão e armazenamento para protegê-los contra acesso não autorizado.

2) Controles de Acesso: Implemente controles de acesso rigorosos para garantir que apenas pessoas autorizadas tenham acesso aos dados biométricos.

3) Monitoramento de Acesso: Mantenha registros detalhados de todas as atividades de acesso aos dados biométricos, incluindo quem acessou os dados, quando e com que finalidade.

4) Segurança Física: Proteja fisicamente os dispositivos e servidores que armazenam os dados biométricos contra acesso não autorizado.

5) Atualizações de Segurança: Mantenha todos os sistemas e software relacionados à coleta e armazenamento de dados biométricos atualizados com as últimas correções de segurança e patches de software.

6) Treinamento de Funcionários: Forneça treinamento regular aos funcionários que têm acesso aos dados biométricos sobre práticas seguras de manuseio de dados, reconhecimento de ameaças de segurança e procedimentos de resposta a incidentes de segurança.

7) Backup de Dados: Implemente políticas de backup de dados para garantir a disponibilidade e integridade dos dados biométricos em caso de falha do sistema, desastre ou ataque cibernético. Os backups devem ser armazenados em locais seguros e protegidos contra acesso não autorizado.

8) Políticas de Retenção: Estabeleça políticas claras de retenção de dados biométricos, especificando por quanto tempo os dados serão retidos e os procedimentos para sua exclusão quando não forem mais necessários.

10) Auditorias de Segurança: Realize auditorias de segurança regulares para avaliar a eficácia das medidas de segurança implementadas e identificar possíveis vulnerabilidades ou áreas de melhoria.

Vazamento de dados

Em casos de incidentes de segurança que envolvam vazamentos ou acesso não autorizado aos dados biométricos coletados por sistemas de reconhecimento facial, o condomínio tem várias responsabilidades legais de acordo com a Lei Geral de Proteção de Dados (LGPD) no Brasil. Aqui estão as principais medidas a serem tomadas, segundo o especialista Roberto Rila:

1) Notificação de incidente: O condomínio tem a obrigação legal de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados sobre qualquer incidente de segurança que possa resultar em risco ou danos aos direitos e liberdades dos moradores em relação aos seus dados biométricos. Investigação Interna: O condomínio deve conduzir uma investigação interna completa para determinar a natureza e a extensão do incidente de segurança, identificar as causas raiz e avaliar o impacto nos dados biométricos dos moradores. Isso inclui coletar evidências, preservar registros relevantes e colaborar com autoridades competentes, se necessário.

2) Mitigação de danos: Tome medidas imediatas para mitigar os danos causados pelo incidente de segurança, como interromper o acesso não autorizado aos dados, corrigir falhas de segurança, restaurar a integridade dos sistemas afetados e notificar os titulares dos dados sobre o incidente e as medidas tomadas.

3) Comunicação aos titulares dos Dados: O condomínio deve comunicar prontamente aos moradores afetados sobre o incidente de segurança, incluindo informações sobre a natureza do incidente, os dados biométricos comprometidos, o impacto potencial e as medidas que estão sendo tomadas para mitigar os danos.

4) Cooperação com autoridades: Colabore com a ANPD e outras autoridades competentes durante a investigação do incidente de segurança e o cumprimento das obrigações legais relacionadas à LGPD. Isso pode incluir fornecer informações adicionais, relatórios de incidentes e assistência na condução de investigações.

5) Registro de incidente: Mantenha registros detalhados de todos os incidentes de segurança, incluindo informações sobre a data, a hora, a natureza do incidente, os dados afetados, as medidas tomadas e as comunicações realizadas. Isso é importante para fins de conformidade com a LGPD e para demonstrar transparência e responsabilidade.

6) Avaliação de riscos: Realize uma avaliação de riscos para identificar possíveis vulnerabilidades nos sistemas de reconhecimento facial e implementar medidas adicionais de segurança para prevenir futuros incidentes de segurança.

O que nos espera no futuro?

De maneira geral, a LGPD no Brasil ainda é bastante incipiente, pois sua criação data de 2018, e foi somente na pandemia, que sua implementação ganhou força. Para Leonardo Perseu, apesar de avançar com mais rapidez na esfera pública e em empresas como bancos, especialmente em relação à implementação e fiscalização, ela já é uma realidade.

“As pessoas ainda não têm muita noção sobre os direitos que a LGPD oferece, a lei é completa. Eu costumo chamar de novo Código do Consumidor. Lá tem os nossos direitos e nossos deveres. Com absoluta certeza se tornará algo padrão no futuro. No caso do reconhecimento facial, isso é bom para a segurança, para terceiros, para acesso. Se tiver toda a estrutura de segurança envolvida e funcionando plenamente, vai se tornar um padrão”, conclui.

Por: Mario Camelo