Privacidade
No último dia 01/09/2022, ocorreu um episódio um tanto comum em ambientes não controlados, em detrimento da tecnologia e conectividade cada vez mais disponíveis para os usuários. Isto pode ser evidenciado em uma recente pesquisa da FGV, que apontou cerca de 440 Milhões de devices habilitados, ou seja, praticamente o dobro da população. Na prática são 2 aparelhos para cada brasileiro, tirando as crianças e recém-nascidos, e este número pode subir para 3 equipamentos. Neste cenário, é cada vez mais recorrente existir incidentes como o ocorrido neste episódio, evidenciando a necessidade de controlar as ações de captura de fotos e vídeos de figuras públicas sem a devida autorização.
Uma funcionária de um hotel em Manaus-AM filmou o vocalista famoso conhecido como Axel Rose, da banda Guns N’ Roses, em um ambiente controlado, e esta ação, existindo uma regra clara, um acordo de confidencialidade, direito de imagem e privacidade, caso descumpridos, pode causar até a demissão da funcionária, o que ocorreu no presente caso.
Ao filmar o vocalista dentro do bar do hotel, a funcionária acabou descumprindo a orientação de toda equipe, previamente instruída a não tirar fotos, ou fazer vídeos. Nota-se que não só houve uma violação de privacidade e à proteção de dados do hóspede, como também o descumprimento de uma determinação do controlador de dados, ferindo o direito de imagem.
Lente da LGPD
Olhando pelo prisma da Lei Geral de Proteção de Dados, cabe ressaltar que este tratamento, só poderia ser realizado em uma das hipóteses previstas no artigo 7º da LGPD, e o hotel como agente de tratamento, pode ser acionado pelo titular dos dados, e responderá pelos danos decorrentes da violação à legislação, conforme artigo 42 da LGPD, tendo, inclusive, desdobramentos em processos cíveis se couber e de forma independente pós responsabilização. Outro aspecto que precisa ser observado é que a funcionária não é considerada um agente de tratamento e não poderia ser responsabilizada ou acionada diretamente.
“No guia orientativo publicado pela Autoridade Nacional de Proteção de dados (ANPD), esclarece que “não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento”.
Mesmo que o escopo do caso em tela, e que o tratamento indevido não tenha finalidade econômica, preconizado no Art. 4º, inciso I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos -, é necessário observar que a funcionária estava em um ambiente de trabalho, horário de trabalho, e só teve acesso ao “famoso”, em virtude da relação trabalhista e, naquele momento, era a representante do controlador.
Evidenciaria uma exceção, claro, para fins não econômicos, caso a coleta fosse em ambiente público por exemplo, e neste aspecto, não é afastado a responsabilidade do controlador configurando uma subtração de base de dados de forma ilegal, ilícita e comprometedora, pois ocorreu dentro dos seus limites operacionais. Seguindo nesta linha de raciocínio, não é possível considerar uma exceção clara de fins não econômicos neste tratamento.
Este evento é marcado por muitos questionamentos que talvez poderiam responder claramente o porquê de ter ocorrido esse evento, dentre os quais gostaria de destacar:
- Existe Cláusula de Confidencialidade no contrato de Trabalho? - Existe Código de Conduta? - Existe Política de Privacidade Interna no Hotel? Escrita de forma clara e objetiva? - Como está o Hotel em relação a Treinamentos de Conscientização dos Funcionários?
Todos estes códigos e políticas precisam estar evidenciados para tranquilizar o titular (hóspede) quando ele chega a tomar a decisão de contratar o serviço de hospitalidade do hotel, pois somente desta forma documental irá proteger o negócio, o controlador e principalmente o titular.
O dano reputacional evidenciado neste controlador face a este incidente, pode representar perdas significativas de receita, de parcerias e de contratos. Hoje, uma boa parte de relacionamento comercial entre controladores, estão se alinhando às diretrizes básicas da lei de proteção de dados.
Do ponto de vista contencioso, o hotel deverá demonstrar que existia padrões mínimos previstos no Art. 46 da LGPD – “medidas técnicas e administrativas” aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Nestes casos, a evidência irá auxiliar o controlador tanto na defesa em uma ação trabalhista, como em uma ação cível.
A importância do Encarregado de Dados
O Encarregado tem um cargo estratégico na governança dos dados, além de interagir com os titulares dos dados, tem no Art. 5º, inciso VIII, da Lei n. 13.709/2018, a definição clara como o profissional indicado pelos agentes de tratamento de dados (Controlador e Operador) para “atuar como canal de comunicação entre o controlador, os titulares dos dados e Autoridade Nacional de Proteção de Dados”.
Mas as suas atribuições vão além, ele precisa estar ciente sobre o ciclo de vida dos dados pessoais dentro de uma empresa, orientar a organização e os colaboradores na implantação da gestão do Programa de Privacidade e assegurar que as atividades de tratamento desses dados estejam adequadas aos dispositivos da LGPD, garantindo a conformidade e o nível de segurança adequados, além de esclarecer a ANPD e outros órgãos sobre como se dá o tratamento dos dados.
Em um hotel por exemplo, além do Encarregado de Dados ter conhecimentos na área de hotelaria e hospitalidade, é fundamental conhecimentos sólidos jurídicos sobre a temática, tecnologia e segurança da informação. Lembrando que a função de Encarregado pode ser exercida por pessoa física ou jurídica externa à organização. E, nesse momento inicial de vigência da LGPD, essa alternativa pode ser fundamental para a estruturação da governança interna na proteção de dados.
De todo o exposto, é incontestável que a postura das empresas hoteleiras, e não apenas elas, mas de todos os segmentos, deve ser revista. Medidas de segurança adotadas de forma eficaz, principalmente com conscientização da alta gestão, mas também com orientação sistemática dos funcionários, acerca das Políticas implementadas, ou a serem implementadas, revisão de contratos de trabalho com cláusulas de confidencialidade e proteção de dados, enfim, uma governança preventiva, que minimize episódios desagradáveis como o ocorrido em Manaus, trazendo segurança a todos os envolvidos.
E sua empresa, como está se previnindo para possíveis ataques e responsabilização jurídica? E em caso de incidente, já tem como reiniciar as atividades? Não!?
Fale conosco ainda hoje, a @somaxigroup pode te ajudar!
Damiao Oliveira CDPO - Somaxi Group Jornalista DRT 6688/SC
Repórter ANPPD – Portal de Notícias
Comentarios