Certificação de Segurança da ABNT diverge de Posicionamento de Autoridade Europeia sobre Privacidade e Proteção de Dados

13.10.2020 – Recentemente, foi veiculado um comercial na TV aberta feito por uma empresa de transporte por aplicativo, quando ela aproveitava para informar ao público em geral o fato de ser a primeira e única empresa do setor certificada pela Associação Brasileira de Normas Técnicas – ABNT, com respeito ao quesito segurança.

Segundo a própria ABNT, o processo de auditoria e desenvolvimento da certificação pela ABNT desenvolve-se por 3 (três) meses, avaliando-se o mapeamento de riscos e prevenção contra possíveis ocorrências e o uso da tecnologia no aprimoramento da segurança de motoristas e passageiros. Segundo ainda a ABNT, 22 direcionamentos de proteção da plataforma foram auditados.

Outros aspectos avaliados também incluem o uso de inteligência artificial para prever crimes, zonas de risco, cursos presenciais e online, cadastro de motoristas e o atendimento especializado para situações emergenciais; o que indubitavelmente são aspectos importantes para aperfeiçoar as condições de segurança de todos.

Apesar do artigo publicado no website da ABNT não informar, o comercial de TV informou que a empresa de transporte por aplicativo implementou medidas para aperfeiçoar a questão da segurança, citando como exemplo, dentre outros, a instalação de câmeras e a gravação de áudio.

E é aí que reside a controvérsia, consoante a decisão do órgão regulador de dados pessoais da Finlândia – Deputy Data Protection Ombudsman, que em 29 de maio de 2020, emitiu uma decisão em face de uma empresa de táxi – Taksi Helsinki – em Helsinki, capital daquele país, atribuindo uma multa de € 72.000,00 por não conformidade com os princípios gerais de tratamento de dados previstos na lei europeia de proteção de dados – GDPR.

Para entender melhor a situação, segundo a autoridade finlandesa, a empresa não avaliou os riscos e consequências do processamento de dados pessoais antes de introduzir um sistema de vigilância por câmera que grava áudio e vídeo em seus táxis e também não realizou avaliações de impacto de proteção de dados de suas atividades de processamento, incluindo a vigilância de câmeras de segurança, processamento de dados de localização, tomada de decisão automatizada e criação de perfis como parte de seu programa de fidelidade. Além disso, o processamento de dados de áudio não estava de acordo com o princípio GDPR de minimização de dados.

Apesar da decisão da autoridade finlandesa ter como fundamento a GDPR, é importante salientar que a lei brasileira – Lei Geral de Proteção de Dados – LGDP, neste aspecto, guarda muita semelhança com a lei europeia. Além disso, a autoridade brasileira – Autoridade Nacional de Proteção de Dados – ANPD, apesar de já regulamentada, ainda não atua, mas futuramente pode ter ponto de vista semelhante ao da autoridade finlandesa.

Assim sendo, restam 2 (duas) reflexões a serem feitas no presente caso:

1. Nem a ABNT, nem a empresa de transporte por aplicativo esclareceram se avaliaram os riscos e consequências do processamento de dados pessoais antes de introduzir um sistema de vigilância por câmera que grava áudio e vídeo em seus táxis, sob a ótica da privacidade e proteção de dados dos titulares envolvidos e se realizaram avaliações de impacto de proteção de dados de suas atividades de processamento, incluindo a vigilância de câmeras de segurança. entre outros.
2. O processamento de dados de áudio não estava de acordo com o princípio da GDPR de minimização de dados, no caso da Finlândia. Aqui no Brasil, tal princípio equivale ao princípio da necessidade e a reflexão que deve ser feita é até que ponto a empresa de transporte por aplicativo necessita e tem o direito de efetuar gravação de conversas que podem ocorrer entre passageiros, e não apenas entre o passageiro e o motorista ou ainda envolvendo um agressor, sob o argumento da segurança.

Muito possivelmente, em futuro próximo, a ANPD deverá posicionar-se diante de situação semelhante tão logo esteja em pleno funcionamento.