Proteção de dados e multas em estacionamentos

Quando se fala em proteção de dados, muitas vezes as pessoas pensam que isso é algo “abstrato” e “distante” do seu dia a dia. No entanto, esta visão é totalmente errada, o que pode ser visto pela relação entre a proteção de dados e multas em estacionamentos.

Estava mais cedo lendo uma postagem da excelente Rowenna Fielding sobre a “mania” que as empresas têm de usar o legítimo interesse como base legal para cookies (que, por si só, é tema para outra postagem). Em um dos comentários uma pessoa indicou que ela havia “se livrado” de uma multa de 110 libras (mais ou menos R$ 690 na cotação de hoje) com base na legislação de proteção de dados do Reino Unido.

E olha que o caso ocorreu exatamente há 10 anos, em 2012!

Em resumo, a empresa que fazia a gestão do estacionamento utilizou dados pessoais infringindo princípios da lei de proteção de dados e sem a devida base legal para poder aplicar a multa. A pessoa questionou isso e conseguiu reverter a multa.

Faltou gestão da privacidade – e claro, faltou um “olhar final” do DPO a respeito do tema.

Eu traduzi o texto e você pode ler todo o caso logo abaixo. O texto original em inglês está disponível neste link. Os destaques em negrito ou itálico foram mantidos conforme o original.

Mas lembre-se: estamos falando de um caso ocorrido há 10 anos em outro país. Algumas coisas podem ser um pouco “diferentes” da realidade brasileira atual. No entanto, sem dúvida que o aprendizado permanece – seja para você como pessoa física, que precisa conhecer seus direitos em relação à proteção de dados, seja para você como profissional, que precisa saber o que não fazer em algumas situações.


Unidades móveis de CCTV utilizados pelos Conselhos podem violar a lei de proteção de dados e a RIPA

Acabo de ganhar uma pequena vitória contra minha autoridade local (Waltham Forest) que usou imagens capturadas por uma unidade móvel de CCTV para emitir um aviso de penalidade fixa de £110 por uma violação de estacionamento; consegui que a penalidade fosse anulada.

Este blog apresenta o caso de que o uso de CCTV pelo Conselho em casos como o meu estão violando a Lei de Proteção de Dados (DPA) e possivelmente a Lei de Regulação de Poderes de Investigação (RIPA), embora haja restrições de estacionamento em vigor no momento da vigilância.

Acho que muitos motoristas são apanhados por uma vigilância desnecessária cujo propósito nada tem a ver com a gestão do tráfego e tudo a ver com a “cobrança de receitas”. Espero que esta análise ajude outros que enfrentam a mesma posição; referências completas e filmagens da infração nos links abaixo.

No final de julho, parei involuntariamente por seis minutos em uma baía de estacionamento que, excepcionalmente, estava sujeita a restrições de estacionamento. Os sinais de trânsito que mostram as restrições de estacionamento estão claramente dilapidados e não podem ser vistos nas filmagens do CCTV (ou pelo motorista quando se aproxima do estacionamento). Minha “violação de estacionamento” foi capturada na totalidade por uma unidade móvel de CCTV estacionada a uma boa distância pela estrada. Como pode ser visto nas filmagens, a câmera de CCTV móvel coloca a área de estacionamento sob vigilância constante, pode fazer zoom e até mesmo registra quando meu carro não está nem na foto nem na área de estacionamento. As filmagens mostram que o tráfego era leve no momento da “infração”.

Com base nas Leis de Liberdade de Informação (FOIA)/Proteção de Dados, obtive a filmagem completa da “infração” e o material de apoio à política do Conselho nesta área. Isto mostrou que de maio a julho, unidades móveis de câmeras CCTV foram enviadas para o próprio local mostrado nas filmagens, um total de 44 dias; isto significa que para cada outro dia útil, este local de estacionamento em particular estava sob vigilância por até duas horas por dia.

De acordo com o material FOIA (ver referências), o motivo para enviar a câmera de CCTV móvel para este local inclui o propósito dissuasivo de identificar “motoristas que … causam congestionamento, ignorando as marcas de trânsito” e “altos casos de estacionamento improvisado que causam perturbação a outros usuários da estrada”. Estas finalidades, em termos de proteção de dados, são as finalidades relevantes do tratamento de dados pessoais através das unidades móveis de CCTV do Conselho.

Observe que este tipo de propósito para a instalação de unidades móveis de câmeras de CCTV obteria apoio da maioria dos motoristas, pois eles são qualificados pela exigência de que o estacionamento irregular “causaria congestionamento” ou “causaria interrupção”. No entanto, segue-se também que a política não se aplica quando não há congestionamento ou perturbação. Em tais circunstâncias, as câmeras não deveriam estar gravando de forma alguma (e as unidades móveis de CCTV deveriam ser instaladas em outro lugar onde seja provável o congestionamento ou a interrupção).

Se tais unidades de CCTV registram dados pessoais quando não há “congestionamento” ou “interrupção”, eu argumentaria que este tratamento não está associado com a política do Conselho nem com seus propósitos declarados. No meu caso, as imagens de vídeo mostram a Unidade de CCTV vigiando uma baía de estacionamento vazia e esperando para “fisgar” um motorista insuspeito. Uma vez pego, o Conselho ganha seu prêmio de £110 (a taxa padrão de Aviso de Penalidade Fixa).

As violações da proteção de dados

As violações do Primeiro e Terceiro Princípios de Proteção de Dados são as seguintes:

  • (a) A finalidade da vigilância não é uma finalidade definida na política do Conselho, pois não há “congestionamento” ou “perturbação” do tráfego. Portanto, o tratamento não é necessário para os fins legítimos do Conselho declarado e, como o tratamento não tem um critério do Cronograma 2, ele viola o Primeiro Princípio de Proteção de Dados.
  • (b) Mesmo que haja um fundamento de Cronograma 2 para o tratamento, o tratamento é excessivo (por exemplo, em termos do Terceiro Princípio etc.) para os fins declarados do Conselho que se relacionam ao “congestionamento” e “interrupção” do tráfego (e não para fins quando o tráfego está fluindo livremente).
  • (c) Não há sinalização explícita no estacionamento sob vigilância ou nas proximidades; tal sinalização é uma exigência do Primeiro Princípio. De fato, acho que os lugares de estacionamento que estão sob vigilância constante (por exemplo, aqueles que estão sujeitos à vigilância uma vez a cada dois dias durante três meses) precisam de sinalização específica no lugar de estacionamento em particular. Em contraste, o Conselho argumentou que a sinalização em todo o Município era suficiente.
  • (d) O Conselho de Westminster coloca sua sinalização (ver referências) em seus carros de câmeras CCTV móveis. Isto é um erro, pois é improvável que o carro seja visto pelo motorista (ou seja, o envolvido) cujos dados pessoais são coletados (por exemplo, em uma área de estacionamento sob vigilância). Eu diria que são os locais que estão sob vigilância que precisam da sinalização – não o dispositivo que entrega a vigilância (ou seja, no carro móvel de CCTV como por exemplo, em Westminster).
  • (e) A sinalização geral de CCTV é normalmente associada à prevenção do crime ou à segurança pública; não inclui sinalização para violações de estacionamento. Sem uma sinalização adequada que indique o propósito não óbvio do tratamento, é provável que tal tratamento seja injusto.
  • (f) A ausência de sinalização torna a vigilância camuflada; isto é discutível, admito, mas o Código de Prática do Home Office relevante sugere que a vigilância é de fato camuflada. Se a vigilância for encoberta, ela será ilegal sob a RIPA, e também se segue que o tratamento sob a DPA também seria não autorizado, possivelmente ilegal – outra violação do Primeiro Princípio.

Devo acrescentar que acho que o Código de Prática de CCTV da ICO é claro quanto à necessidade de sinalização na área de estacionamento. Lembrando que a vigilância em meu caso foi realizada quando não houve congestionamento ou interrupção do tráfego (e uma vez a cada dois dias, durante três meses), o Código de Prática afirma:

“Sinais claros e proeminentes são particularmente importantes onde as próprias câmeras são muito discretas, ou em locais onde as pessoas podem não esperar estar sob vigilância. Como regra geral, os sinais devem ser mais proeminentes e frequentes onde de outra forma seria menos óbvio para as pessoas que eles estão em CCTV” (minha ênfase).

Daí minha conclusão de que a área de estacionamento real sob vigilância regular precisa da sinalização. Como um aparte, estou me perguntando como a sinalização poderia exibir o propósito de “cobrança de receita” e, para ser útil, tenho fornecido uma sinalização relevante de tratamento justo para este propósito (veja referências).

O restante do artigo explica o contexto da RIPA, mas antes disso, uma anedota. Quando recebi o Aviso de Cobrança de Pena reclamando £110, dirigi de volta para a cena do crime. Enquanto olhava para o estacionamento, fui abordado por um cavalheiro bem apessoado que conversou usando um dialeto anglo-saxão da língua inglesa.

“Você tem sido bem fo****?”, perguntou ele.

“Sim”, eu respondi.

“Bem, os filhas ** *** ali (gesticulando energeticamente para um lugar a 50 metros acima da estrada onde a unidade de CCTV deve ter sido estacionada) “nos fo**** quando parei para pegar uma m**** de um sanduíche de bacon. Eu estava parado por apenas três minutos e no final o sanduíche saiu muito caro”.

A violação da RIPA (Lei de Regulação de Poderes de Investigação)

Começo com uma citação do “Covert Surveillance and Property Interference”: Código de Prática Revisado” (2010) publicado pelo Home Office. Esta citação afirma que:

“O uso de câmeras CCTV abertas pelas autoridades públicas normalmente não requer uma autorização nos termos da Lei de 2000. Os membros do público estarão cientes de que tais sistemas estão em uso”. Uma nota de rodapé acrescenta “por exemplo, em virtude das câmeras ou da sinalização serem claramente visíveis“. Veja o Código de Prática de CCTV 2008 para orientação completa sobre o estabelecimento e operação de sistemas de CCTV ostensivos”) (minha ênfase)

A questão-chave é a seguinte: se as câmeras da Unidade Móvel de CCTV não são “claramente visíveis” (o carro está a 50 metros de distância na estrada), e porque não há sinalização na baía de estacionamento em particular sob vigilância, então, será que as câmeras móveis de CCTV são encobertas? Se sim, a vigilância CCTV se enquadra na definição de “vigilância dirigida” sob RIPA (a vigilância intrusiva pode ser ignorada com segurança).

O Código de Prática do Home Office afirma que há três testes se alguma vigilância dirigida planejada estiver sujeita à RIPA. A vigilância tem que ser: “encoberta”; “conduzida para fins de uma investigação ou operação específica”; e “é provável que resulte na obtenção de informações particulares sobre uma pessoa (identificada ou não especificamente para os fins da investigação ou operação)”.

Eu argumentaria que a vigilância da unidade móvel de CCTV é “encoberta” (porque não é evidente, pois não há sinalização e as câmeras não são “claramente visíveis”). Eu também argumentaria que a vigilância regular e rotineira do estacionamento constitui “uma operação” como ocorre dia sim, dia não, durante um período de meses. A única questão é se informações particulares são “prováveis” de serem obtidas. Dado que a vigilância é de uma baía de estacionamento da rodovia pública, à primeira vista isto parece improvável.

No entanto, observe que o teste é que “informações particulares são prováveis de serem obtidas“, não que “informações particulares são realmente obtidas“. Portanto, mesmo que “informações particulares” no meu caso particular não sejam obtidas, não há garantia de que informações particulares não serão obtidas durante a operação como um todo. Afinal, algumas pessoas fazem coisas incomuns em seus carros, o período da operação de vigilância se estende em meses, e as imagens de CCTV em meu caso mostram que o operador pode ampliar, à vontade, para registrar detalhes do que os indivíduos estão fazendo ao lado do carro. Portanto, concluo que o Conselho não pode garantir que não obterá informações “particulares” durante sua longa operação de vigilância.

Portanto, eu argumentaria que o Conselho deveria, por conseguinte, antecipar, porque a operação é contínua (estendendo-se, suspeito, para cada mês do ano), que é provável que obtenha “informações particulares” em algum momento (por exemplo, fazendo zoom in). Portanto, é provável que a RIPA esteja envolvida e que a vigilância dirigida seja não autorizada/ ilegal (pois não atende aos requisitos da RIPA).

No entanto, admito que a posição da RIPA não é tão clara quanto a de proteção de dados. Mas minha conclusão é que a vigilância viola o Primeiro e o Terceiro Princípios de Proteção de Dados e, sem dúvida, viola as disposições de vigilância dirigida da RIPA. É claro que o Conselho, sem dúvida, contestará estas alegações.

Finalmente, devo informar que o Conselho tomou medidas em uma área; ele repintou todas as marcas da estrada para que seu propósito de cobrança de receitas possa continuar sem diminuir. Não há sinalização na área de estacionamento.

Referências

As filmagens retratando minha infração de trânsito (6 minutos; sem incidentes; coloca as crianças para dormir enquanto elas observam): Link do YouTube http://www.youtube.com/watch?v=vCBCjNiJDrw. (Nota: a van de entrega dos Correios não é multada)

Aviso de tratamento justo de CCTV móvel de Westminster sobre carros CCTV móveis que estão longe do ponto de vigilância (50 segundos em): http://www.youtube.com/watch?v=Lc8TTfVVW2w

Código de Prática de Vigilância do Home Office 2010: Download do Código de Práticas

Possível aviso de tratamento justo, retratando o propósito de “cobrança de receitas” de um Conselho. Baixar CCTV POSTER_BLOG

O pedido FOI mostrando o propósito da vigilância e a frequência da vigilância: Download CCTV Mobile FOI 2012- 0389


É por isso que não canso de insistir que muitas vezes os dados pessoais são tóxicos…!

E você, que outros aspectos práticos da proteção de dados tem para nos indicar? Já havia pensado nesta “relação” entre proteção de dados e multas em estacionamentos? Passou por alguma situação concreta em que a proteção de dados te “salvou” de alguma maneira? Indique abaixo nos comentários a sua experiência!