LGPD na segurança eletrônica

Este artigo não é um manual jurídico — é um guia prático para o gestor de central que quer entender o que precisa fazer, sem juridiquês. Se você trata dados de pessoas, a LGPD se aplica a você. Ponto.

Por que a LGPD se aplica à central

A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) se aplica a qualquer organização que trate dados pessoais — dados que identifiquem ou permitam identificar uma pessoa. Uma central de monitoramento trata dados pessoais o dia inteiro:

• Cadastro do cliente: nome, CPF/CNPJ, endereço, telefone, e-mail.
• Imagens de câmera: imagem de pessoa é dado pessoal — e pode ser dado sensível (reconhecimento facial).
• Biometria: digital, face. São dados pessoais sensíveis (categoria com proteção reforçada).
• Registros de acesso: quem entrou, quando, onde.
• Gravações de telefonia: voz é dado pessoal.

Quais dados pessoais a central trata

Faça o exercício: mapeie todos os dados pessoais que a central coleta, armazena e processa. Isso se chama inventário de dados e é o primeiro passo da adequação. Geralmente o resultado surpreende pela quantidade.

Não esqueça dos dados que a central trata em nome do cliente: as imagens do CFTV do condomínio, a biometria dos moradores, os registros de visitantes. Nesses casos, o condomínio é o controlador e a central é a operadora — mas a responsabilidade é compartilhada.

Bases legais para o tratamento

A LGPD exige que todo tratamento de dados tenha uma base legal. As mais comuns na segurança eletrônica:

Execução de contrato: os dados necessários para prestar o serviço contratado (endereço para resposta a alarme, telefone para confirmação).
Legítimo interesse: monitoramento de câmeras para segurança patrimonial, desde que proporcional e com salvaguardas.
Consentimento: pode ser necessário para biometria e dados sensíveis, dependendo do contexto.

A base legal deve ser definida antes da coleta, não depois. E cada finalidade pode exigir uma base legal diferente.

Práticas essenciais de adequação

1. Inventário de dados. Liste quais dados coleta, para quê, por quanto tempo armazena e quem tem acesso. É a fundação de tudo.

2. Política de retenção. Defina por quanto tempo cada tipo de dado é armazenado. Imagens de câmera: 30 dias? 90 dias? Registros de acesso: 1 ano? Não existe resposta única, mas precisa estar documentado.

3. Controle de acesso. Nem todo operador precisa acessar todos os dados. O princípio do menor privilégio reduz risco e demonstra responsabilidade.

4. Contrato com operadores. Se a central trata dados em nome do cliente (como no caso de CFTV de condomínio), o contrato de prestação de serviço deve conter cláusulas de proteção de dados.

5. Canal de atendimento ao titular. O titular dos dados (morador, visitante, funcionário) tem direito de saber quais dados seus são tratados. A central precisa de um canal para responder — pode ser um e-mail dedicado (ex: [email protected]).

O BI e a LGPD: aliado, não inimigo

Muitos gestores temem que o BI piore a situação da LGPD ao concentrar dados. Na verdade, é o oposto: um BI bem configurado ajuda na adequação porque centraliza o acesso (em vez de dados espalhados em planilhas), implementa controle de permissão e permite rastrear quem acessou o quê.

O BI pode anonimizar dados para análise (você não precisa saber o nome do morador para calcular fluxo de acesso), aplicar retenção automática (descartar registros após o prazo) e gerar os relatórios que a ANPD pode solicitar.