Os drones estão prontos para a Lei Geral de Proteção de Dados?
A Instrução do Comando da Aeronáutica 100 (ICA-100), que trata de Sistemas de Aeronaves Remotamente Pilotadas e o Acesso ao Espaço Aéreo Brasileiro, e a MCA 56-3, cujo objeto são as Aeronaves não Tripuladas Para uso em Proveito dos Órgãos Ligados aos Governos Federal, Estadual ou Municipal, não abordam diretamente temas relacionados à privacidade e proteção de dados.
Tampouco a Autoridade Nacional de Proteção de Dados possui qualquer diretriz sobre drones. Plausível, considerando ainda não ter nem um ano de sua estruturação.Embora não tenhamos diretrizes explícitas acerca do tema, algumas Autoridades de Proteção de Dados de outros países, como a Espanhola e a Inglesa possuem. Considerando a novidade do assunto, o direito comparado é o nosso maior aliado.
Direito comparado
A Agência de Proteção de Dados Espanhola define que operadores de drones que registram e processam imagens, vídeos, sons, dados biométricos, geolocalização, telecomunicação ou qualquer outro dado relativo a uma pessoa identificada ou identificável estão sujeitos ao Regulamento de Proteção de Dados Europeu.
Mesmo que o dado não remeta diretamente a uma pessoa, como localização, mas a partir dele seja possível identificá-la, aplica-se o regulamento. No caso espanhol, o Regulamento Europeu incide sobre a operação independentemente se a finalidade seja profissional ou recreativa, algo que a princípio não se aplica ao direito brasileiro, por expressa exceção legal (art. 4, I da LGPD).
Um ponto interessante é que a autoridade define tipos diferentes de operações e os riscos decorrentes de cada uma. As duas categorias principais são: 1) drones que têm a finalidade específica de tratar dados pessoais, como para gravar eventos ou realizar algum tipo de vigilância e, do outro lado, 2) drones que não tratam dados pessoais diretamente, como aqueles para inspeção topográfica ou de infraestrutura.
Para as atividades com drones que não têm por finalidade o tratamento de dados pessoais, mas pessoas aparecem eventualmente, sugere a adoção de medidas de privacy by design, como reduzir a qualidade do vídeo para o mínimo necessário, técnicas de anonimização automática de imagem, criptografia dos dados coletados no próprio drone e o descarte de informações desnecessárias relativas a pessoas. A identificação pessoal indevida, ainda que não seja o propósito do tratamento, pode eventualmente estar em desconformidade com a lei.
Com relação às operações que intrinsecamente envolvem o tratamento de dados pessoais devemos pensar na situação de tratamento de dados pessoais através de dispositivos de vídeo (EDPB 3/2019). Basicamente, é preciso, nesse caso, ter uma finalidade legítima e transparente para o tratamento, uma base legal para autorizá-lo, bem como adotar medidas de segurança mais contundentes de modo a prevenir a acessos não autorizados.
Conclusão
A despeito da inexistência de regulamentos específicos acerca dos drones com relação à privacidade e proteção de dados pessoais, possuímos algum arcabouço internacional acerca do tema aliado a um sólido conjunto de princípios e fundamentos da LGPD, capazes de fornecer apontamentos para o uso correto da tecnologia no Brasil.
É fundamental entendermos, primeiramente, qual o escopo da atividade do drone, ou seja, se o tratamento de dados pessoais é inerente ao propósito de seu uso. De qualquer forma, no cerne da obrigação do Controlador está a adoção de medidas de Privacy by design e Privacy by Default. A adoção de medidas compatíveis com o progresso tecnológico é central, como técnicas de configuração do software ou dispositivo que permitem anonimização automática de imagem, criptografia dos dados coletados no próprio drone e o descarte de informações desnecessárias.
Quando o tratamento de dados pessoais é inerente ao propósito da atividade do Drone, a adequação da base legal, a transparência, a minimização, a confidencialidade e integridade e diversos outros princípios presentes na LGPD adquirem ainda maior relevância, considerando o risco inerente aos direitos dos titulares envolvido na atividade.
Referências
Aeronaves Não Tripuladas Para Uso Em Proveito Dos Órgãos Ligados Aos Governos Federal, Estadual Ou Municipal. Disponível em: http://www.aenda.org.br/wp-content/uploads/2020/08/cir0709-anexo-mca-56-3_uso-de-orgaos-governamentais.pdf
Drones and Data Protection. Disponível em: https://www.aepd.es/sites/default/files/2019-12/guia-drones-en.pdf
European Data Protection Board – Guideline 4/2019, Data Protection by Design and by Default. Disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf
Sistemas De Aeronaves Remotamente Pilotadas E O Acesso Ao Espaço Aéreo Brasileiro. Disponível em: https://www.decea.gov.br/static/uploads/2015/12/Instrucao-do-Comando-da-Aeronautica-ICA-100-40.pdf
João Sales é Advogado do PDK Advogados. Pós-Graduando em Gestão e Análise Estratégica de Dados. Especialista em Privacidade e Proteção de Dados Pessoais e entusiasta da tecnologia aplicada aos serviços jurídicos.