澳 門 特 別 行 政 區 政 府
Governo da Região Administrativa Especial de Macau
個 人 資 料 保 護 辦 公 室
Gabinete para a Protecção de Dados Pessoais
TRADUÇ Ã O
Observações para tratamento de dados pessoais gravados pelo sistema de
videovigilância com a finalidade da segurança
O tratamento de dados pessoais gravados pelo sistema de videovigilância, considerado como
“o tratamento automatizado de dados pessoais” indicado na “Lei da Protecção dos Dados
Pessoais”, deve ser notificado, por escrito, ao GPDP.
O responsável pelo tratamento de dados pessoais (adiante designado por “responsável”) é
sujeito a notificar o GPDP em articulação com a autorização n.º 01/2013. De seguida, a mesma
deve prestar especial atenção às observações seguintes para não constituir infracções
administrativas ou até crime por violação da “Lei da Protecção de Dados Pessoais”:
I. “Sete proibições”
1. O sistema de videovigilância só pode gravar as imagens, não pode gravar o som.
2. É proibida a instalação de câmara de vídeo oculta. Instalar uma câmara de vídeo oculta é
considerado como gravação secreta, o que não só viola a “Lei da Protecção de Dados
Pessoais”, mas também as disposições legais do “Código Penal”, entre outras.
3. O sistema de videovigilância não pode ligar à rede pública, nem utilizar as funções,
nomeadamente, a rede WiFi e o controlo remoto, entre outros. Genericamente, as
instituições não dispõem de capacidade suficiente para assegurar a segurança dos dados dum
sistema deste género, porém, o responsável pelo tratamento pode assumir a responsabilidade
jurídica pelos eventuais acidentes de segurança de dados.
4. As áreas alcançadas pela câmara de vídeo não devem ser excessivas. Portanto, todas as
câmaras de vídeo só podem gravar as imagens das áreas pertencentes ou administradas pelo
responsável, evitando a gravação de imagens de outras áreas, como por exemplo,
propriedades e lojas vizinhas.
5. O respectivo tratamento é exclusivamente para a finalidade de segurança, a qual é
praticamente inalterável. Como por exemplo: não é permitida a utilização dos dados do
sistema para os efeitos de produção de cartaz ou vídeo, ou a publicação e a divulgação dos
mesmos.
1
澳 門 特 別 行 政 區 政 府
Governo da Região Administrativa Especial de Macau
個 人 資 料 保 護 辦 公 室
Gabinete para a Protecção de Dados Pessoais
TRADUÇ Ã O
6. É proibida a transferência ilícita de dados a terceiros. Salvo em situações de entrega
obrigatória de dados, determinada pelas disposições legais (como por exemplo: a entidade da
polícia criminal exige, de acordo com a lei, os respectivos dados), ou a instalação e
manutenção do respectivo sistema por outras entidades encomendadas, não é permitido o
acesso ou a aquisição de dados por terceiros.
7. É proibida a publicação no ecrã de imagens não gravadas em tempo real. De modo geral,
as imagens não gravadas em tempo real são seguramente registos passados e já arquivados no
sistema, sendo que a publicação das mesmas é semelhante à difusão de dados, o que além de
não respeitar a finalidade de segurança, corre o risco de divulgação indevida dos dados.
II. “Nove deveres”
1. Deve tomar as medidas de segurança adequadas na hora do tratamento dos dados, sendo
incluído, pelo menos, as seguintes:
1) Além da instalação da senha no respectivo sistema, deve haver restrições ao acesso
de acordo com as necessidades das diferentes funções de pessoal, no sentido de garantir
a utilização exclusiva da senha pelas pessoas autorizadas, e evitar a consulta dos dados
de imagem por pessoas não autorizadas, ou a utilização das mesmas para outras
finalidades.
2) Os dispositivos para arquivamento dos dados ou acesso ao sistema devem ser
colocados em locais onde podem impedir efectivamente a utilização a pessoas não
autorizadas, como por exemplo: os dispositivos devem ser fechados à chave no quarto ou
armário.
3) A elaboração das instruções contribui para regular em qualquer circunstância, quem
possa consultar e tirar directamente as imagens ou copiar e eliminar as mesmas, com
vista a prevenir que os dados no sistema sejam consultados, copiados, alterados ou
difundidos sem autorização.
4) As elaborações das instruções e das medidas necessárias contribuem para evitar que
os próprios funcionários ou outras pessoas alterem, sem autorização, as áreas filmadas
pela câmara de vídeo.
2
澳 門 特 別 行 政 區 政 府
Governo da Região Administrativa Especial de Macau
個 人 資 料 保 護 辦 公 室
Gabinete para a Protecção de Dados Pessoais
TRADUÇ Ã O
5) A elaboração das instruções não só é destinada ao regulamento do local para
colocação do ecrã, mas também à elaboração das medidas de segurança aquando da
saída do operador, impedindo as imagens do ecrã serem publicadas, fotografadas ou
filmadas pelos funcionários ou outras pessoas, contra a vontade e sem a autorização do
responsável.
6) Se as imagens em tempo real forem exibidas publicamente no ecrã devido ao limite
da área, o responsável deve reduzir a sua dimensão ou resolução das imagens exibidas,
no sentido de não incomodar os titulares ou desrespeitar os mesmos. Por outro lado, deve
ser aplicada a restrição apropriada no local para que as respectivas imagens não sejam
fotografadas ou filmadas por outras pessoas.
2. Deve assegurar a exactidão dos dados. Como por exemplo: a data e a hora do sistema
devem ser precisas para não afectar a sua função de segurança ou prejudicar os direitos e
interesses dos titulares no caso da ocorrência do crime.
3. Deve definir o período máximo de 6 meses para a conservação dos dados, a contar da
data de gravação das imagens. Contudo, há alguns sistemas em que caso o espaço do
dispositivo de armazenamento, tais como o disco rígido, estar totalmente ocupado, os dados
mais antigos serão automaticamente eliminados para regravação dos dados. No entanto, essa
função irá aplicar a responsabilidade jurídica ao responsável devido ao excesso do período
máximo de conservação, sendo que o mesmo deve utilizar o período definido para
conservação dos dados.
4. Deve afixar o aviso em locais visíveis para satisfazer o direito de informação dos
titulares. É de salientar que no aviso devem estar incluídos, pelo menos, a identificação do
responsável e o tratamento dos dados pessoais pelo sistema de videovigilância para a
finalidade de segurança.
5. Deve satisfazer o direito de acesso dos titulares consoante a lei. Por exemplo, caso o titular
recorra ao direito de acesso, previsto na “Lei de Protecção dos Dados Pessoais”, o
responsável deve mostrar ou notificar gratuitamente ao titular as respectivas partes que devem
ser expostas ao titular no registo do tratamento de dados pessoais. De forma geral, os dados
no registo do tratamento de dados pessoais e o ofício de notificação são apresentados
conjuntamente ao responsável. Por outro lado, os mesmos também estão disponíveis na
3
澳 門 特 別 行 政 區 政 府
Governo da Região Administrativa Especial de Macau
個 人 資 料 保 護 辦 公 室
Gabinete para a Protecção de Dados Pessoais
TRADUÇ Ã O
página para os efeitos de consulta e download.
6. Deve elaborar claramente as instruções relativas à transferência dos dados. Se ocorrer na
área casos de furto ou situações em que a segurança das pessoas e dos bens patrimoniais
sejam afectadas, o responsável deve reportar à polícia e providenciar os respectivos dados do
sistema. Caso as autoridades solicitem, de acordo com a lei, o pedido de dados, o responsável,
antes de fornecer os dados, deve verificar a identidade das autoridades.
7. Deve redigir as propostas relacionadas com o exercício do direito de oposição pelo titular.
Em geral, só no caso de o titular apresentar justificações muito importantes e relativas
relacionadas com a sua situação pessoal, ou assuntos em que o responsável viole a lei, caso
contrário, não é permitido ao titular a apresentação do pedido para a suspensão do sistema ou
a eliminação dos dados. Porém, quando o titular pedir para exercer o direito de oposição, o
responsável é obrigado a ponderar a justificação apresentada e emitir a respectiva resposta, e
para além disso, o mesmo responsável deve justificar os motivos de não suspensão do sistema
e a eliminação dos dados.
8. Deve elaborar claramente as instruções para o tratamento de dados por subcontratantes.
Caso seja necessário confiar a outros organismos a instalação e a manutenção do respectivo
sistema, o responsável deve tomar medidas para assegurar a segurança do tratamento dos
dados pessoais. Como por exemplo: o responsável pode exigir a assinatura da declaração aos
organismos confiados, de forma a assegurar o cumprimento do dever de sigilo ao lidar com os
dados pessoais na instalação e manutenção do respectivo sistema.
9. Deve prestar a atenção ao prazo válido de inscrição e cumprir as obrigações de
renovação e actualização. O prazo válido do registo do tratamento de dados pessoais no
GPDP é de 3 anos. Se o responsável não proceder aos procedimentos de renovação, vê o seu
registo caducado após o prazo previsto. Para além disso, no caso de alterações do nome do
responsável, morada, ou local da instalação do sistema, o responsável deve preencher o
respectivo impresso para notificar o GPDP da actualização do registo, de salientar que o prazo
válido é de 3 anos a contar da data de actualização.
Gabinete para a Protecção de Dados Pessoais
Abril de 2013
4