Os drones e a regulamentação para o tratamento de imagens

Estima-se que, em 2023, já tenhamos no Brasil 100 mil drones registrados na ANAC (Agência Nacional de Aviação Civil), majoritariamente, para uso recreativo (os aeromodelos). Todavia, também cresce o uso de drones para atividades comerciais e corporativas, representados pelos RPAs (Sistemas de Aeronaves Remotamente Pilotadas). Dentre as suas aplicações, destaca-se: vigilância urbana e de fronteira, agronegócio, telecomunicações e logística. 

Como exemplo, companhias aéreas nacionais iniciaram o uso de drones para inspeções de aviões (Latam), bem como, para entrega de encomendas (Azul Cargo). Também surgiram startups de drones delivery, como a SpeedBird, que já tem parcerias com o iFood, Claro e Mercedes-Benz.

Drones podem ou não ter câmeras acopladas a si, dependendo de sua finalidade. A preocupação no âmbito da proteção de dados existe quando há junção destes dispositivos nos RPAs, e ocorre uma retenção, sem autorização prévia, de imagens claras e identificáveis de faces alheias. 

Se um RPA é utilizado para eventos, por exemplo, não seria difícil tornar pública a finalidade da coleta da imagem, e, se necessária, a obtenção do consentimento. A mesma facilidade não se aplica ao caso de drones utilizados para logística, como são da Speedbird, ou para registro de topografia. Pois, a câmera pode capturar, durante seu percurso, imagens de pessoas que não foram previamente informadas. Os casos são variados, e o direito brasileiro evolui na regulamentação do tema. 

Nesse contexto, o direito comparado traz importantes elementos para a avaliação de riscos e, subsequente, adequação da regulação das atividades de drones em território nacional.

Na União Europeia, com a GDPR, é necessária a análise de risco prévia ao processamento de dados pessoais das operações de drones com câmeras (Arts. 35 e 36, GDPR). A atenção é redobrada quando estão envolvidos dados especiais (Art. 9, GDPR). Imagens fotográficas são consideradas dados especiais (sensíveis) quando são tratadas por ferramenta que permita a total identificação ou autenticação de alguém (Recital 51, GDPR). Assim, não sendo possível a identificação da pessoa pela imagem, a princípio, não há tratamento de dados especiais. Nesse sentido, algumas empresas europeias operadoras de drones têm se utilizado de tecnologias para desfocar as imagens e seguir com as suas atividades sem necessidade de coleta de consentimento.

No Brasil, dados sensíveis são tratados com precauções semelhantes às da União Europeia. Para a LGPD, dados biométricos são notadamente sensíveis. No entanto, ainda não há regulamentação específica sobre em que condições imagens serão consideradas como dados biométricos e, portanto, sensíveis. Deste modo, o tratamento das imagens via drone, quando permitirem identificação de gênero, origem étnica, condições de saúde, dentre outras, merecem atenção especial, posto que, na ausência de regulamentação, podem, por ora, serem considerados sensíveis.

A GDPR responsabiliza a organização usuária do drone pelo uso incorreto dos dados coletados, considerando que devem adotar medidas eficazes para sua proteção (Art. 5.2, GDPR). 

No Brasil, em relação ao tratamento de dados pessoais, a necessidade de análise de riscos prévia é semelhante, assim como o princípio de responsabilização e prestação de contas (accountability) dos detentores dos dados coletados (Art. 6º, X, LGPD). O tópico 15.4 do ICA-100-40, que regula as atividades de drones, editado pelo DECEA (Departamento de Controle Aéreo), reforça o princípio da prestação de contas, reafirmando que o explorador/operador dos RPAs deve respeitar direitos individuais de privacidade e a imagem alheia, sujeitando-se às leis em vigor. 

Neste contexto, tratar dados pessoais, e quiçá dados pessoais sensíveis, sem observância das boas práticas (art. 49, LGPD), acarretaria violação ao Art. 2º da LGPD, inciso IV, que discorre sobre a inviolabilidade da intimidade, da honra e da imagem. O ICA-100-40 também regulamenta a questão, determinando que: “(…) persistem outras questões legais, como seguro, imputação de responsabilidade e respeito à privacidade”. 

É responsabilidade do condutor apontar a finalidade da operação do drone e realizar a avaliação de riscos em relação ao tratamento de dados pessoais. O ICA-100-40 reforça a necessidade de registrar o objetivo da operação ou da série de operações do RPAs (vigilância aérea, observação meteorológica, aerofotogrametria, experiência científica etc.). Algumas operações têm como objetivo o tratamento de dados sensíveis, com o reconhecimento facial (ex. eventos, jornalismo etc.). Já outras podem captar os dados pessoais como uma mera consequência da sua atividade fim (como nas entregas pelos SpeedBirds e auditorias técnicas pelas empresas aéreas em seus aviões). Em qualquer das situações, a análise quanto ao impacto do tratamento de dados pessoais é fundamental para mitigar eventuais riscos e seguir de acordo com a LGPD.

Resta, então, a pergunta: Drones e Dados Pessoais: há regulamentação para o tratamento de imagens?

Sim.   

Conforme abordado, o tratamento de imagens capturadas via RPAs, no Brasil, está sujeito à LGPD e às regulamentações específicas para Drones. Além disso, vale também ressaltar a sujeição obrigatória aos aparatos constitucionais sobre privacidade.

É evidente, contudo, que o tema ainda é passível de regulamentação específica, em especial no que tange à classificação ou não das imagens como dados pessoais sensíveis. Apesar disso, para que um drone alce voos em território nacional, seu operador deve atuar em estrita conformidade com o marco legal vigente.

O futuro nos reserva novas modalidades e funcionalidades de drones e de tratamento de dados pessoais. E, cabe à sociedade estruturar ferramentas para garantir a manutenção dos direitos fundamentais de cada cidadão, enquanto titulares de dados e beneficiários das novas tecnologias.