As imagens em vídeo são um ativo de dados incrivelmente valioso. Além de ter valor forense, podem ser usadas para treinar modelos de inteligência artificial (IA), que podem ser utilizados por agentes de ameaça de várias maneiras. À medida que as empresas acumulam mais dados de vídeo, passam a enfrentar desafios significativos.
“O vídeo pode se tornar o próximo “pote de mel” para o qual bandidos se dirijam em grande número. Se criminosos conseguirem violar os sistemas de gestão de vídeo, eles podem usar as imagens para criar falsificações sofisticadas que lhes permitam contornar os controles de segurança. Ou podem captar áudios de filmagens e usá-los para iniciar outras formas de fraude”, disse Ueric Melo, especialista em Cibersegurança e Privacidade da Genetec para a América Latina e Caribe.
Para superar estes riscos, elas devem criar um gerenciamento robusto do ciclo de vida dos dados de vídeo para garantir que sejam coletados de forma ética, armazenados com segurança, usados de modo correto e destruídos quando não forem mais necessários. Os princípios de privacidade deixam claro que a coleta de dados deve ser fundamentada em uma ou mais bases legais e usados apenas para a finalidade pretendida.
A Lei Geral de Proteção de Dados (LGPD) abrange todas as empresas e instituições nacionais, que devem garantir que as imagens e demais informações pessoais capturadas são armazenadas de forma segura e destruídas ou anonimizadas quando não forem mais necessárias.
De acordo com o especialista da Genetec, uma boa estratégia de gestão de vídeo monitoramento inclui:
1) Política de coleta clara: ao coletar qualquer dado, a finalidade pretendida deve ser bastante clara. Estabeleça o que será capturado em vídeo, para que será usado e enquadre o processamento desses vídeos em uma ou mais das 10 bases legais previstas na LGPD.
2) Garanta que o armazenamento seja seguro e o acesso rigorosamente controlado: além disso, é importante ter uma governança sólida para garantir que os dados sejam criptografados durante o trânsito e enquanto estão armazenados, assegurando que, mesmo se um determinado invasor violar as defesas, os dados não sejam úteis para eles.
3) Decida por quanto tempo os dados devem ser retidos: nem todos os dados precisam ser retidos indefinidamente. Embora possa haver obrigações regulatórias para reter algumas filmagens por longos períodos, como quando o vídeo captura um incidente específico, como um ato criminoso, um acidente de trabalho ou algum outro assunto importante, outras filmagens podem não ser necessárias. Pense cuidadosamente sobre o que precisa ser guardado e por quanto tempo.
4) Exclua com segurança vídeos desnecessários: as imagens em vídeo que não são mais necessárias devem ser destruídas com segurança. Apertar a tecla delete em alguns arquivos não é suficiente. A exclusão segura significa garantir que os dados sejam removidos dos dados ativos e dos backups de uma forma que os torne completamente irrecuperáveis.
“O desafio das imagens em vídeo é que são relativamente fáceis de coletar. Depois que uma câmera é instalada, ela pode coletar dados indefinidamente, limitada apenas pela capacidade de armazenamento. É por isso que as companhias precisam de um plano que cubra todo o ciclo de vida. Além de economizar nos custos de armazenamento de dados, isto assegura que os dados potencialmente valiosos para os agentes de ameaça não sejam retidos”, enfatiza Melo.
5) Colete apenas o que for necessário: atualmente as câmeras de vídeo coletam muitos dados além do vídeo e áudio. A utilização de algoritmos de visão computacional permite que, além das imagens, dados de identificação individual (reconhecimento fácil, forma de andar), de perfilamento (idade, sexo, cor de roupa), ou mesmo de comportamento (tempo de permanência, ponto de atenção, estado emocional) podem ser coletados e, dependendo do contexto, eles podem ser classificados como dados pessoais.
Segundo Melo, “pode parecer interessante ter acesso a todo esse tipo de informação, mas sem uma análise adequada da necessidade e finalidade de processamento, o tratamento desses dados pode configurar uma violação da LGPD, como por exemplo, do princípio da necessidade, que determina que o tratamento de dados deve estar limitado ao mínimo necessário para realização da atividade”.