個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

Resumo das Queixas
Print

No: 0054/2014/IP

Título: Veículo do serviço “total view” de Macau da Baidu recolheu imagens em Macau

Razão: Intervenção por iniciativa própria do GPDP

Breve:

    O GPDP descobriu que um veículo equipado com câmaras na sua parte superior circulou pelas ruas locais. Entretanto, verificou que a Baidu passou a oferecer o serviço “total view” de Macau, o que mostra que a Baidu efectuou captação de imagens panorâmicas nas ruas de Macau, recolhendo os dados de imagem que incluem peões e matrículas de veículos. Portanto, o GPDP decidiu instruir o processo por sua iniciativa.

Análise:

    Após a investigação, verificou-se que o pessoal da empresa de tecnologia “Beijing Chang Di Wan Fang” (em chinês: “北京長地萬方科技有限公司”) captou imagens em ruas de Macau entre 12 e 21 de Abril de 2014, com o objectivo de oferecer o serviço “total view” de Macau no sítio da Baidu, permitir aos utilizadores da Internet apreciar aspectos de geografia humana de Macau e fazer pesquisas sobre a situação real de Macau. Segundo a mesma empresa, na captação das imagens de ruas, não recolheu outros tipos de dados e estas imagens foram publicadas depois de terem sido turvados os rostos de pessoas e as matrículas de veículos.
  O pessoal do GPDP utilizou o serviço “total view” de Macau e verificou que nalgumas imagens os rostos de pessoas e as matrículas de veículos ainda não estavam turvados. Entre estas, havia imagens que mostraram a saída e entrada de pessoas em locais religiosos ou domicílio. Na opinião do GPDP, antes de terem sido turvados, os dados que incluem os rostos de pessoas ou matrículas de veículos deviam ser nítidos e identificáveis e relativos aos respectivos titulares, sendo por isso dados pessoais. Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º 1 do artigo 3.º da Lei da Protecção de Dados Pessoais, o tratamento dos dados pessoais referidos neste caso é regulado pela mesma Lei.
  Segundo as informações disponíveis, a empresa de tecnologia “Beijing Chang Di Wan Fang” do grupo da Baidu é responsável pelo tratamento e recolha de dados de imagens no âmbito do serviço “total view” de Macau. Cabe ainda à mesma empresa decidir as finalidades e formas de tratamento dos respectivos dados, pelo que a empresa em causa é o responsável pelo tratamento.
  É de referir que as ruas de Macau são estreitas e com muitos cruzamentos. Vários domicílios de residentes, locais religiosos e unidades de prestação de cuidados de saúde situam-se no rés-do-chão. Neste sentido, em relação à captação de imagens das ruas locais, quer feita por veículo específico, quer feita por pessoal apeado manuseando câmaras, é inevitável a recolha de dados classificados como sensíveis pelo artigo 7.º da Lei da Protecção de Dados Pessoais, por exemplo, os de imagens que envolvem a vida privada de domicílio e as actividades religiosas realizadas em igrejas ou templos.
  No presente caso, não se encontra qualquer disposição legal que expressamente autorize à empresa “Beijing Chang Di Wan Fang” a recolha de dados sensíveis. A par disso, na prática, não foi possível à empresa obter o consentimento inequívoco de todos os titulares dos dados envolvidos e o serviço “total view” de Macau não é necessário para proteger interesses vitais dos titulares dos dados, nem tem a ver com a gestão de serviços de saúde ou processos judiciais. Por isso, de acordo com as situações previstas pelos n.os 2 a 4 do artigo 7.º da Lei da Protecção de Dados Pessoais, no intuito de tratar os dados sensíveis, a empresa tinha que solicitar a autorização do GPDP, nos termos da alínea 2) do n.º 2 do mesmo artigo. No entanto, é de salientar que o GPDP não recebeu o pedido de autorização da empresa sobre o serviço “total view” de Macau, pelo que nunca foi emitida qualquer autorização relativa a esse serviço. Neste sentido, a empresa “Beijing Chang Di Wan Fang” violou o artigo 7.º da Lei acima referida.
  Para além disso, após a recolha dos dados de imagens de ruas de Macau, a empresa “Beijing Chang Di Wan Fang” transferiu-os para o Interior da China para um tratamento posterior. É referir que a transferência de dados tem que satisfazer especificamente os artigos 19.º e 20.º da Lei da Protecção de Dados Pessoais. Em relação ao presente caso, a empresa envolvida não celebrou nenhum contrato com o titular dos dados fotografado, nem com um terceiro no interesse do titular dos dados – de facto a empresa nunca obteve o consentimento inequívoco do titular dos dados. Por outro lado, a transferência dos dados de imagens da empresa foi para a elaboração de “total view” de Macau: isso não tem a ver com a protecção dos interesses do titular dos dados, nem com informações de registo público disponíveis para consulta do público, nem com a declaração, o exercício ou a defesa de um direito num processo judicial; não foi apresentado pedido de autorização ao GPDP para a transferência dos dados acima referidos. Por isso, a tal transferência não respeitou os artigos 19.º e 20.º da Lei da Protecção de Dados Pessoais.
  Pelo exposto, em relação ao facto de a empresa de tecnologia “Beijing Chang Di Wan Fang” ter recolhido dados de imagens de ruas de Macau e tê-los transferido para local situado fora da RAEM, tal violou os artigos 7.º, 19.º e 20.º da Lei da Protecção de Dados Pessoais, constituindo duas infracções administrativas. Ao mesmo tempo, nos termos do artigo 31.º e do n.º 1 do artigo 43.º da Lei da Protecção de Dados Pessoais, o GPDP exigiu à empresa a destruição de todos os dados de imagens originais e a reverificação do serviço “total view” de Macau, para confirmar que os rostos de pessoas e as matrículas de veículos já estão turvados.

Resultado:

    Considerando os seguintes factos: 1) a empresa de tecnologia “Beijing Chang Di Wan Fang” recolheu um grande volume de imagens com dados pessoais que abrangem vários titulares de dados e estas incluem dados sensíveis que já foram transferidos para local situado fora da RAEM; 2) no passado o GPDP aplicou sanção a um caso semelhante, que se encontra disponível no sítio do GPDP para a referência da população em geral; sendo uma empresa que oferece um serviço idêntico, a empresa de tecnologia “Beijing Chang Di Wan Fang” deve possuir recursos e meios, para prever a possibilidade de consequências idênticas da violação da lei; 3) a elaboração do serviço “total view” de Macau é para satisfazer os interesses da empresa, mas os utilizadores da Internet podem consultar gratuitamente os aspectos geográficos de Macau e o respectivo serviço desempenha um papel positivo para a cartografia e as informações geográficas de Macau; 4) a captação de imagens foi realizada em ruas públicas, não afectando muito o titular dos dados; 5) a empresa de tecnologia “Beijing Chang Di Wan Fang” violou pela primeira vez a Lei da Protecção de Dados Pessoais e durante a investigação colaborou com o GPDP e manifestou a vontade de assumir as respectivas sanções.
  Neste sentido, em relação às duas infracções administrativas pela violação dos artigos 7.º, 19.º e 20.º da Lei da Protecção de Dados Pessoais, o GPDP decidiu aplicar à empresa de tecnologia “Beijing Chang Di Wan Fang” duas penas de multa de MOP 15.000,00, ou seja, um total de multa de MOP 30.000,00, nos termos do n.º 2 do artigo 33.º da mesma lei. Para além disso, a mesma empresa teve que destruir imediatamente todos os dados de imagens originais.

Referência:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 3.º, 4.º, 7.º, 19.º, 20.º, 31.º, 33.º e 43.º.

Voltar

Avenida da Praia Grande, N.º 804, Edif. China Plaza, 17.º andar, Macau Tel:(853) 2871 6006 Fax:(853) 2871 6116