CCPA vs. RGPD: Guia de Conformidade para Privacidade em Vídeo e Imagem
Compare as obrigações da CCPA/CPRA e do RGPD para vídeo e imagem — quem cobrem, o que são dados biométricos e como a anonimização satisfaz ambos.
Rostos captados por uma câmara de segurança, numa videochamada de apoio ao cliente ou num conjunto de dados de treino são dados pessoais tanto ao abrigo do direito norte-americano como do europeu — mas as regras diferem em aspetos relevantes que determinam como gerir, partilhar e armazenar essas gravações. Que se aplique o RGPD, a CCPA/CPRA ou ambos à sua organização depende de onde estão os seus utilizadores e de como processa os seus dados.
Este guia compara as obrigações do RGPD e da CCPA/CPRA especificamente para dados de vídeo e imagem, clarifica como cada regime define a informação biométrica e explica como a anonimização irreversível pode satisfazer ambos os quadros regulatórios em simultâneo.
Aviso legal: Este guia tem finalidade exclusivamente informativa e não constitui aconselhamento jurídico. A legislação sobre privacidade é complexa e específica de cada jurisdição. Consulte um profissional jurídico qualificado antes de tomar decisões de conformidade.
Resumo executivo
- O RGPD cobre residentes identificáveis da UE; a CCPA cobre consumidores da Califórnia — uma empresa norte-americana que serve utilizadores na UE pode estar sujeita a ambos em simultâneo; o âmbito territorial segue o titular dos dados, não o endereço da empresa.
- Ambos os regimes tratam rostos e dados biométricos como dados de elevada sensibilidade, mas a CPRA classifica-os explicitamente como "informações pessoais sensíveis" com direitos de limitação do uso, enquanto o RGPD exige uma base jurídica para os tratar como dados de "categoria especial".
- Os dados de vídeo e imagem verdadeiramente anónimos estão fora de ambos os regimes — o considerando 26 do RGPD exclui-os; a CCPA exclui os dados "desidentificados" — a anonimização é, portanto, o controlo de conformidade mais poderoso disponível.
- Pode anonimizar vídeos e imagens agora com o Medianonymizer — a IA localiza rostos, matrículas e texto identificativo no ecrã; um processo determinístico substitui-os de forma irreversível; um registo de auditoria documenta o que foi removido.
A quem se aplica cada lei
RGPD (UE)
O Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 aplica-se quando trata dados pessoais de pessoas que se encontram na UE ou no EEE. Nos termos do artigo 3.º, o âmbito territorial é ativado por:
- Estabelecimento: a sua organização possui um escritório, filial ou estabelecimento estável na UE, ou
- Direcionamento: oferece bens ou serviços a pessoas na UE, ou monitoriza o seu comportamento (art. 3.º, n.º 2).
Uma empresa com sede nos EUA que transmite em direto um webinar gravado na Califórnia com participantes da UE trata geralmente dados pessoais europeus e está sujeita ao RGPD relativamente a essas pessoas.
CCPA / CPRA (Califórnia)
O California Consumer Privacy Act (Cal. Civ. Code §1798.100 e ss.), tal como alterado pelo California Privacy Rights Act (CPRA, em vigor desde janeiro de 2023), aplica-se a empresas com fins lucrativos que operam na Califórnia e satisfazem pelo menos um dos seguintes critérios:
- Receitas brutas anuais superiores a 25 milhões de dólares
- Compra, venda, receção ou partilha de informações pessoais de 100.000 ou mais consumidores ou famílias californianas por ano
- Obtenção de 50% ou mais das receitas anuais da venda ou partilha de informações pessoais de consumidores
Ambas as leis protegem as "informações pessoais" de forma ampla, e ambas reconhecem que gravações de vídeo que identificam uma pessoa entram no seu âmbito de aplicação.
Como cada lei define os dados pessoais em vídeo e imagem
RGPD: Dados pessoais e categorias especiais
Nos termos do artigo 4.º, n.º 1, do RGPD, dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável — incluindo imagens em que um rosto, uma forma de andar ou outro marcador biométrico permite a identificação. O tratamento de dados biométricos para efeitos de identificação inequívoca de uma pessoa está expressamente proibido pelo artigo 9.º, salvo se se aplicar uma exceção específica (consentimento explícito, interesses vitais, interesse público legítimo, etc.).
Os dados de reconhecimento facial — modelos extraídos de imagens para identificar pessoas — são dados biométricos de categoria especial nos termos do artigo 9.º, n.º 1. Mesmo gravações de vídeo em bruto em que os rostos são visíveis constituem dados pessoais ao abrigo do artigo 4.º se as pessoas forem identificáveis no contexto.
CCPA/CPRA: Informações pessoais e informações pessoais sensíveis
O Código Civil da Califórnia §1798.140(v) define as informações pessoais de forma ampla, incluindo "imagens" e identificadores que podem ser associados a um consumidor. Nos termos da CPRA §1798.140(ae), as informações pessoais sensíveis são uma subcategoria distinta que inclui:
- Informações biométricas tratadas para identificar um consumidor (modelos de reconhecimento facial, impressões vocais, análise de marcha)
- Geolocalização precisa
- Origem racial ou étnica
- Credenciais de conta
Para informações pessoais sensíveis, os consumidores têm o direito de limitar o uso e a divulgação ao abrigo da CPRA §1798.121 — as empresas só podem utilizá-las para prestar o serviço principal solicitado, salvo se o consumidor aceitar usos mais amplos. Trata-se de uma restrição mais forte do que os direitos gerais da CCPA.
Comparação para dados de vídeo e imagem
| Dimensão | RGPD | CCPA / CPRA |
|---|---|---|
| Âmbito geográfico | Tratamento de dados de residentes na UE/EEE | Empresa que opera na CA envolvendo consumidores californianos |
| Rostos em vídeo | Dados pessoais (art. 4.º); ID biométrica = categoria especial (art. 9.º) | Informações pessoais; modelos faciais = informações sensíveis |
| Base jurídica necessária? | Sim — uma das seis bases do art. 6.º; base do art. 9.º para dados biométricos | Nenhum consentimento explícito necessário, mas informações sensíveis ativam direito de limitação |
| Direitos dos titulares | Acesso, retificação, apagamento, portabilidade, oposição (arts. 15.º–21.º) | Saber, apagar, corrigir, opor-se à venda/partilha (§1798.100–§1798.125) |
| Efeito da anonimização | Dados excluídos do âmbito do Regulamento (considerando 26) | Dados excluídos como "desidentificados" (§1798.140(m)) |
| Sanções | Até 20 M€ ou 4% do volume de negócios global (art. 83.º, n.º 5) | Até 7.500 $ por violação intencional (§1798.155) |
| Autoridade de controlo | Autoridade nacional de proteção de dados (ex. CNPD) + EDPB | California Privacy Protection Agency (CPPA) |
| Opt-out biométrico | Sem opt-out separado; a base jurídica regula o tratamento | Os consumidores podem limitar o uso de informações sensíveis (§1798.121) |
Onde as diferenças têm impacto prático
Base jurídica vs. arquitetura de opt-out
O RGPD exige que identifique uma base jurídica antes de tratar dados pessoais — interesse legítimo, necessidade contratual, obrigação jurídica ou consentimento, entre outras (artigo 6.º). Para dados biométricos, o artigo 9.º exige uma base específica e, na maioria dos contextos comerciais, isso significa o consentimento explícito, livre, específico e informado de cada pessoa.
A CCPA adota uma abordagem diferente: o tratamento é geralmente permitido, mas os consumidores têm o direito de se opor à venda ou partilha das suas informações pessoais e de limitar o uso das informações pessoais sensíveis à finalidade empresarial principal. O ónus da conformidade recai sobre as divulgações, os mecanismos de opt-out e a resposta a pedidos dos consumidores — não numa pré-autorização.
Para dados de vídeo, esta distinção é significativa. Ao abrigo do RGPD, a gravação de rostos de clientes para fins analíticos provavelmente exige um novo consentimento ou uma sólida avaliação de interesse legítimo com uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) associada (artigo 35.º). Ao abrigo da CCPA, pode gravar e usar o material, mas deve disponibilizar uma ligação "Limitar o Uso das Minhas Informações Pessoais Sensíveis" se constituírem informações sensíveis, e honrar os pedidos de opt-out dos consumidores californianos.
Direitos dos titulares sobre gravações de vídeo
Ambos os regimes conferem às pessoas o direito de solicitar o apagamento dos seus dados. Ao abrigo do artigo 17.º do RGPD, o direito ao apagamento aplica-se quando os dados já não são necessários para a sua finalidade original, o consentimento é retirado ou a pessoa se opõe sem que haja um interesse legítimo prevalecente. Ao abrigo da CCPA §1798.105, os consumidores podem solicitar o apagamento e a empresa deve notificar os fornecedores de serviços e subcontratantes para que procedam igualmente ao apagamento.
Para arquivos de vídeo, isto cria um desafio operacional: quando uma pessoa solicita o apagamento de uma gravação em que aparece, consegue dar cumprimento ao pedido? Se a gravação também contém outras pessoas, não pode simplesmente eliminar o ficheiro. Anonimizar seletivamente o rosto da pessoa requerente — e reemitir o ficheiro — é frequentemente o caminho prático para cumprir os pedidos de apagamento em ambos os regimes.
Requisitos de AIPD e avaliação de riscos
O artigo 35.º do RGPD exige uma Avaliação de Impacto sobre a Proteção de Dados antes de tratamentos que sejam "suscetíveis de resultar num risco elevado" para os titulares. O Comité Europeu para a Proteção de Dados (EDPB) lista o tratamento em grande escala de dados biométricos e a monitorização sistemática de espaços públicos como ativadores automáticos de AIPD. Quem opera sistemas de CCTV, constrói sistemas de reconhecimento facial ou processa vídeo em grande escala para análise está geralmente obrigado a realizar uma AIPD.
A CCPA não tem um equivalente direto, mas a CPRA §1798.185 autorizou a CPPA a exigir avaliações de risco para atividades de tratamento que "representem um risco significativo" para a privacidade dos consumidores. A CPPA publicou em 2024 projetos de Regulamentos de Avaliação de Risco que, uma vez finalizados, imporão obrigações de avaliação para determinados tratamentos de alto risco — incluindo a vigilância biométrica.
A anonimização como via de conformidade partilhada
A forma mais eficiente de cumprir ambos os quadros regulatórios é aplicar a anonimização no momento em que as gravações saem do seu controlo imediato — antes do arquivo para análise, antes da partilha com um fornecedor, antes do uso em dados de treino, antes da publicação.
| Cenário | Sem anonimização | Com anonimização |
|---|---|---|
| Partilha de gravações CCTV com um fornecedor de análise externo | Contrato de subcontratação (RGPD art. 28.º); contrato de fornecedor de serviços (CCPA §1798.140(ag)); obrigações contínuas | Dados desidentificados excluídos de ambos os regimes; ónus contratual reduzido |
| Arquivo de videochamadas de clientes além da retenção operacional | Base jurídica e justificação de retenção exigidas em ambas as leis | O arquivo anonimizado fica fora da definição de dados pessoais |
| Uso de vídeo para treino de modelos de IA | Consentimento biométrico ao abrigo do RGPD art. 9.º; divulgação de informações sensíveis ao abrigo da CPRA | Dados de treino excluídos do âmbito se a reidentificação não for razoavelmente possível |
| Resposta a um pedido de apagamento numa gravação com múltiplas pessoas | Impossível eliminar o ficheiro sem afetar outros titulares | Anonimizar seletivamente a pessoa requerente; manter o restante |
O pipeline do Medianonymizer foi criado precisamente para estes cenários: a deteção por IA localiza frame a frame rostos, matrículas e texto no ecrã; a sobreescrita baseada em ffmpeg substitui as regiões identificadas de forma irreversível; e um registo de auditoria descarregável regista as categorias de deteção, os carimbos de data/hora e o hash do ficheiro de saída. Consulte o caso de uso de anonimização de vídeo para o RGPD para um fluxo de trabalho detalhado.
O que significa realmente "irreversível"
Um filtro visual de desfoque ou pixelização aplicado na camada de visualização não é suficiente para a conformidade com o RGPD ou a CCPA se os dados de píxeis subjacentes subsistirem no ficheiro codificado. A anonimização genuína exige que os dados identificadores sejam sobreescritos no ficheiro de saída, não meramente ocultados na interface. Isto implica:
- Vídeo: recodificação com a zona do rosto preenchida por uma cor sólida ou ruído, não por uma camada sobreposta
- Imagens: sobrex escrita ao nível do píxel com remoção de metadados (EXIF, XMP, IPTC)
- Áudio no vídeo: sobreescrita da forma de onda (silêncio ou bipe) para o segmento relevante, não uma camada de silêncio
O princípio da minimização dos dados do RGPD (artigo 5.º, n.º 1, alínea c)) apoia diretamente esta abordagem: recolher e conservar apenas o necessário. Para gravações em que o rosto não é necessário para a finalidade subsequente, a remoção irreversível satisfaz a minimização e retira os dados do âmbito de aplicação.
Lista de verificação de implementação
- Identificar todos os ativos de vídeo e imagem que contêm pessoas identificáveis (CCTV, gravações de chamadas, carregamentos de utilizadores, dados de treino)
- Determinar quais os titulares que são residentes na UE/EEE (RGPD) e quais são consumidores californianos (CCPA/CPRA)
- Para o RGPD: documentar a base jurídica de cada atividade de tratamento; realizar uma AIPD para tratamento biométrico ou de vídeo em grande escala
- Para a CCPA/CPRA: adicionar controlos "Limitar o Uso das Minhas Informações Pessoais Sensíveis" se forem tratados dados biométricos; atualizar o aviso de privacidade
- Definir os períodos de retenção dos ativos de vídeo e o momento de anonimização (expiração, exportação, partilha, utilização para investigação)
- Implementar anonimização irreversível para todas as gravações que saiam do uso operacional primário — rostos, matrículas e texto identificativo no ecrã
- Conservar um registo de auditoria para cada operação de anonimização: hash de entrada, categorias de deteção, hash de saída, carimbo de data/hora
- Estabelecer um processo para tratar pedidos de apagamento em gravações com múltiplas pessoas através da anonimização facial seletiva
- Formalizar contratos de subcontratação (RGPD) ou contratos de fornecedor de serviços (CCPA) com os fornecedores que recebem dados de vídeo — ou eliminar a obrigação partilhando apenas outputs anonimizados
Comece a anonimizar em ambos os regimes
O caminho mais rápido para reduzir a exposição ao RGPD e à CCPA em dados de vídeo e imagem é remover as informações identificativas antes que se propaguem — para fornecedores, arquivos, sistemas de análise e conjuntos de treino. Um único passo de anonimização, realizado de forma irreversível e com trilha de auditoria, satisfaz os padrões de desidentificação de ambos os quadros regulatórios e elimina as obrigações a jusante que acompanham os dados pessoais.
Perguntas frequentes
- O RGPD se aplica a gravações de vídeo se a minha empresa está sediada fora da UE?
- Em geral, sim, se as gravações contêm residentes identificáveis na UE e a sua organização está estabelecida na UE ou dirige bens ou serviços a pessoas na UE (RGPD art. 3.º). O âmbito territorial é determinado pelo local onde se encontram os titulares dos dados, não pela sede social da empresa.
- A CCPA/CPRA trata rostos e dados biométricos de forma diferente das demais informações pessoais?
- Sim. O Código Civil da Califórnia §1798.140 lista as 'informações biométricas' — incluindo modelos de reconhecimento facial e impressões vocais — como uma categoria distinta de informações pessoais. A CPRA (em vigor desde 2023) classifica-as ainda como 'informações pessoais sensíveis', ativando direitos adicionais de limitação do uso para além dos direitos gerais da CCPA.
- Borrar um rosto num vídeo é suficiente para cumprir o RGPD ou a CCPA?
- Um filtro de pixelização ou desfoque aplicado na camada de exibição, que deixa intactos os dados de imagem originais no ficheiro, não é suficiente — pode ser revertido extraindo-se o fluxo de vídeo não modificado. A anonimização em conformidade exige a destruição irreversível dos píxeis identificadores — por exemplo, sobreposição com cor sólida ou substituição de frames por ffmpeg — de modo que nenhum dado facial original seja recuperável a partir do ficheiro de saída.
- Qual é a diferença prática entre 'dados anónimos' do RGPD e dados 'desidentificados' da CCPA?
- O RGPD (considerando 26) considera os dados anónimos apenas quando a reidentificação não é razoavelmente possível para ninguém, levando em conta todos os meios auxiliares disponíveis. A CCPA exige que os dados não possam 'razoavelmente' ser associados a um consumidor e que a empresa implemente salvaguardas técnicas e se comprometa contratualmente a não reidentificar. O padrão do RGPD é geralmente mais elevado, pois contempla o risco de reidentificação por terceiros a nível global, não apenas a capacidade da própria empresa.
- A CCPA se aplica a gravações de videovigilância de funcionários?
- Desde 1.º de janeiro de 2023, a isenção para dados de emprego da CPRA expirou, o que significa que trabalhadores e candidatos na Califórnia têm plenos direitos CCPA/CPRA. Isso inclui direitos sobre gravações de vídeo captadas no local de trabalho que possam identificá-los. As empresas devem auditar as suas práticas de vigilância interna face às normas da CPRA sobre informações pessoais sensíveis de natureza biométrica.
- Um único fluxo de anonimização pode satisfazer o RGPD e a CCPA simultaneamente?
- Na maioria dos casos, sim. Se a anonimização cumprir o padrão mais rigoroso do RGPD — remoção irreversível de modo que a reidentificação não seja razoavelmente possível para ninguém — satisfará geralmente também o requisito da CCPA de que os dados não possam ser 'razoavelmente associados' ao consumidor. Implementar uma única vez ao nível mais rigoroso é o caminho eficiente para organizações sujeitas a ambos os regimes.