Olá, Alex. Como vai?
Essa é uma observação muito pertinente e demonstra um olhar atento à aplicação prática da LGPD. É comum que documentos de conformidade foquem nos papéis principais, mas a omissão de outros agentes pode gerar dúvidas sobre a transparência do tratamento.
Para analisar o cenário que você descreveu, precisamos identificar as funções de cada agente de acordo com a legislação:
Classificação do Terceiro Responsável
Nesse cenário, a empresa externa contratada para gerenciar as câmeras e o armazenamento das imagens é classificada como Operador.
- Controlador (Escola): É quem detém o poder de decisão sobre os dados, definindo a finalidade (segurança, fins pedagógicos) e as bases legais para o tratamento.
- Operador (Empresa de Monitoramento): É quem realiza o tratamento de dados (coleta, armazenamento, processamento) em nome do controlador e seguindo as suas instruções.
O termo está correto sem a discriminação do Operador?
Embora o termo de consentimento costume focar na figura do Controlador (com quem o titular mantém o vínculo direto), a LGPD exige transparência sobre o compartilhamento de dados.
- Transparência: O titular tem o direito de saber com quais entidades públicas ou privadas o controlador realiza o uso compartilhado de dados. Essa informação geralmente deve constar na Política de Privacidade da escola, mesmo que não esteja detalhada em cada termo de consentimento individual.
- Responsabilidade: A lei estabelece que o controlador e o operador respondem solidariamente por danos causados pelo tratamento, caso o operador descumpra a lei ou as instruções do controlador. Portanto, é do interesse da escola formalizar essa relação através de contratos rígidos de tratamento de dados.
Observação sobre Segurança e Consentimento
Você tocou em um ponto fundamental: imagens de segurança geralmente são tratadas sob a base legal do Legítimo Interesse ou para a Proteção da Vida e Segurança Física, o que dispensa o consentimento. Contudo, se as imagens de voz e vídeo mencionadas no termo forem para fins de marketing ou uso em redes sociais, o consentimento é obrigatório e a finalidade deve ser específica.
Resumo da sua dúvida:
- O terceiro é um Operador.
- A escola deve, no mínimo, informar a existência de compartilhamento com terceiros em seus documentos de privacidade para garantir a transparência total exigida pela lei.
- O Encarregado (DPO), mesmo sendo a proprietária no caso citado, é o canal de comunicação entre a escola, os pais e a ANPD (Autoridade Nacional de Proteção de Dados).
Espero que possa ter lhe ajudado!
