O DESAFIO NO USO DA BIOMETRIA FRENTE À LGPD

A Lei Geral de Proteção de Dados (LGPD) considera os dados pessoais sensíveis de forma taxativa, em seu art. 5, II, sendo um deles os dados biométricos. Inicialmente, é importante registrarmos que esta categoria de dados requer maior nível de responsabilidade por parte dos agentes de tratamento em função do potencial risco de atrair processos discriminatórios. Tanto é, que a própria lei dispõe de bases legais diferenciadas para o processamento de dados sensíveis, consoante disciplina o art. 11 da referida lei , restringindo as hipóteses autorizadoras de tratamento.

Caracterizam-se como dados biométricos todos aqueles que identificam de forma individual, única e exclusivamente uma pessoa natural. Um dado biométrico, portanto, é aquele que quando relacionado às características físicas ou comportamentais apresenta potencial de identificação do indivíduo. Lembrando, por oportuno, que biometria não se resume à impressão digital, abrangendo também a utilização de íris, face, voz e outras técnicas desde que sejam capazes de identificar as pessoas de forma única.

Um dos primeiros desafios a serem vencidos quando uma organização, empresa, na qualidade de controlador de dados pessoais opta por esse tipo de tratamento de dados pessoais sensíveis, consiste na identificação da existência ou não de uma hipótese legal autorizadora para que o processamento dos dados biométricos se realize. Superada esta primeira etapa, insta observar o princípio da necessidade ou da minimização, da transparência, da segurança e demais princípios condicionantes da licitude do tratamento trazidos no art. 7 da lei protetiva de dados pessoais.

E, mesmo que as etapas acima sejam devidamente contornadas com êxito, o controlador deverá analisar se não haveria meios menos invasivos para o alcance da mesma finalidade.
Voltando a atenção às bases legais que justificam o tratamento de dados biométricos, cabe salientar aquelas mais comumente utilizadas no dia a dia. São elas: o consentimento, a obrigação legal ou regulatória e a garantia da prevenção à fraude e da segurança do indivíduo, estabelecidas no art. 11, I, II “a” e “g” da LGPD .

No cenário brasileiro, dentro do âmbito das relações trabalhistas, situações corriqueiras envolvendo a coleta de dados pessoais biométricos se dá a título ilustrativo, no controle de jornada dos empregados e que encontra amparo legal na Portaria 1510/2009 do Ministério do Trabalho, e permitindo esse processo para fins de simplificar e garantir maior segurança no controle da jornada.

Neste caso em questão é possível constatar que há base legal específica para o tratamento dos dados biométricos, pois decorre de uma obrigação legal prevista no art. 11, II, “a” da lei.\No contexto da União Europeia, é relevante destacar que o Regulamento Geral de Proteção de Dados em seu art. 4 (14) define que dados biométricos são aqueles dados pessoais resultantes de um tratamento técnico específico relativo às características físicas ou comportamentais de uma pessoa singular que permitem confirmar a identificação única, tais como imagens faciais ou dados de impressões digitais, entre outros.

Convém registrar que além de reconhecimento através de imagens faciais e impressões digitais, a tecnologia também contempla outras técnicas de tratamento de dados biométricos, como a varredura de íris, análise de retina e reconhecimento de voz , entre outros, além de técnicas de identificação biométrica comportamental, a exemplo da análise de teclas, de assinatura manuscrita, de marcha e rastreamento ocular.

O Considerando 51 do Regulamento Europeu de Proteção de Dados esclarece que o tratamento de fotografias não deve ser considerado automaticamente dado biométrico, a não ser que seja realizado um processamento técnico específico com fins diferenciados para identificação do indivíduo.

Esta nova técnica comumente envolve o uso de dados da imagem para criar um modelo ou um perfil digital individual que é usado para correspondência e identificação automatizada de imagens.
Para fins de melhor assimilação do tema ora tratado, convém trazer à baila a recente sanção imposta pela Agência de Proteção de Dados italiana e que multou a empresa Clearview, em vinte milhões de euros, (retirar a vírgula) por realizar reconhecimento facial em fontes públicas da web.

Entendeu a Autoridade de Proteção de Dados que a empresa atuou como controladora e o seu tratamento não se limitou à coleta de imagens com a finalidade de torná-las acessíveis aos seus clientes. Ao contrário do alegado em sua defesa, processou e ainda continua processando as imagens coletadas via web scraping através de um algoritmo proprietário de correspondência facial e que possibilita a oferta do serviço de pesquisa biométrica de forma tão sofisticada .

Assim, a empresa ao utilizar meios próprios para a coleta de imagens e, posteriormente, transformá-los em dados biométricos e (retirar esse “e” e inserir uma vírgula) armazenando as informações extraídas do resultado da pesquisa, está a processar dados pessoais sensíveis .Portanto, a controladora converteu em biometria, fotografias coletadas na web, através de processamento adicional.

E, nessa linha, não cumpriu com os princípios da transparência, da limitação da finalidade, bem como não dispunha de base legal adequada para o respectivo processamento dos dados pessoais.
No cenário nacional, a ViaQuatro, operadora da Linha-4 do Metrô de São Paulo, foi condenada em 2021 por captar imagens de passageiros com o uso de técnica de reconhecimento facial sem o devido consentimento dos titulares, restando suspenso o processamento dos dados pessoais, naquela ocasião .

Ainda no presente mês de março do corrente ano, a mesma empresa está sendo demandada por diversos órgãos de defesa do consumidor por implementação de novo sistema de monitoramento que contém reconhecimento facial sob a alegação de estar infringindo, outra vez, a Lei Geral de Proteção de Dados .

O assunto, como se vislumbra, está longe de ser pacífico, pois sempre demandará conhecermos (substituir “conhecermos” por “conhecimento da”) técnica utilizada para fins do correto enquadramento do dado pessoal como biométrico, circunstância esta que, em se configurando, atrairá os cuidados referentes ao tratamento do dado sensível.
A identificação da existência de base legal que autorize o tratamento de dados biométricos e a escolha de uma das bases legais previstas no art. 11, I e II da Lei Geral de Proteção de Dados é uma das provocações que nos é imposta.

E, por fim, a observância aos princípios norteadores da lei, constantes no art. 7º. , e o cuidado redobrado com as técnicas de segurança de informação empregados para proteger os dados pessoais e minimizar riscos. Tarefa árdua e que para ser exitosa requer, sem sombra de dúvidas, empenho por parte da equipe jurídica e do encarregado, os quais devem avaliar minuciosamente as condições do caso concreto e aconselhar da melhor forma o controlador. Equalizar interesses econômicos legítimos, direitos dos titulares de dados pessoais e prover um nível de segurança jurídica ao controlador é o desafio que deve guiar os profissionais que atuam na área de proteção de dados pessoais.

Martha Leal – Advogada Sócia Leal Advogados I Direito Digital e Proteção de Dados I DPO FGV/RJ I DPO EXIN I ANPD e Comitê Jurídico APDPO I IAPP – Maastricht University – DPO

Publicado originalmente pela Tech Compliance  – gentilmente cedido ao EXIN pela autora.

Faça o DOWNLOAD GRATUITO DO WORKBOOK : Privacidade, Dados Pessoais e LGPD. Resumo Geral dos principais pontos abordados no exame EXIN PDPE LGPD.