Biometria na LGPD com grandes poderes vêm grandes responsabilidades

Recentemente o Palmeiras deu início à implementação de um sistema de reconhecimento facial para permitir a entrada de torcedores em seu estádio.

A novidade, que busca combater cambistas e sócios que usavam seus benefícios para lucrar com a revenda de ingressos, pode acabar com a necessidade de ingressos físicos e é mais uma solução oferecida por tecnologias com base na biometria e que já são amplamente utilizadas em nosso dia a dia.

Falei mais especificamente sobre esse caso em uma publicação no LinkedIn (aqui).

Há diversas implicações decorrentes da utilização de tecnologias que envolvem dados biométricos e é sobre isso que falaremos no artigo de hoje.

O que são dados biométricos para a LGPD

Os dados biométricos são informações únicas sobre as características físicas e comportamentais de uma pessoa que podem ser utilizadas para identificá-la, como impressões digitais, reconhecimento facial, reconhecimento de voz, íris, entre outros.

Em termos legais, a LGPD não traz o conceito de dados biométricos.

Paralelamente, o Decreto Nº 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui Comitê Central de Governança de Dados, conceitua “atributos biométricos” como: “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado (…)”.

Dados biométricos também são citados em outras legislações brasileiras.

Leis como as de Identificação Civil, de Registro de Imóveis, de Identificação eleitoral, entre outras, também abordam o tema, em alguns casos ressaltando obrigações já presentes na LGPD e em outros trazendo instruções complementares.

Por serem altamente confiáveis, uma vez que são únicos para cada indivíduo, e muito difíceis de falsificar, têm sido uma opção recorrente para garantir a identidade de pessoas quando um maior rigor na autenticação do titular é necessário.

Aplicações de dados biométricos

 Alguns exemplos recorrentes já foram citados neste artigo, mas existe uma variedade de utilidades que vão além do senso comum.

Dados biométricos são costumeiramente utilizados para: verificação de identidade, segurança, pagamentos, sistemas de saúde, vigilância, identificação de criminosos, identificação de vítimas, controle de fronteiras etc.

Os riscos envolvidos

Para a LGPD, dados biométricos são considerados dados pessoais sensíveis.

Então, se você acompanha esta Newsletter ou outro conteúdo sobre privacidade e proteção de dados, já deve saber que a utilização desse tipo de informação apresenta um maior risco ao titular, podendo trazer consequências mais severas se não forem observadas boas práticas em seu tratamento (falo brevemente sobre isso neste vídeo aqui).

Por conta disso, a lei é mais restrita e demanda mais cuidados a serem adotados por aqueles que tratarem dados biométricos, sendo exigido, salvo exceções, o consentimento do titular para a finalidade específica para a qual estão sendo coletados.

Isso significa, por exemplo, que quando o Palmeiras pede autorização a seus torcedores para obter e utilizar suas biometrias para acesso ao estádio, não pode usar esses dados para uma finalidade distinta.

Outro risco decorrente do tratamento dessa categoria de dados, em contrapartida a outras informações mais “tradicionais”, diz respeito à própria característica que a torna vantajosa.

Ou seja, o dado biométrico corresponde a uma série de características individuais do titular e, ao contrário de uma senha vazada – que pode ser trocada – ou os números de um cartão de crédito – que pode ser bloqueado e substituído -, não podem ser alteradas.

Exceto, é claro, se você estiver disposto a realizar uma cirurgia plástica muito invasiva ou algum outro recurso não tão convencional (tal qual o transplante de olhos feito pelo personagem do Tom Cruise em Minority Report, para não ser reconhecido pelos sistemas de segurança da cidade).     

Vale a pena coletar dados biométricos?

“Com grandes poderes vêm grandes responsabilidades”. Como (quase) toda evolução tecnológica, a adoção da biometria tem vantagens e desafios.

Do lado dos benefícios, a utilização de biometria muitas vezes pode resultar na otimização de uma atividade (como facilitação do acesso a determinado local/evento) e maior segurança com a identificação do titular (pontos eletrônicos, acessos a salas restritas com digitais, identificação de criminosos etc.), por exemplo.

Por outro lado, antes de qualquer decisão do ponto de vista comercial ou operacional, o que deve ser analisado é o risco. E não falo do risco ao negócio (financeiro, reputacional etc.), mas sim do risco ao titular desses dados e seus direitos.

A decisão por coletar, armazenar e utilizar dados biométricos deve passar por uma criteriosa análise da necessidade e proporcionalidade.

Além disso, quando o tratamento do dado biométrico for sustentado pelo Consentimento (autorização do titular) é imprescindível que seja dado a esse titular uma opção alternativa em caso de negativa.

Ou seja, se a utilização de biometria será feita após o consentimento, esse consentimento deve ser livre, e para ser livre entendo que ele não pode ser condição para o oferecimento de um serviço (como “aceite a biometria ou não entre no estádio”, “use biometria ou não consiga embarcar no avião”, entre outros exemplos).

Recentemente, a Information Commissioner’s Office (ICO), autoridade do Reino Unido, publicou material com alguns critérios interessantes para a tomada de decisão em relação à utilização dessas tecnologias.

O caso em questão trata sobre reconhecimento facial de alunos (crianças e adolescentes) em terminais de compra/pedido em cantinas escolares.

Além de apontar o risco existente na utilização da tecnologia, a autoridade listou alguns critérios interessantes:

• Considerar o melhor interesse das crianças (aplicável ao caso);
• Demonstrar que a tecnologia de reconhecimento facial (biometria) é uma solução proporcional (proporcionalidade);
• Realizar um Relatório de Impacto à Proteção de Dados;
• Garantir transparência e informação aos titulares e responsáveis (explicar os riscos envolvidos, as medidas de segurança adotadas, os direitos existentes etc) para a tomada de decisão;
• Obter o consentimento de forma livre;
• Oferecer uma outra opção para os que não fornecerem ou retirarem o consentimento.

Obs: Como sempre falo, é importante acompanhar os posicionamentos das autoridades europeias, uma vez que a ANPD tem fundamentado muitas das suas recomendações em documentos publicados no continente europeu.

É comum que empresas acabem sendo seduzidas pela tecnologia e, na ânsia de adotarem soluções inovadoras, acabem optando por utilizá-las.

Mas é importante ir com calma, sobretudo tratando-se de uma atividade de tratamento envolvendo dados sensíveis.

Lembre-se, antes de qualquer decisão a respeito do assunto, sendo você o responsável pela tomada de decisão na empresa ou consultor externo, responda às seguintes perguntas:

1. É realmente necessário?
2. O benefício esperado é proporcional ao risco envolvido?
3. Os riscos ao titular de dados são mínimos ou consigo reduzi-los consideravelmente?
4. Há alternativas menos (possivelmente) lesivas ao titular?

Reflita com calma, não tome decisões precipitadas e documente (evidências, sempre!) todo o processo de tomada de decisão.

Esta é a sexta edição da minha Newsletter “Protegendo o Novo Petróleo”, você pode conferir todos os artigos aqui. 

Se você gostou do conteúdo, não esqueça de assinar, e considere acompanhar meu Instagram.

Sinta-se à vontade para deixar sugestões de temas, feedbacks e opiniões nos comentários.

Até a próxima!

Artigo escrito por: Lucas Silveira de Ávila – Consultor em Privacidade e Proteção de Dados | PDPF | Advogado em Direito Digital