Boiteux & Almeida Advogados Associados

Menu
Linkedin Instagram Facebook
Menu
Linkedin Instagram Facebook

Dados biométricos: riscos e responsabilidades

Por /

     A era digital traz consigo transformações exponenciais, incluindo a busca por novas ferramentas para resguardar a segurança física e digital. No contexto brasileiro, ampliou-se a utilização de dados biométricos para fins de segurança, como controle de acesso em condomínios e autenticação em sistemas bancários.

     Dados biométricos, como impressões digitais, reconhecimento facial e íris, são traços físicos únicos e imutáveis capazes de distinguir cada indivíduo. Ao contrário de senhas, que podem ser modificadas ou quebradas, esses dados  acompanham o indivíduo por toda a vida. Neste cenário, algumas iniciativas surgem com o objetivo de criar sistemas globais de identidade digital. 

     Recentemente, um projeto idealizado por uma empresa de tecnologia implementou um sistema que utiliza o escaneamento da íris para gerar uma identidade digital única. Por meio de processo de fiscalização, a Autoridade Nacional de Proteção de Dados – ANPD, suspendeu a coleda de dados, dentre outors motivos, em razão  da possível influência da remuneração pela obtenção de dado sensível sobre a validade do consentimento livre e informados dos titulares. Em nota, a ANPD também considerou apontou a impossibilidade de excluir os dados biométricos coletados, somada à irreversibilidade da revogação do consentimento.

     Mesmo após a empresa recorrer administrativamente e solicitar prazo adicional de 45 dias para implementar mudanças no aplicativo e interromper a oferta de compensação financeira, o Conselho Diretor da ANPD manteve a suspensão da compensação financeira e negou o prazo solicitado. Diante da decisão, a empresa responsável anunciou a pausa voluntária e temporária de seu serviço no Brasil.

       Coleta de dados pessoais sensíveis

     Esse caso salienta um debate mais amplo sobre a coleta e o uso de dados biométricos, especialmente no que se refere à proteção da privacidade, aos riscos e benefícios envolvidos, a necessidade da coleta e os limites para o uso destes dados.

      A Lei Geral de Proteção de Dados – LGPD, define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

     Segundo a LGPD, a íris é considerada um dado biométrico, ou seja, uma dado pessoal sensível. Para que a coleta e o processamento sejam considerados legítimos,  é indispensável obter o consentimento do titular, que deve ser dado de:

  • Forma livre; 
  • Informada;
  • Inequívoca;
  •  Específica e destacada.

     Além disso, a finalidade para a qual esses dados são utilizados deve ser claramente definida e comunicada aos titulares. Cumpre ressaltar que, a LGPD prevê exceções em que o tratamento de dados pessoais sensíveis pode ocorrer sem o fornecimento do consentimento do titular, como nas hipóteses em que for indispensável para:

  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • Exercício regular de direitos;
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde;
  • Garantia da prevenção à fraude e à segurança do titular.

     Fora dessas hipóteses, a obtenção do consentimento é necessária para assegurar a conformidade legal e proteger os direitos do titular.

     Ademais, a coleta de consentimento para o tratamento deve ponderar os princípios aplicáveis ao tratamento:

  • A finalidade deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequacão com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Fornecer informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não realizar o tratamento para fins discriminatórios ilícitos ou abusivos;
  • Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

     Riscos no tratamento de dados biométricos

     Embora os dados biométricos possibilitem  viabilizar novos sistemas de autenticação, sua coleta e processamento envolvem riscos e responsabilidades. Em evento recente promovido pela ANPD, integrantes da Autoridade destacaram que a forma como a coleta é realizada atualmente apresenta aspectos problemáticos.

     O discurso de que o uso da biometria está diretamente ligado à segurança precisa ser analisado com cuidado. Muitas portarias virtuais de condomínio são, por exemplo, exigem a identificação biométrica dos moradores, mas onde esses dados estão sendo armazenados? Há segurança suficiente para protegê-los? 

    O uso indevido  representa um risco significativo para as empresas e os titulares.  Dessa forma, é essencial que a coleta e o tratamento dessas informações sejam realizadas com o maior nível de segurança possível, que deve ser verificado em todo o ciclo de vida dos dados. Incidentes de segurança que envolvam dados sensíveis podem trazer consequências severas, tanto para os direitos e liberdades dos indivíduos afetados quanto para a própria empresa, que podem ser sujeitas a multas elevadas e outras penalidades, como a divulgação pública da infração e proibição parcial ou total das atividades.

Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.