Mídia

Tech Compliance – O desafio no uso da biometria frente à LGPD

Tech Compliance – O desafio no uso da biometria frente à LGPD
30 de março de 2022 | Notícias | admin | Tags: , , , ,

Imagem: Pixabay

Link original

A Lei Geral de Proteção de Dados considera os dados pessoais sensíveis de forma taxativa, em seu art. 5, II, sendo um deles os dados biométricos.

Inicialmente, é importante registrarmos que esta categoria de dados requer maior nível de responsabilidade por parte dos agentes de tratamento em função do potencial risco de atrair processos discriminatórios.

Tanto é que a própria lei dispõe de bases legais diferenciadas para o processamento de dados sensíveis, consoante disciplina o art. 11 da referida lei, restringindo as hipóteses autorizadoras de tratamento.

O que são dados biométricos?

Caracterizam-se como dados biométricos todos aqueles que identificam de forma individual, única e exclusivamente uma pessoa natural.

Um dado biométrico, portanto, é aquele que quando relacionado às características físicas ou comportamentais apresenta potencial de identificação do indivíduo. Lembrando, por oportuno, que biometria não se resume à impressão digital, abrangendo também a utilização de íris, face, voz e outras técnicas desde que sejam capazes de identificar as pessoas de forma única.

Como lidar com dados biométricos

Um dos primeiros desafios a serem vencidos quando uma organização, empresa, na qualidade de controlador de dados pessoais, opta por esse tipo de tratamento de dados pessoais sensíveis, consiste na identificação da existência ou não de uma hipótese legal autorizadora para que o processamento dos dados biométricos se realize.

Superada esta primeira etapa, insta observar o princípio da necessidade ou da minimização, da transparência, da segurança e demais princípios condicionantes da licitude do tratamento trazidos no art. 7 da lei protetiva de dados pessoais.

E, mesmo que as etapas acima sejam devidamente contornadas com êxito, o controlador deverá analisar se não haveria meios menos invasivos para o alcance da mesma finalidade.

Voltando a atenção às bases legais que justificam o tratamento de dados biométricos, cabe salientar aquelas mais comumente utilizadas no dia a dia. São elas: o consentimento, a obrigação legal ou regulatória e a garantia da prevenção à fraude e da segurança do indivíduo, estabelecidas no art. 11, I, II “a” e “g” da LGPD.

Dados biométricos e relações trabalhistas

No cenário brasileiro, dentro do âmbito das relações trabalhistas, situações corriqueiras envolvendo a coleta de dados pessoais biométricos se dá a título ilustrativo, no controle de jornada dos empregados e que encontra amparo legal na Portaria 1510/2009 do Ministério do Trabalho, e permitindo esse processo para fins de simplificar e garantir maior segurança no controle da jornada.

Neste caso em questão, é possível constatar que há base legal específica  para o tratamento dos dados biométricos, pois decorre de uma obrigação legal prevista no art. 11, II, “a” da lei.

No contexto da União Europeia, é relevante destacar que o Regulamento Geral de Proteção de Dados em seu art. 4 (14) define que dados biométricos são aqueles dados pessoais resultantes de um tratamento técnico específico relativo às características físicas ou comportamentais de uma pessoa singular que permitem confirmar a identificação única, tais como imagens faciais ou dados de impressões digitais, entre outros.

Tipos de reconhecimento e dados biométricos

Convém registrar que, além de reconhecimento através de imagens faciais e impressões digitais, a tecnologia também contempla outras técnicas de tratamento de dados biométricos, como a varredura de íris, análise de retina e reconhecimento de voz, entre outros, além de técnicas de identificação biométrica comportamental, a exemplo da análise de teclas, de assinatura manuscrita, de marcha e rastreamento ocular.

O Considerando 51 do Regulamento Europeu de Proteção de Dados esclarece que o tratamento de fotografias não deve ser considerado automaticamente dado biométrico, a não ser que seja realizado um processamento técnico específico com fins diferenciados para identificação do indivíduo.

Esta nova técnica comumente envolve o uso de dados da imagem para criar um modelo ou um perfil digital individual que é usado para correspondência e identificação automatizada de imagens.

Processo na Itália

Para fins de melhor assimilação do tema ora tratado, convém trazer à baila a recente sanção imposta pela Agência de Proteção de Dados italiana e que multou a empresa Clearview, em 20 milhões de euros, por realizar reconhecimento facial em fontes públicas da web.

Entendeu a Autoridade de Proteção de Dados que a empresa atuou como controladora e o seu tratamento não se limitou à coleta de imagens com a finalidade de torná-las acessíveis aos seus clientes. Ao contrário do alegado em sua defesa, processou e ainda continua processando as imagens coletadas via web scraping através de um algoritmo proprietário de correspondência facial e que possibilita a oferta do serviço de pesquisa biométrica de forma tão sofisticada.

Assim, a empresa ao utilizar meios próprios para a coleta de imagens e, posteriormente, transformá-los em dados biométricos, armazenando as informações extraídas do resultado da pesquisa, está a processar dados pessoais sensíveis.

Portanto, a controladora converteu em biometria fotografias coletadas na web, através de processamento adicional.

E, nessa linha, não cumpriu com os princípios da transparência e da limitação da finalidade, bem como não dispunha de base legal adequada para o respectivo processamento dos dados pessoais.

Cenário no Brasil

No cenário nacional, a ViaQuatro, operadora da Linha-4 do Metrô de São Paulo, foi condenada em 2021 por captar imagens de passageiros com o uso de técnica de reconhecimento facial sem o devido consentimento dos titulares, restando suspenso o processamento dos dados pessoais, naquela ocasião.

Ainda no presente mês de março do corrente ano, a mesma empresa está sendo demandada por diversos órgãos de defesa do consumidor por implementação de novo sistema de monitoramento que contém reconhecimento facial sob a alegação de estar infringindo, outra vez, a Lei Geral de Proteção de Dados.

O assunto, como se vislumbra, está longe de ser pacífico, pois sempre demandará conhecimento da técnica utilizada para fins do correto enquadramento do dado pessoal como biométrico, circunstância esta que, em se configurando, atrairá os cuidados referentes ao tratamento do dado sensível.

Tratamento de dados biométricos

A identificação da existência de base legal que autorize o tratamento de dados biométricos e a escolha de uma das bases legais previstas no art. 11, I e II da Lei Geral de Proteção de Dados é uma das provocações que nos é imposta.

E, por fim, a observância aos princípios norteadores da lei, constantes no art. 7º., e o cuidado redobrado com as técnicas de segurança de informação são empregados para proteger os dados pessoais e minimizar riscos.

Tarefa árdua e que para ser exitosa requer, sem sombra de dúvidas, empenho por parte da equipe jurídica e do encarregado, os quais devem avaliar minuciosamente as condições do caso concreto e aconselhar da melhor forma o controlador.

Equalizar interesses econômicos legítimos, direitos dos titulares de dados pessoais e prover um nível de segurança jurídica ao controlador é o desafio que deve guiar os profissionais que atuam na área de proteção de dados pessoais.

________________________________

Martha Leal: Advogada especialista em proteção de dados. Pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul. Mestranda em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlántico e pela Universidad UNINI México. Pós-graduanda em Direito Digital pela Universidade de Brasília -IDP. Data Protection Officer ECPB pela Maastricht University. Certificada como Data Protection Officer pela EXIN. Certificada como Data Protection Officer pela Fundação Getúlio Vargas do Rio de Janeiro- FGV. Fellow pelo Instituto Nacional de Proteção de Dados – INPD.

Compartilhe!

Categorias

Ultimas Notícias

Whatsapp