Neste artigo, apresentamos o que sua empresa precisa para evitar problemas jurídicos ao realizar o tratamento de dados biométricos.

A cada dia que passa, dados biométricos, como impressões digitais, reconhecimento facial e voz, estão sendo mais utilizados no mercado digital.

Desde o desbloqueio de smartphones até a autenticação de pagamentos, esses dados são utilizados tanto para aprimorar a segurança quanto para a conveniência de diversos serviços.

Uma das tendências emergentes é a combinação de dados biométricos com inteligência artificial (IA) e aprendizado de máquina.

Essas tecnologias podem ser utilizadas para criar sistemas mais avançados de reconhecimento facial, identificação de voz e outros tipos de autenticação biométrica. 

Mas é preciso ter cautela! 

Isso porque o dado biométrico é considerado um dado pessoal sensível, conforme a Lei 13.790/18, Lei Geral de Proteção de Dados Pessoais (LGPD). 

Então, se sua empresa está desenvolvendo um sistema que utilize dados biométricos ou, mesmo que utilize de um terceiro, mas colete esse tipo de dados, precisa ter atenção dobrada.

Inclusive, muitas empresas estão sendo alvo de críticas em relação ao tratamento inadequado desse tipo de dado pessoal, como é o caso do clube de futebol palmeirense, o qual comentaremos posteriormente.

Por isso, entenda o que sua empresa precisa para evitar problemas jurídicos ao realizar o tratamento de dados biométricos.

Primeiro, algumas explicações.

Dados biométricos são dados pessoais sensíveis. O que isso significa?

Dados biométricos são informações únicas sobre as características físicas e comportamentais de um indivíduo que podem identificá-lo, como impressões digitais, reconhecimento facial, de voz, íris, entre outros.

Como citamos anteriormente, a LGPD considera o dado biométrico como um dado pessoal sensível. Isso significa que, se sua empresa coletar e utilizar esse tipo de dado, deverá ter maior cautela e cuidados a serem adotados.

O intuito legislativo foi de garantir que esses dados (sensíveis) não sejam utilizados para qualquer tipo de discriminação, uma vez que não apenas identifica o titular, mas o qualifica.

Incidentes de segurança envolvendo esse tipo de dado pode gerar consequências mais gravosas aos direitos e liberdades do seu titular do que um “simples” dado pessoal não sensível.

Por exemplo, o vazamento de números de cartão de crédito, endereço residencial, número de telefone… apesar de darem uma dor de cabeça para o titular, podem ser substituídos. Agora, não há como trocar a face de um indivíduo da mesma forma, por exemplo  (pelo menos não facilmente nem recomendável).

Nesse sentido, a lei é mais restritiva, não sendo permitido o tratamento de dados pessoais sensíveis para a execução de contratos, com base em interesses legítimos e para a proteção ao crédito. 

Em quais casos será possível realizar o tratamento de dados biométricos?

Em regra, a LGPD estabelece que o consentimento como base legal para o tratamento de dados pessoais sensíveis. 

A autorização do titular ou responsável legal deve ser realizada de forma específica e destacada, para finalidades específicas.

Se o consentimento foi para viabilizar a entrada do titular como colaborador da empresa, não poderá ser utilizado para nenhuma outra finalidade.

Ainda, o tratamento de dados sensíveis poderá ser realizado nas hipóteses em que for indispensável para:

• Cumprimento de obrigação legal e/ou regulatória por parte do agente controlador;
• Compartilhamento de dados para a execução de políticas públicas, previstas em lei;
• Em pesquisas, desde que seja possível garantir a anonimização de dados pessoais;
• Para garantir a prevenção à fraude e à segurança do titular, em procedimentos de identificação e autenticação do cadastro em sistemas eletrônicos.

No último caso, utilizando-se dados biométricos para a prevenção a fraudes, é essencial observar os princípios da LGPD.

Ou seja, o tratamento dele atender a uma finalidade específica, ser tratado de forma segura e adequada e o titular deve obter transparência e livre acesso aos seus dados.

Além disso, é essencial que o dado biométrico não seja utilizado para provocar uma discriminação ao titular, visto que possuem potencial em causar preconceito ou segregação.

Por isso, ao decidir que é necessário coletar esse tipo de dado, é fundamental analisar se essa prática poderá causar constrangimento ou discriminação.

Antes de tudo, faça uma análise dos riscos!

Se sua empresa realizar o tratamento de dados biométricos, seja por qual finalidade for, faça uma análise dos riscos desse tratamento, avaliando sua necessidade e proporcionalidade.

Deve-se perguntar, por exemplo, se não há outra forma de alcançar a finalidade desejada que não necessite coletar dados biométricos. 

Um caso recente, alvo de críticas, foi a implementação do reconhecimento facial no estádio do clube de futebol Palmeiras. 

Apesar de apresentar, inicialmente, benefícios para os torcedores, como a entrada facilitada, a ausência de evidências de que a medida seria eficaz e necessária, bem como a falta de transparência aos titulares tem preocupado o público.

Também é importante analisar outras questões, como a base legal que será utilizada.

Caso seja utilizado o consentimento do titular, deve-se preencher todos os requisitos legais para que esse seja legalmente válido, bem como considerar que essa autorização pode ser revogada a qualquer momento.

Por isso, recomenda-se que os riscos sejam analisados e seus impactos quantificados por meio de um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP).

Além de mensurar os riscos, o RIPDP trará diversos benefícios ao controlador, principalmente financeiro e reputacional, demonstrando responsabilidade e compromisso da empresa com a proteção de dados.

Para te ajudar com todas essas questões, recomenda-se a contratação de uma assessoria especializada, que tenha experiência em modelos de negócios inovadores e possa te ajudar na adequação à LGPD e viabilidade do seu negócio.

A SAFIE pode te ajudar com isso. Fale com o nosso time aqui.