Dados biométricos são aqueles capazes de identificar uma pessoa através da análise de características físicas (face, íris, voz, digital etc.). A Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – considera tais dados como sensíveis (art. 5º, II), o que demanda maiores cuidados e restrições para a sua utilização.
O ponto eletrônico é muito utilizado para autenticar a identidade de alguém em instituições financeiras, instituições de ensino, academias, ambientes de acesso controlado e também para controle de jornada de trabalho.
Com a vigência da LGPD, é importante adequar o tratamento de dados biométricos às regras e princípios dessa lei.
O primeiro passo é identificar a respectiva base legal, ou seja, uma das situações que a LGPD autoriza o uso dos dados pessoais. Por tratar-se de dados sensíveis, a subsunção deve ser feita em uma das hipóteses do art. 11 da LGPD.
No caso de controle de jornada é possível fundamentar o tratamento no art. 11, II, “a”, da LGPD (cumprimento de obrigação legal ou regulatória), haja vista que determina o art. 74, CLT e as Regulamentações do Ministérios do Trabalho (Portarias nºs 1.510/09 e 373/11).
Já nos casos de autenticação de identidade, a base legal que parece mais adequada é a prevista na alínea “g”, inciso II do art. 11, da LGPD, ou seja, para prevenir fraude e garantir a segurança do titular.
Nessa última hipótese o controlador deve, ainda mais, informar ao titular a finalidade específica do tratamento, a sua forma e duração, a existência de compartilhamento, os direitos dos titulares e a responsabilidade dos agentes que realizarão este tratamento. Também deve ser feito um sopesamento entre os efeitos do tratamento e os seus riscos aos direitos e liberdades dos titulares, já que existem outras técnicas que podem ser utilizadas para tanto.
Além do enquadramento correto na base legal, é de rigor que não haja desvio de finalidade, é dizer, o dado biométrico coletado para controle ou identificação deve ser utilizado apenas para a finalidade que justificou a sua coleta, não podendo ser dado outro uso diverso.
É dizer, se o dado biométrico foi coletado para permitir o ingresso do indivíduo em local de acesso restrito, não é possível utilizar esse mesmo dado para a realização de um estudo, pesquisa ou análise ou qualquer outro propósito diverso, sem que seja dado um novo enquadramento legal para essa nova finalidade.
Um exemplo de uso de dados biométricos de forma indevida no Brasil foi o realizado pela ViaQuatro, empresa que tem a concessão da linha 4 amarela do metrô em São Paulo/SP, que captava por câmeras de reconhecimento facial as emoções, a idade e o gênero do passageiro quando olhavam para os anúncios publicitários.
Tal hipótese não se enquadra em nenhuma das bases legais acima mencionadas (cumprimento de obrigação legal ou prevenção de fraude) para legitimar o tratamento dos dados pessoais sensíveis. Assim, para ser regular, seria necessário o consentimento do titular nos termos definidos pela LGPD, o que não ocorreu no caso, gerando uma multa de R$ 100.000,00 (cem mil reais) para a empresa.
Portanto, a empresa que optar por tratar dados biométricos deve primeiro identificar a sua finalidade e respectiva base legal para não infringir a legislação, além de adotar técnicas de seguranças robustas, como a criptografia e anonimização, tendo em vista o elevado risco que tais tratamentos trazem para o titular.