Visando garantir maior segurança, evitar fraudes, fazer uso de cada vez mais dados pessoais ou, ainda, apenas para agregar a atividade com novas tecnologias, a coleta de dados biométricos é uma realidade do nosso dia a dia que vai desde desbloquear a tela do celular, acessar o aplicativo ou caixa eletrônico de instituições financeiras, votar, bater o cartão de ponto, entrar na área de embarque do aeroporto, acessar prédios comerciais, residenciais ou a própria residência e até pedir informações para assistentes inteligentes, como a Alexa da Amazon.
O dado biométrico é o dado relacionado às características fisiológicas ou comportamentais capaz de identificar de forma única uma pessoa natural. São exemplos de dados biométricos: impressão digital, reconhecimento de íris, retina, facial ou voz e forma de andar, entre outros.
A lei geral de proteção de dados (LGPD) classifica esses dados biométricos como dados sensíveis, ou seja, dados que devem vir acompanhados de uma camada extra de proteção em comparação aos dados pessoais não sensíveis. Por conta disso, para tratamento desses tipos de dados deve-se, além de observar os princípios e direitos previstos na LGPD, atentar para as possibilidades de bases legais que justificam o tratamento de dados sensíveis, as quais são em parte diversas daquelas disponíveis para o tratamento de dados pessoais não sensíveis. Dessa forma, não é possível, por exemplo, valer-se da base legal do legítimo interesse (Art. 7º, inciso IX), da proteção ao crédito (Art. 7º, inciso X) ou execução de contrato (Art. 7º, inciso V) para o tratamento de dados pessoais sensíveis. Por outro lado, para esse tipo de dado a lei traz uma base específica, a “garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos” (art. 11, inciso II, alínea g), desde que resguardados os direitos dos titulares e exceto nos casos de prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Como essas tecnologias vem sendo aplicadas de forma massiva pelos setores público e privado e possuem alta capacidade de identificar e rastrear indivíduos com base em dados de difícil alteração (considerados únicos), sua aplicação indistinta pode levar a violações de direitos e liberdades, incluindo os direitos à privacidade e proteção de dados, o direito à liberdade de expressão, o direito à liberdade de reunião/associação e os direitos à igualdade e não discriminação.
No Brasil e no mundo já existem debates sobre a legalidade do uso de biometria em diversas atividades, das quais destacamos o uso de biometria para controle de jornada de trabalho, tendo em vista ser uma situação corriqueira. Muitos empregadores com o objetivo de melhorar processos internos e evitar fraudes, optam pelo uso de sistemas de controle de jornada por meio da coleta de dados biométricos, valendo-se da base legal acima mencionada ou até mesmo justificando o tratamento como necessário para cumprimento de obrigação legal, em virtude da Portaria 1.510/2009 do Ministério do Trabalho e Previdência, que institui a marcação eletrônica de ponto. A Portaria, não obstante não trate especificamente do uso de biometria, abre brecha para que ela seja utilizada no sistema1, mas não traz nenhuma disposição sobre medidas que devem ser utilizadas para proteger e garantir a segurança dessa informação. Assim, o uso da biometria para a finalidade de marcação de ponto não é contrário à lei, mas deve ser analisada com mais vagar sob a ótica da privacidade e proteção de dados pessoais em função da sua natureza, questionando se tal tratamento encontra aderência aos princípios de proteção de dados, em especial os princípios da finalidade, necessidade e segurança.
Isto porque é primordial que antes da utilização de qualquer tecnologia que implique no tratamento de dados pessoais sensíveis, a organização analise se a atividade em si é justificável e necessária para atingir a finalidade pretendida e se não há alternativa menos intrusiva. Deve-se, ainda, ponderar a maturidade da organização para lidar com os dados pessoais que serão tratados e se as medidas de segurança aplicadas são compatíveis e proporcional com a natureza do dado tratado. É de extrema importância, por exemplo, avaliar de antemão a necessidade da realização de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para permitir que a empresa tenha uma visão adequada sobre os riscos desse tratamento, se é possível encontrar alguma forma alternativa para alcançar a finalidade pretendida e impactos sobre os direitos e liberdades dos titulares. Além disso, mecanismos como a criptografia, onde o empregado possui a chave, podem ser incorporadas no sistema by design, para auxiliar na segurança. Escolher um operador para realizar o tratamento que possua todas as medidas organizacionais e técnicas necessárias para garantir essa segurança é também de extrema importância, sendo obrigação do controlador realizar essa auditoria prévia antes de realizar a contratação.
Desta forma, antes de aderir a qualquer tecnologia que trate dados biométricos, recomenda-se sopesar não apenas seus benefícios ou malefícios, mas principalmente sua necessidade e a preservação de direitos fundamentais do titular do dado biométrico, além de se ater estritamente à finalidade para a qual o dado biométrico está sendo tratado e investir em sistemas que garantam a segurança dessa informação.
Por fim, importante ressaltar que na União Europeia diversos países que estão submetidos ao Regulamento Geral de Proteção de Dados (GDPR) têm decidido que o uso de biometria para controle de jornada não é o meio mais adequado para atingimento da finalidade, tendo em vista a existência de outras formas menos invasivas para realização dessa atividade.2 Nesse sentido, em junho de 2020 da corte de apelação do trabalho na Alemanha julgou ilegal o uso de sistema de marcação de jornada por meio de biometria, estando essa decisão de acordo com o entendimento que tem se solidificado na região3. É importante acompanhar o assunto para ver como ele será tratado no Brasil dentro do contexto da proteção de dados pessoais, caso venha a ser questionado.
Fonte: Migalhas.