O tratamento de dados biométricos

No Brasil, a cultura de proteção de dados pessoais foi impulsionada, inicialmente, pela necessidade de avançar em temas que impactavam as relações comerciais internas e externas entre países, notadamente após a mudança do quadro normativo europeu. No entanto, este é um processo contínuo e irreversível.

Ao ser reconhecido como garantia fundamental e como um Direito Humano, o Direito à proteção de dados tem se fortalecido e reverberado nas várias esferas institucionais da sociedade.

Contudo, é necessário constatar, mesmo empiricamente, que os esforços para fazê-lo ressoar nas camadas sociais é um desafio. Aliás, a própria Autoridade Nacional de Proteção de Dados (ANPD) acenou para o caminho do imprescindível papel educativo no início de sua atuação, com o objetivo de inaugurar uma comunicação com a sociedade para disseminar informações sobre o tema[1].

Por si só, este fato reforça a nossa opinião de que a introdução do Direito à proteção de dados no Brasil, através de lei específica, tem origem em necessidades de níveis institucionais mais altos que, por sua natureza, seguem uma trajetória onde a preocupação com os aspectos referentes à privacidade e à tutela do cidadão, com relação aos seus dados, estavam em segundo plano.

É inevitável que o momento atual de desenvolvimento tecnológico tenha uma influência direta na compreensão e implementação da cultura de proteção de dados, especialmente no que diz respeito à adequação das empresas, entidades e organizações públicas e privadas.

Este impacto foi intensificado pela chegada da Lei Geral de Proteção de Dados (LGPD) ao ordenamento jurídico brasileiro, de forma quase simultânea à estruturação da tecnologia de 5G no país, destacando o avançado estágio brasileiro no uso de novas tecnologias.

É de se notar que a harmonização do uso de novas tecnologias com a conformidade às diretrizes da LGPD é um desafio constante que deverá perdurar por um tempo considerável. Isso ocorre devido à rápida evolução das tecnologias, exigindo que a legislação se adapte a essas mudanças, para dar a resposta jurídica adequada aos novos desafios. E quando consideramos o contexto do tratamento de dados biométricos, a preocupação com a privacidade e a segurança dos dados se torna ainda mais relevante.

Conforme previsto na LGPD, os dados biométricos são considerados informações sensíveis e, por isso, recebem proteção especial em termos legais. Essa tutela se justifica pelo fato de que o tratamento desses dados pode gerar discriminação ou afetar de forma significativa e, em algumas situações, irreversível, as esferas da liberdade e dos demais direitos fundamentais dos cidadãos.

Na lista dos dados sensíveis previstos na LGPD, incluem-se os dados biométricos, que se referem às características comportamentais, físicas ou fisiológicas de um indivíduo e possuem a capacidade de permitir ou certificar a identificação única de uma pessoa.

Assim, o ritmo de fala, a cadência de digitação e até mesmo a forma de andar, em um contexto de identificação de indivíduos, podem ser considerados dados pessoais biométricos, da mesma forma que a íris, a impressão digital, a face e geometria da mão, especialmente quando submetidos aos sistemas biométricos, que são responsáveis pelo reconhecimento de padrões que identificam uma pessoa por meio dessas características mencionadas.

É importante ressaltar que o uso crescente de sistemas biométricos no âmbito das organizações já era bastante evidente mesmo antes da entrada em vigor da LGPD.

Apenas a título exemplificativo, o reconhecimento da impressão digital em empresas para controlar a jornada laboral do empregado, ou até mesmo a entrada de visitantes e, mais recentemente, o uso do sistema biométrico de reconhecimento facial para propósitos como controle de frequência escolar e identificação para embarque em aeroportos se tornaram um desafio diante dos dispositivos legais de proteção de dados e, também, de seus princípios.

Aliás, uma das características da LGPD é a carga principiológica que, sem nenhuma dúvida, rege necessariamente a sua interpretação, em função da natural e necessária flexibilidade do texto legal, propositadamente construído desta forma para a imprescindível sobrevivência da Lei diante da velocidade do aparecimento de novas tecnologias.

Além disso, é fundamental que os intérpretes compreendam que o centro da proteção dos dados pessoais é o cidadão e não os dados em si. Essa premissa deve ser sempre reiterada e lembrada pelos profissionais que atuam no contexto da LGPD.

O tratamento de dados biométricos tem sido objeto de diversas discussões, principalmente no que diz respeito à sua legitimidade.

Para que esse tipo de tratamento seja legítimo, é preciso encontrar uma base jurídica adequada no rol previsto no artigo 11 da LGPD.

E neste ponto, a escolha da mencionada base legal adequada passa, de um lado, pela análise da finalidade do tratamento dos dados, e por outro, da justificativa sobre a necessidade e proporcionalidade do uso dessas tecnologias.

Contudo, é de se destacar que o exame dessas etapas deve ser feito considerando o titular dos dados pessoais como o centro da tutela, porque é sob essa perspectiva que o Direito à proteção de dados foi, desde sempre, acolhido nos ordenamentos jurídicos dos mais diversos países, incluindo o Brasil.

Sendo assim, é fundamental ressaltar que a conveniência, praticidade ou conforto para o controlador não podem ser usados como justificativas para legitimar o tratamento de dados em sistemas biométricos.

A Commission Nationale de L’informatique et des Libertés (CNIL), autoridade francesa de proteção de dados que é reconhecidamente mais conservadora em relação às análises jurídicas sobre o tratamento de dados biométricos, tem intensificado sua posição sobre esse assunto e destacado a importância de um exame criterioso antes de autorizar o tratamento desses dados[2].

Ademais, cumpre salientar que a finalidade do tratamento de dados biométricos não se confunde com a análise da necessidade e proporcionalidade do uso dessas tecnologias.

Por exemplo, se o controle de jornada é uma obrigação legal para um controlador e ele opta pelo tratamento de dados biométricos para atingir essa finalidade, a base legal continua sendo a mesma, já que a finalidade não foi modificada.

Portanto, não é necessário tentar encontrar outra base legal disponível para justificar a necessidade de enrobustecer a comprovação da jornada laboral em si, como a base legal de garantia da prevenção à fraude e à segurança do titular, o que seria uma utilização equivocada.

Em situações como essa, ao tentar modificar a base legal para justificar o uso de dados sensíveis, a intenção é, na verdade, legitimar o tratamento desses dados pelo conforto e comodidade do controlador em detrimento do direito do titular dos dados pessoais.

A aplicação equivocada da base legal pode levar a uma violação da proteção de dados pessoais do titular, colocando em risco a sua privacidade e outros direitos fundamentais.

Além disso, não há, a priori, nenhum benefício para o titular em prevenir a fraude ou segurança no controle de sua jornada de trabalho, a ponto de justificar a utilização de dados biométricos, especialmente quando existem outras formas de alcançar a finalidade do tratamento.

O que ocorre, na verdade, é que o agente de tratamento terá à sua disposição um sistema que lhe oferece, a ele e não ao titular dos dados, a praticidade, a conveniência e o conforto em dificultar eventuais fraudes, bem como a possibilidade de comprovar, de forma mais consistente, a sua obrigação de controlar a jornada laboral.

Embora seja possível utilizar dados biométricos para o controle de jornada de trabalho, assim como em outras situações que podem ser discutidas posteriormente, é crucial que a decisão de os adotar seja tomada tendo em vista o titular dos dados pessoais, mediante análise criteriosa da necessidade e proporcionalidade no caso concreto.

Em suma, o conforto, a conveniência e a praticidade não se prestam a fundamentar o tratamento de dados biométricos, nem devem ser considerados como critérios para avaliar a necessidade e proporcionalidade desse tipo de tratamento. O foco deve ser sempre a proteção do titular dos dados, que é o principal objeto de tutela do Direito à proteção de dados pessoais.

É fundamental que haja esforços institucionais para ampliar e solidificar a cultura de proteção de dados, bem como que o intérprete e a Autoridade Nacional de Proteção de Dados, no âmbito de suas competências, concentrem-se na análise minuciosa das bases legais utilizadas para o tratamento de dados biométricos, verificando a adequação do tratamento em relação às finalidades legítimas e específicas previstas em lei.

[1] https://www.gov.br/anpd/pt-br/assuntos/noticias/com-atuacao-da-anpd-brasil-ingressa-em-novo-cenario-de-protecao-de-dados, acesso em 28/04/2023.

[2] Vide https://www.cnil.fr/fr/biometrie. Acesso em 28/04/2023.