Artigos

Artigo dados biométricos e LGPD

Livia Sales - Gerente de Compliance

16/11/2022

A Lei Geral de Proteção de Dados Pessoais – LGPD normatizou, em seu art. 5º, o conceito de dados sensíveis da seguinte forma:

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Nesse sentido, considera-se dado pessoal sensível toda informação que se refira a dado biométrico. Vale ressaltar que os dados biométricos não se restringem tão somente a impressão digital, podendo incluir mecanismos que utilizem íris (retina), face e voz, por exemplo.

A grande dúvida com relação ao tratamento dos dados biométricos, por parte das empresas, gira em torno da necessidade de consentimento ou não do titular dos dados pessoais, quando do acesso as suas instalações.

Para responder ao questionamento acima, a Lei Geral de Proteção de Dados Pessoais - LGPD, traz o seguinte dispositivo, em seu art. 11:

“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.”

Nesta situação, o acesso a empresa pode ser considerado um mecanismo de segurança do ambiente empresarial em que somente pessoas autorizadas poderiam adentrar ao local.

Além disso, a utilização de dados biométricos encontra respaldo constitucional, configurando-se como um direito fundamental, vez que tem o objetivo de garantir a integridade física das pessoas que acessarem as instalações das empresas, prevalecendo sobre as normas de caráter infraconstitucional, como é o caso da Lei Geral de Proteção de Dados Pessoais.

Contudo, há quem entenda que o tratamento dos referidos dados pessoais biométricos somente seria possível com o consentimento do titular dos dados pessoais, de forma específica e destacada, para finalidades específicas, em especial quando se trata do acesso às instalações das empresas, academias e outros, por exemplo, tendo em vista o entendimento sobre a predominância dessa base legal de tratamento para a coleta dessas informações que traz maior segurança para o titular de dados.

Entretanto, entende-se que o tratamento dos dados pessoais sensíveis pode ser realizado sem o consentimento do titular, no caso de acesso às empresas, por exemplo, em razão da necessidade de garantir a segurança de todos que acessam os ambientes empresariais.

Outra dúvida muito comum diz respeito ao tratamento de dados pessoais sensíveis biométricos, como o reconhecimento facial ou mesmo a impressão digital, para registro de jornada de trabalho, por exemplo. Neste caso, seria possível justificar a coleta dessas informações em decorrência do cumprimento de uma obrigação legal (art. 74, CLT c/c Portaria nº 671/2021 e 1.486/22), nos termos previstos no art. 11, inciso II, alínea “a”.

Sendo assim, antes de fornecer os dados para acessar às dependências de qualquer Instituição, o titular precisa ser informado de maneira clara, objetiva e transparente sobre a razão e a necessidade da coleta das informações.

Desta feita, é importante mencionar que o tratamento dos dados pessoais sensíveis exige uma maior proteção, prevenção aos riscos e a adoção de medidas para evitar possíveis incidentes. Isso significa que as empresas devem revisar seus processos de governança e privacidade de dados, buscando garantir a segurança com relação ao tratamento desses tipos de dados.

Nessa toada, é importante realizar uma correlação entre biometria e segurança, pois deve ficar claro que, independentemente, da base legal utilizada para realizar o tratamento de dados biométricos é indispensável a indicação restrita da finalidade e da necessidade da operação, assim como devem ser analisados os riscos envolvidos nas operações de tratamento desses dados para que sejam criados mecanismos eficazes e efetivos de proteção dessas informações, como um investimento maior na segurança de sistemas e no armazenamento dos dados, através de criptografia, garantia de não rastreabilidade, segurança física e lógica dos servidores e consequentemente dos bancos de dados.

Por fim, ressalta-se que o objetivo maior da LGPD não é burocratizar ou impedir as rotinas empresariais, mas, sim, oferecer proteção e transparência com relação do tratamento de dados pessoais.