A lei 13.709/2018, conhecida como LGPD, considera dados sensíveis, dentre outros, os dados biométricos que são aqueles capazes de identificar uma pessoa através da análise de características físicas, por exemplo, face, íris, voz, impressão digital. E por serem sensíveis a lei conferiu a esses dados uma proteção maior, o que demanda maiores cuidados e restrições para a sua utilização.
Atualmente o ponto eletrônico é muito utilizado para confirmar a identidade de um indivíduo em diversos estabelecimentos como, em instituições financeiras e de ensino, academias, condomínios e outros locais de acesso controlado, bem como, é usado para o controle de jornada de trabalho.
Com a vigência da LGPD, é fundamental adequar o tratamento de dados biométricos às regras e princípios da lei. Como?
O primeiro passo é identificar a base legal, ou seja, uma das situações previstas na LGPD que autoriza o uso dos dados pessoais. Por se tratarem de dados sensíveis, possível justificar o tratamento dos dados biométricos em uma das hipóteses legais previstas no art. 11 da LGPD.
No caso de controle de jornada, por biometria, é possível fundamentar o tratamento no art. 11, II, alínea “a”, da LGPD, ou seja, cumprimento de obrigação legal ou regulatória, haja vista o que determina o art. 74 da CLT e as Regulamentações do Ministérios do Trabalho (Portarias nºs. 1.510/09 e 373/11).
Quando a biometria é utilizada para autenticação de identidade, a base legal que parece mais adequada é a prevista na alínea “g”, inciso II do art. 11, da LGPD, ou seja, para prevenir fraude e garantir a segurança do titular.
Nessa última hipótese o controlador (agente de tratamento de dados) deve, ainda, informar ao titular a finalidade específica do tratamento, a sua forma e duração, se há compartilhamento dos dados, os direitos dos titulares e a responsabilidade dos agentes que realizarão este tratamento. Também deve ser feita uma avaliação entre os efeitos do tratamento e os riscos aos direitos e liberdades dos titulares, haja vista que existem outras técnicas que podem ser utilizadas para tanto.
Para tratar referidos dados pessoais, além do enquadramento correto na base legal, é imprescindível que não haja desvio de finalidade, ou seja, o dado biométrico coletado para controle ou identificação deve ser utilizado apenas para a finalidade que justificou a sua coleta, não podendo ser utilizado para uso diverso.
Por exemplo, se o dado biométrico foi coletado para autorizar o ingresso da pessoa em local de acesso restrito, não pode ser usado para a realização de um estudo, pesquisa ou análise ou qualquer outra finalidade diferente, salvo se for possível enquadrar em outra base legal para essa nova finalidade.
Caso concreto que exemplifica na prática essa irregularidade foi o que ocorreu pela Via Quatro, empresa que tem a concessão da linha 4 amarela do metrô de São Paulo, que fez uso de dados biométricos de forma indevida ao coletar através de câmeras de reconhecimento facial as emoções, a idade e o gênero do passageiro (titular dos dados) quando olhava para os anúncios publicitários instalados em portas interativas do metrô.
Essa hipótese não se enquadra em nenhuma das bases legais acima mencionadas (cumprimento de obrigação legal ou regulatória ou prevenção de fraude) para autorizar o tratamento dos dados pessoais sensíveis. Nessa hipótese, seria possível esse tratamento dos dados se o titular tivesse dado seu consentimento, o que não ocorreu e, pior, as pessoas sequer sabiam que estavam tendo seu reconhecimento facial. Por consequência à infração à LGPD, foi imposta multa de R$ 100.000,00 (cem mil reais) para a empresa.
Portanto, a empresa que optar por tratar dados biométricos deve primeiro identificar a sua finalidade e respectiva base legal para estar em conformidade com a lei, além de adotar técnicas de seguranças eficazes, como a criptografia e anonimização, tendo em vista o elevado risco que tais tratamentos trazem para o titular.
Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?
O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.
Melissa Noronha M. de Souza Calabró é sócia no escritório Noronha & Nogueira Advogados.
Pós-graduada em Direito e Processo do Trabalho pela Universidade Presbiteriana Mackenzie e em Coaching Jurídico, pela Faculdade Unyleya, com formações em Professional & Self Coaching e em Business and Executive Coaching, ambas pelo IBC.
Membro Efetivo da Comissão Especial de Coaching Jurídico da OAB/SP de 2019/2021
Membro Efetivo da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP
Membro Efetivo da Comissão Especial de Advocacia Trabalhista da OAB/SP