A Lei Geral de Proteção de Dados Pessoais, a LGPD, foi sancionada em 2018 para atender uma demanda cada dia mais presente na nossa sociedade – a garantia da privacidade das informações pessoais por parte das empresas na execução de suas atividades comerciais.
Esta lei fala a respeito dos dados que identificam ou tornam identificáveis uma pessoa natural, ou seja, o indivíduo. Ao detalhar os tipos de dados que são seu escopo, a LGPD dá um enfoque ainda maior a uma subcategoria que possui potencial de afetar os direitos de personalidade tais como os definidos no Art. 5º da Constituição Federal: os dados pessoais sensíveis.
No Art. 5º, II da Lei 13.709/2018, é dito que dados pessoais sensíveis são aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Muito ainda falta esclarecer sobre o alcance dos itens apresentados neste artigo, mas um destes já foi posteriormente detalhado através do Decreto 10.046/2019, que são os dados biométricos. O art. 2º, II, deste Decreto dispõe que os dados biométricos são “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar”.
Após essa definição muito se discute sobre o tema, uma vez que a grande maioria das empresas brasileiras já realiza o tratamento de algum tipo de dado biométrico, seja para o registro de entrada em suas sedes ou através de Circuitos Fechados de Televisão (CFTV).
Os processos de negócio que realizam o tratamento desse tipo de dados pessoais deverão ser identificados e seguir todas as recomendações quanto à finalidade, temporalidade, hipótese de tratamento e destinação final. Em função de tratarem dados pessoais sensíveis e esse tratamento gerar riscos às liberdades civis e aos direitos fundamentais, deverão inclusive ser alvos de solicitações de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD).
Falando especificamente sobre os sistemas de CFTV, nem todos eles identificam o “formato da face, a voz e a maneira de andar”, ou seja, não realizam tratamento de dados pessoais sensíveis. Isso não significa que a coleta de imagens das pessoas nas dependências das empresas ou arredores não sejam consideradas informações pessoais, pois estas podem identificar ou tornar identificáveis quem é alvo de tal monitoramento.
Outro ponto muito questionado é a base legal que irá justificar esse tipo de tratamento, uma vez que não é possível obter o consentimento de toda e qualquer pessoa que poderá ter suas informações coletadas. No caso de não haver o tratamento de dados sensíveis, a empresa poderá optar pelo legítimo interesse (Art. 7, IX), já que é de total interesse da empresa garantir a segurança de seus empregados e de suas dependências, ou optar pela garantia da prevenção à fraude e à segurança do titular (Art. 11, II, g), nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, no caso em que houver o tratamento de dados pessoais sensíveis.
Em relação à utilização de dados como as digitais, o registro destes em sistemas como catracas e relógios de ponto pelas empresas também é algo cada dia mais comum. E o fato deste dado estar sendo coletado pelas empresas não garante que estejam sendo protegidos da forma como deveriam. Diferentemente de um usuário e senha (que podem ser facilmente alterados) as digitais são únicas e intransferíveis, o que gera um risco muito alto quanto ao seu tratamento.
A Portaria 1.510/2009 do Ministério do Trabalho e Emprego regulamenta o Sistema de Registro Eletrônico de Ponto e permite a utilização de dados biométricos nestes sistemas, porém não há nenhuma menção sobre as medidas a serem empregadas para a garantia da segurança destas informações.
Desta forma, a utilização de dado tão sensível deverá sempre ser acompanhada de controles compatíveis para garantir a segurança e só deverá ser aplicada em casos nos quais seja fundamental, pois existem controles de segurança tão eficientes quanto e que não tratarão dados pessoais sensíveis.
Os processos que utilizam esse tipo de dado deverão conter a identificação das hipóteses de tratamento, como a garantia da prevenção à fraude e à segurança do titular (Art. 11, II, g), desde que sejam muito bem justificadas. Também é recomendável a elaboração de RIPD para garantir que a empresa tenha conhecimento sobre os impactos dessa utilização à privacidade dos titulares.
Gostaria de saber mais sobre o impacto da LGPD no uso de dados biométricos pela sua organização? Entre em contato conosco!
Vinícius Braga
Encarregado de Dados Pessoais da Every
Comments