MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Riscos no uso indiscriminado de dados biométricos

Riscos no uso indiscriminado de dados biométricos

Gustavo Laudanna Alvoreda

Vale ressaltar, ainda, que na hipótese do legítimo interesse do controlador não há uma ação afirmativa do titular dos dados (como a necessidade de consentimento, por exemplo), ainda que seja necessário - como discutido acima - dar informação clara, prévia e adequada quanto à coleta e tratamento de dados a fim de que o usuário possa se valer dos direitos de oposição ao tratamento de dados (art. 18 LGPD).

sexta-feira, 3 de maio de 2019

Atualizado em 1 de outubro de 2019 18:01

Casos recentes envolvendo empresas e até entidades do governo brasileiro comprovam que a tecnologia para identificação de rostos de pessoas, seja cumprindo seu papel como consumidor, em lojas de shopping centers, seja em meio a multidões em festividades - como no carnaval, por exemplo - ou até como usuário de serviços públicos de mobilidade, deixou de ser mera teoria de ficção científica e já é pratica de mercado e política de segurança pública no Brasil.

Cabe a nós, sociedade civil, questionarmos se atosde coleta, utilização, armazenamento, processamento e até compartilhamento com terceiros de dados biométricos de milhões de usuários estão sendo corretamente realizados, de acordo com a regulamentação vigente que trata da proteção de dados pessoais no Brasil.

A Lei Geral de Proteção de Dados Pessoais Brasileira (LGPD) classifica dados biométricos2 como dados pessoais sensíveis3, o que impõe maiores restrições ao seu tratamento por terceiros, que poderá ocorrer apenas quando o titular ou o seu responsável legal consentir, de forma específica e destacada e para finalidades específicas. O tratamento de dados pessoais sensíveis - como os dados biométricos - só poderá ocorrer sem o consentimento do seu titular nas hipóteses exclusivas definidas no inciso II do artigo 11º que, de maneira geral, visam tutelar a proteção da vida e saúde do usuário ou o cumprimento de determinação legal ou regulatória imposta à empresa ou terceiro que realiza o tratamento desses dados.

Recentemente, a Justiça concedeu liminar ao Instituto Brasileira de Defesa do Consumidor (Idec) para que a ViaQuatro, concessionária da Linha 4-Amarela do Metrô de São Paulo, interrompesse a coleta de "emoções" e reações dos usuários a estímulos publicitários, realizada a partir de sensores específicos instalados em outdoors eletrônicos ("portas interativas digitais") nas entradas dos vagões do metrô paulistano.

O que chama a atenção na ação civil pública ajuizada pelo Instituto em representação dos direitos dos usuários do metrô é que a petição inicial menciona os princípios e requisitos para tratamento de dados pessoais contidos na LGPD, que entrará em vigor apenas em agosto de 2020.

O instituto adota como fundamentos para a concessão da liminar as graves violações aos direitos à intimidade (art. 5º, X, CF/88), privacidade e à informação dos usuários do serviço público de mobilidade urbana e relaciona a coleta compulsória e utilização de dados pessoais sensíveis, sem o consentimento do usuário, a diversas violações a dispositivos do CDC, ao Marco Civil da Internet e ao Código de Defesa dos Direitos do Usuário dos Serviços Públicos. Segundo o Idec, a prática pode ser entendida como "uma pesquisa de opinião compulsória", o que configura abuso de direito, e a falta de informação clara, prévia e adequada quanto à coleta e tratamento de dados não atende a preceitos combinados expressos no CDC e no Marco Civil da Internet.

Em outro caso recente de suposto tratamento indevido de dados sensíveis, o Idec notificou a Hering para que a empresa preste esclarecimentos sobre o sistema de reconhecimento facial que, por meio de câmeras instaladas em uma loja conceito, permitiria à empresa "entender como os consumidores reagem às peças dispostas pela loja na medida em que, pela análise de expressões, é possível saber se os clientes gostam de determinado produto, além de traçar um perfil dos visitantes da loja, o que é interessante em tempos de hiperpersonalização". Complementarmente a esse sistema, noticiou-se que a loja possui sensores que registram ondas de calor conforme o interesse do consumidor nos produtos disponibilizados por toda a loja e produz um mapa com as áreas de maior interesse.

Em tempos em que os dados pessoais podem fornecer informações valiosas a empresas de varejo ou até de mobilidade urbana e que ao consumidor poderão ser oferecidos produtos e serviços cada vez mais "tailor-made" aos seus gostos, perfil e interesses, há que se parametrizar concretamente também os limites do legítimo interesse4 do controlador de dados pessoais e os direitos do titular dos dados a fim de prevenir abusos de direito e permitir que haja consenso e equilíbrio nas vantagens auferidas a partir do tratamento de dados pessoais.

Embora possa ser suscitada a figura jurídica do legítimo interesse do controlador, criada pela LGPD, como saída alternativa ao regime legal de obtenção do consentimento do titular, entende-se que tal instrumento não poderá ser aplicado como justificativa ao tratamento de dados pessoais sensíveis sem o consentimento do titular, que deverá observar as restrições acima explanadas.

É discutível o quanto a "importação à brasileira" desse instituto do Regulamento Europeu de Proteção de Dados Pessoais pode ter alterado a sua função. O regulamento europeu (artigo 6º, "f") prevê explicitamente um teste de proporcionalidade que permite verificar a legalidade no uso de dados, sendo que, qualquer empresa que adote a justificativa do legítimo interesse do controlador no tratamento de dados pessoais possuirá o ônus de demonstrar à Autoridade Reguladora que tal interesse corporativo é proporcional e equilibrado ao interesse do titular na proteção de seus dados pessoais e à sua privacidade.

Vale ressaltar, ainda, que na hipótese do legítimo interesse do controlador não há uma ação afirmativa do titular dos dados (como a necessidade de consentimento, por exemplo), ainda que seja necessário - como discutido acima - dar informação clara, prévia e adequada quanto à coleta e tratamento de dados a fim de que o usuário possa se valer dos direitos de oposição ao tratamento de dados (art. 18 LGPD).

___________

1 A Lei Geral de Proteção de Dados Brasileira define em seu artigo 5º, inciso X, como tratamento de dados pessoais todas as seguintes operações: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;        

2 Dados biométricos são dados obtidos e processados a partir de características físicas ou comportamentais de pessoas que tornam um indivíduo estatisticamente distinguível dos demais e único. Exemplos são: impressões digitais, máscaras faciais virtuais, reconhecimento de íris ou de retina, dimensões da arcada dentária, reconhecimento de assinatura, entre outros métodos de identificação a partir de características exclusivas de cada ser humano.

3 Art. 5º, II, da Lei nº 13.709/2018.

4 O legítimo interesse do controlador é hipótese legal definida na LGPD (art. 10) para o tratamento de dados pessoais sem que haja a necessidade de consentimento do usuário nas hipóteses e finalidades específicas de:

I - apoio e promoção de atividades do controlador; e

II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

__________

*Gustavo Laudanna Alvoreda é advogado do escritório Nascimento e Mourão Advogados. 

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca