LGPD e biometria facial: o que você precisa saber

*André Barretto, CEO da Unike.

A LGPD, Lei Geral de Proteção de Dados Pessoais, que deve começar a valer em agosto deste ano, estabelece regras sobre uso, proteção e transferência de dados pessoais no Brasil. Inspirada na regulamentação europeia sobre o tema, a GDPR – General Data Protection Regulation, a lei brasileira segue uma tendência mundial por proteção dos dados pessoais, após a ocorrência de diversos episódios relacionados à invasão de privacidade e ameaça à segurança.

Todas as organizações que coletam, armazenam, tratam e compartilham dados pessoais, tanto em meios físicos, como digitais, serão responsáveis por essa proteção e poderão sofrer penalidades se não cumprirem as regras. Por isso, é importante entender as definições da lei e saber como se preparar para o início da nova regulamentação.

Conceitos importantes da LGPD

Dados pessoais: são informações que permitem identificar a pessoa, desde RG, CPF, até hábitos de consumo, localização geográfica, entre outros. 

Dados pessoais sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dados genéticos ou dados biométricos. 

Tratamento de dados pessoais: são as operações realizadas com essas informações: coleta, armazenamento, produção, recepção, classificação, extração, entre outras, até o descarte. 

Consentimento: o tratamento dos dados pessoais somente poderá ser realizado, entre várias hipóteses especificadas, com a autorização do titular.

Princípios de finalidade, adequação e necessidade: as empresas somente deverão coletar e tratar os dados pessoais necessários aos serviços prestados, informando aos seus titulares o motivo da apuração e a destinação que darão a essas informações, entre outras exigências. Elas devem estabelecer propósitos específicos e legítimos para essas ações, que também devem ser compatíveis com o contexto do tratamento. Isso significa que, antes de coletar, armazenar ou de qualquer maneira utilizar dados pessoais, é importante verificar se:

• o titular daqueles dados foi informado de maneira clara e específica sobre como os dados serão tratados e para quais finalidades – o porquê do tratamento;
• o tratamento é adequado ao contexto em que os dados foram coletados, ou seja, às expectativas que o titular de dados tinha ao fornecer os seus dados ou torná-los disponíveis; 
• é realmente necessário tratar aqueles dados para atingir aquela finalidade.

Responsabilidades: vale ressaltar que o responsável pela coleta dos dados é quem também deverá se responsabilizar por eles e estar alinhado à nova regulamentação para evitar possíveis penalidades. A LGPD prevê multas de até 2% do faturamento, limitados a R$ 50 milhões por infração, para empresas que descumprirem a lei. 

Exceções: a lei não se aplica no caso de dados usados para fins jornalísticos ou artísticos, de segurança pública, defesa nacional, segurança do Estado ou investigações e repressão de crimes. As questões de consentimento, acesso aos dados e alterações têm tratamento diferenciado nesses casos.

E como fica a biometria facial na nova regulamentação?

O uso da biometria facial ainda é cercado de dúvidas relacionadas à privacidade e ao uso indevido dos dados coletados. Nesse sentido, a LGPD vem justamente para regulamentar o uso da tecnologia e representa um avanço, pois deve coibir o uso indevido das características biométricas dos indivíduos, afastando e diminuindo as más práticas do mercado. 

Por serem dados biométricos, os registros utilizados para o reconhecimento facial são considerados dados pessoais sensíveis e exigem uma atenção maior na proteção, prevenção aos riscos e no tratamento de eventuais incidentes. Isso significa que tanto as empresas fornecedoras de soluções de reconhecimento facial, como as usuárias destas soluções, devem revisar seus processos de governança e privacidade de dados. Alguns exemplos de ações que devem ser realizadas:

• Gestão de consentimento, petições abertas por titulares dos dados e do ciclo de vida dos dados biométricos dentro da empresa;
• Implementação de técnicas de anonimização: um dado anonimizado, de acordo com a LGPD, é relativo a um titular que não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Ainda segundo a lei, esse tipo de dado pode ser tratado sem que haja consentimento do titular. Porém, é necessário informar a existência da coleta, quem é o responsável por ela e sua finalidade. E para que os dados não sejam considerados pessoais pela lei, o processo de anonimização também deve ser comprovadamente irreversível. 

Compliance em biometria facial na Unike 

A Unike, por exemplo, fornece soluções sem atrito (frictionless) para identificação, acesso e meios de pagamentos baseadas em biometria facial e alinhadas à nova regulamentação, oferecendo suporte aos clientes nos processos de compliance dos dados coletados.

Esse suporte jurídico é feito por meio do LGPD Setup, que consiste no desenho de ùm processo de compliance específico de acordo com a necessidade de cada projeto. Nessa frente, contamos com a assessoria da advogada Patrícia Peck, uma das pioneiras em Direito Digital no Brasil, e do seu escritório PG Advogados.

Por exemplo: um shopping center que implementa o reconhecimento facial para analisar os dados dos seus frequentadores tem demandas diferentes de um restaurante que adota a solução para autorizar pagamentos invisíveis e instantâneos. No primeiro caso, os dados serão anonimizados e não será necessário pedir autorização dos clientes, que, por sua vez, deverão ser informados sobre a coleta e a finalidade do uso das informações. Já no segundo caso, o cliente terá que fazer um cadastro da biometria de seu rosto no sistema de pagamento e autorizar sua utilização com essa finalidade para poder pagar pela refeição com o reconhecimento facial.     

Entre em contato e agende uma visita para conhecer nossas soluções.