Não é preciso muito esforço para se notar que, cada vez mais, o Brasil vai se tornando um país extremamente tecnológico. Relações com o governo já são feitas de forma online, assim como a contratação de qualquer produto cotidiano. Aplicativos permitem desde solicitar o almoço até a contratação de prestadores de serviços dos mais especializados, como cuidadores, profissionais de limpeza etc. No transporte público também já é possível embarcar apenas por meio da utilização de bilhetes virtuais.
Ao passo em que a tecnologia evolui e domina as relações sociais, o fator segurança é um componente que não pode ser deixado de lado, especialmente em um país aonde, infelizmente, os índices de furtos, roubos e outras práticas criminosas ainda são elevados. Se pelas inúmeras ameças que o ambiente digital está sujeito, no ambiente físico também é possível encontrar o aprimoramento de medidas que visam o fortalecimento do perímetro seguro. Em especial, tem sido cada vez mais comum encontrar em ambientes públicos ou privados cujas medidas de segurança são delegadas a recursos tecnológicos. Se de um lado essas ferramentas prometem maiores níveis de controle, de outro podem trazer sérias implicações legais do que tange aos direitos fundamentais, em especial sobre a proteção de dados pessoais. Para tanto, a coleta e utilização de biometria como padrão para tais aplicações tem sido frequentemente exponencializada por todo território nacional, quase como uma febre que se propaga rapidamente. Impressão digital, reconhecimento facial, reconhecimento de íris e outros métodos entraram de vez no cotidiano dos brasileiros para não mais sair, o que gera questionamentos acerca de suas implicações.
Enquanto dados pessoais considerados como sensíveis, o tratamento de informações biométricas é regulado especificamente por legislações, em especial pela Lei Geral de Proteção de Dados (LGPD), que as incluiu no rol de dados considerados como sensíveis. Desta forma, embora a sua utilização ainda seja possível por organizações públicas e privadas, requer maior atenção (agentes de tratamento) daqueles que resolvam tratá-los. Para tanto, além de observar as regras gerais estipuladas pela legislação, como os princípios, também devem se atentar às respectivas hipóteses legais contidas no artigo 11.
Sobre este leque de opções especiais concedidas pelo legislador aos agentes de tratamento, é importante mencionar que a justificava principal de sua existência, em apartado das hipóteses legais contidas no art. 7º da LGPD, se dá pelo fato de que, dada a sua vinculação intrínsicamente conectada à dignidade da pessoa humana, a manipulação de dados pessoais sensíveis tem o potencial de gerar danos excessivos aos seus titulares, com menção especial a discriminação. Além disso, por sua própria característica, dados pessoais sensíveis são imutáveis, revelando aspectos inerentes ao próprio indivíduo que o acompanharão ao longo de toda a sua existência. Por esse motivo, receberam atenção especial, sendo condicionados a atribuição de uma das hipóteses legais especificamente destinadas ao seleto grupo.
A partir da compreensão da construção do conceito e sua proteção, fica simples entender que a utilização de dados pessoais sensíveis deve ocorrer de maneira subsidiária, ou seja, limita às situações onde tal espécie de dado pessoal seja determinante para o sucesso da finalidade previamente atribuída pelo controlador, dado o risco intrínseco à sua utilização. Entrentanto, o que se atualmente se vê no Brasil é a banalização da utilização de dados biométricos para fins de controle de acesso em espaços públicos ou particulares, sem uma análise mais profunda acerca de aspectos como finalidade, adequação e necessidade, princípios basilares do tratamento de dados pessoais e previstos no artigo 6º da LGPD.
A mera atribuição da finalidade geral de “controle de acesso”, “segurança física” ou outra variação do termo não pode, por si só, ser capaz de justificar a coleta e o tratamento de tais dados pessoais sem o devido e contextual escrutíneo prévio. Embora reconheça-se a utilização em larga escala e, muitas vezes, inadequada deste de tipo de tecnologia no país, cabe pontuar que a própria LGPD pavimentou o substrato técnico para tanto, ou seja, criou a sua própria armadilha. Isso porque, ao prever a possibilidade de que dados pessoais sensíveis tenham o seu tratamento sustentado pela hipótese legal contida no artigo 11, “g”[1], facultou aos agentes de tratamento a justificativa perfeita para a sua atruibuição indiscriminada. Ou seja, havendo a previsão expressa no texto legal, de certa forma retirou dos controladores a necessidade de compreensão dos riscos intrínsecos a operação e da sua justificação de maneira argumentativa, por meio da elaboração de robustos relatórios de impacto.
Diferentemente do que previu a legislação para outras hipóteses em que se pode atribuir uma hipótese legal a uma miríade de finalidades de tratamento, como na situação da aplicação da base do legítimo interesse, para a “garantia da prevenção à fraude e à segurança do titular” não se exigem outros requisitos adicionais de adequação e balanceamento. Embora seja obrigatório pelas regras gerais da legislação a observação dos princípios previstos no rol do art. 6º pelo controlador, em especial da necessidade, adequação, necessidade e transparência, o que se percebe na realidade é a utilização de tais recursos de maneira indiscriminada e sem o devido cuidado, certo de que, caso fossem balenceados no caso concreto, certamente muitos dos casos onde, hoje, se encontra tais tecnologias não existiriam. A título comparativo, ao não incluir hipótese legal semelhante na legislação europeia, o que atualmente se vê na Europa é a restrição da utilização de tais tecnologias a situações excepcionais, dado o esforço argumentativo e de gestão de risco necessário à sua implementação.
Diante do cenário legal brasileiro e desconsiderando qualquer possível alteração com intuito de suprir o referido dispositivo, a adoção de requisitos suplementares de adequação, gestão de risco, proporcionalidade e razoabilidade podem ser invocados como ferramentas importantes de atenuação dos efeitos já mencionados. Isso porque, embora ainda disponível, a atribuição de tal hipótese legal ensejaria, automaticamente, um dever argumentativo de justificação e mitigação de riscos, tal qual a elaboração de um “teste de balanceamento”, similar ao já previsto legitimate intereset assessment, cumulado com a necessidade de elaboração de relatório de impacto.
Nessa esteira, pergunta-se: como “será que todo controle de segurança deve utilizar reconhecimento biométrico?” e “para quais situações devo implementar tecnologias de reconhecimento biométrico”? são fundamentais para o aprofundamento do debate. Em digressão aos já citados princípios da finalidade, necessidade e adequação, é factível compreender que tais ferramentas fazem sentido em cenários onde o risco agregado ao titular é alto, como por exemplo no acesso a contas bancárias em caixas eletrônicos de instituições financeiras. Ao passo em que os riscos de um acesso indevido são altamente prejudiciais aos titulares, justifica-se a implementação de medidas robustas de autenticação baseadas em reconhecimento biométrico. Por outro lado, ao se realizar o mesmo exercício para o controle de acesso a estabelecimentos públicos ou privados cotidianos, como academias de ginástica, edifícios corporativos, condomínio de apartamentos etc., os excessos tornam-se evidentes. Nestes casos, não é difícil vislumbrar que outras ferramentas mais simples podem ser mostrar tão ou até mais eficientes sem, contudo, acarretar o respectivo risco inerente aos titulares. Ou seja, não se mostra adequado utilizar meios intrusivos de controle de segurança para justificar situações essencialmente diversas em matéria de risco.
Além disso e ainda em referência aos princípios da LGPD, se vê também constante violações aos critérios de transparência, especialmente no que se refere as informações disponibilizadas aos titulares acerca do tratamento de seus dados pessoais, sensíveis neste caso, para supostos fins de segurança. Na grande maioria das vezes não há aviso de privacidade disponíveis, os profissionais envolvidos diretamente no tratamento não têm conhecimento acerca das finalidades, modalidades e recursos utilizados, inviabilizando inclusive o exercício dos direitos previstos.
Portanto, diante da disseminação inadvertida de tais tecnologias por todo o país, concretizada e ainda em expansão, torna-se fundamental o papel da Autoridade Nacional de Proteção de Dados (ANPD) em relação tanto a orientar os agentes de tratamento do uso adequado de tais tecnologias, e os titulares sobre seus direitos, quanto em ações de fiscalização sobre tais práticas. O tratamento de dados sensíveis é e deve continuar sendo possível, todavia, de maneira adequada e em um modelo de gestão de risco, conforme idealizado inicialmente pelo marco legal.
[1] Art. 11, g: Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
