Considerado um marco decisivo na proteção de dados pessoais que trafegam nos ambientes virtuais, a Lei Geral de Proteção de Dados (LGPD) trouxe muitas dúvidas com relação ao tratamento que receberão nossas informações privadas e individuais a partir de sua entrada em vigor. Neste post, falaremos mais sobre o que a lei prevê para a identificação biométrica.
Antes, uma rápida observação: ainda não há informações precisas sobre a entrada em vigor da lei. Na movimentação mais recente, o Senado dividiu a vigência do texto em dois tempos: a norma voltaria a vigorar a partir de agosto de 2020, mas as sanções só valeriam a partir de agosto de 2021. A alteração aguarda posicionamento presidencial. Portanto, é bom ficar atento às próximas movimentações.
Lei Geral de Proteção de Dados e a biometria
De todo modo, o texto da lei permanece o mesmo e trata as informações biométricas como dados pessoais sensíveis, assim com as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual ou dado genético.
Naturalmente, nos vem a pergunta: dados pessoais sensíveis podem ser tratados?
Aí cabe uma nova explicação sobre o que é tratamento, no texto da lei geral de proteção de dados. Segundo a matéria, tratamento é toda operação realizada com os dados pessoais, o que inclui coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração da informação.
Voltando à nossa questão, os dados pessoais sensíveis (como é o caso da biometria) só podem receber algum tipo de tratamento em situações muito específicas:
- Quando o titular consentir;
- Ou quando o titular não consentir, nos seguintes casos;
- Cumprimento de obrigação legal;
- Tratamento compartilhado de dados para efetivação de políticas públicas;
- Realização de pesquisas, com garantia da anonimização;
- Proteção da vida do titular ou de terceiros;
- Tutela da saúde;
- Garantia de proteção contra fraudes ou atentados à segurança do titular.
Em outras palavras, apenas em circunstâncias muito claras a biometria poderá receber algum tipo de tratamento, o que suscita dúvidas sobre os mecanismos de segurança e o grau de confiabilidade dos dispositivos que se valem da identificação por meio de características biométricas.
Ou seja, a imagem da impressão digital, da íris, do rosto ou qualquer outra especificidade não poderão ultrapassar os fins a que se destinam.
A boa notícia é que os dispositivos de captação dessas imagens não trabalham com a biometria em si, mas com com um código que essa imagem gera.
Quando o usuário coloca o dedo e um dispositivo de controle de acesso, por exemplo, essa imagem é criptografada e transformada em um código hash – algoritmo que garante sua autenticidade sem revelar os dados.
Na Control iD, líder no mercado em marcadores de ponto digitais e dispositivos de controle de acesso, os códigos são desenvolvidos pelo fornecedor do algoritmo, a Innovatrics, que tem total garantia de segurança, confiabilidade e sigilo dos dados.
Estes códigos são salvos em um banco de dados separado do restante das informações, de modo que a biometria – um dado pessoal sensível – segue inviolada, conforme preconiza a Lei Geral de Proteção de Dados (LGPD).