LGPD em foco: biometria é dado sensível?

A Lei Geral de Proteção de Dados (Lei Federal n° 13.709), aprovada em 2018, entrou em vigência há dois anos. Desde 2020, os procedimentos adotados para a coleta, o tratamento, armazenamento e compartilhamento de dados pessoais e dados sensíveis devem ser realizados em conformidade com os dispositivos da referida legislação. Por exemplo, uma empresa que aplica a biometria facial para validar a identidade do cliente, no momento do cadastro, deve utilizar uma solução tecnológica adequada à LGPD porque a biometria é dado sensível. 

Neste artigo, vamos abordar os aspectos gerais da LGPD e como tratar dados pessoais sensíveis na prevenção de fraudes.

Saiba mais sobre LGPD dados sensíveis!

O que são dados pessoais sensíveis de acordo com a LGPD?

Conforme a LGPD, os dados são classificados como: 

Dados pessoais

Pelo disposto na LGPD, os dados pessoais abrangem aquelas informações que costumam ser solicitadas para o preenchimento de um cadastro, por exemplo, tais como nome completo, data de nascimento, endereço, telefone, e-mail, filiação, gênero, RG, CPF, título de eleitor, número do Seguro Social, entre outras.  

Dados pessoais sensíveis

Abrangem informações sobre cor da pele, origem étnica, religião, filiação partidária e/ou sindical, convicções políticas, filosóficas, antecedentes criminais, dados biométricos, entre outras que possam ser utilizadas de maneira desfavorável, preconceituosa, discriminatória, em assédio moral, gerar dano moral, entre outras situações negativas para a pessoa titular dos dados. Portanto, as empresas precisam adequar a gestão e o gerenciamento de bancos de dados aos princípios e dispositivos da LGPD.

Dados pessoais anonimizados

Segundo a LGPD, o dado anonimizado é aquele que não pode ser associado, direta ou indiretamente, a uma pessoa específica. Na prática, significa que os dados anonimizados impossibilitam revelar a identidade de uma pessoa que participou, por exemplo, de uma pesquisa eleitoral ou estudo científico. Outra situação prática: uma empresa pode usar um banco de dados anonimizado (excluindo dados pessoais) para análises estatísticas. 

Para facilitar o entendimento sobre a diferença entre dados pessoais e dados pessoais sensíveis na LGPD, veja o exemplo: 

Uma empresa abre um processo seletivo para contratar três recepcionistas. No formulário de inscrição, além de fornecer as informações de praxe como nome completo, RG, CPF e formação educacional, há campos referentes a dados pessoais sensíveis como gravidez, cor da pele e orientação sexual, que devem ser informados pelos candidatos.  

Os dados pessoais são necessários para identificar cada candidato, contudo, os dados pessoais sensíveis podem ser utilizados como um “filtro” para, por exemplo, descartar a inscrição de uma candidata grávida, uma pessoa negra ou transgênero, independentemente da qualidade de seus currículos e experiência profissional. Ou seja, por falta de entendimento sobre LGPD dados sensíveis, a empresa não se atentou ao princípio da não discriminação, previsto nesta lei. 

A LGPD estabelece sanções administrativas como, por exemplo, multa de até 2% do faturamento anual da empresa por cada infração. Apesar disso, até maio deste ano, segundo o portal LGPD Brasil, somente 16% das empresas brasileiras haviam se adequado à legislação. 

Segundo a pesquisa “Privacidade e Proteção de Dados Pessoais”, realizada pelo Comitê Gestor da Internet no Brasil, em 2021, apenas 23% das organizações – públicas e privadas – têm áreas que trabalham especificamente para garantir a proteção de dados de seus usuários. 

Quais são os dados biométricos? 

A biometria é uma tecnologia que possibilita realizar o estudo estatístico das características físicas e comportamentais de cada pessoa. Os dados biométricos são exclusivos de cada indivíduo e, por isso, proporcionam maior assertividade e segurança à validação e autenticação da identidade. 

A biometria mais conhecida é a impressão digital. Ela é aplicada, há tempos, à expedição do RG, CNH, passaporte, título de eleitor, entre outros procedimentos. Além do tratamento das impressões digitais, também é possível coletar, processar e armazenar os dados biométricos da face, olhos (retina e íris) e da voz. 

A biometria facial, por exemplo, é uma das tecnologias que vem sendo adotada por empresas de todos os segmentos com a finalidade de prevenir possíveis tentativas de fraude de identidade em processos cadastrais e transacionais, além de melhorar a experiência de seus clientes no atendimento digital e/ou omnichannel (online e na loja física). 

Na biometria facial, são processados cerca de 80 pontos nodais do rosto para gerar a impressão facial, combinada com dados pessoais (CPF, por exemplo). Entre os dados biométricos coletados pela ferramenta de biometria facial podemos citar como exemplos a distância entre os olhos, os formatos do nariz, boca e bochechas. 

Esse tipo de cadastro biométrico torna possível o reconhecimento facial em várias situações, como o check-in no aeroporto, pagamento com a face, prevenção à fraude de identidade em transações online, entre outras operações autenticadas por biometria facial.  

Como tratar dados pessoais sensíveis na prevenção à fraude?

A LGPD, como explicamos, classifica os dados biométricos como dados sensíveis, portanto, a biometria facial é considerada um dado sensível. Ao definir o que são dados pessoais sensíveis, a LGPD estabelece que o titular ou responsável legal deve consentir o tratamento de dados para finalidades específicas. Contudo, pela lei, o tratamento de dados sensíveis também pode ser realizado sem o consentimento do titular ou responsável legal nas seguintes situações:

• Cumprimento de obrigação legal e/ou regulatória por parte do agente controlador;
• Compartilhamento de dados para a execução de políticas públicas, previstas em lei;
• Em pesquisas, desde que seja possível garantir a anonimização de dados pessoais;
• Para garantir a prevenção à fraude e à segurança do titular, em procedimentos de identificação e autenticação do cadastro em sistemas eletrônicos;
• Entre outras condições previstas na LGPD dados sensíveis. 

Para tratar dados pessoais sensíveis como a biometria facial, na prevenção a fraudes, é essencial ainda observar os princípios da LGPD: 

1. Finalidade

Informar o usuário, com transparência e clareza, sobre o motivo do tratamento de dados. 

2. Adequação

O tratamento de dados deve ser realizado em conformidade com o que foi consentido pelo usuário e a finalidade inicial do procedimento.  

3. Necessidade

No início do processo, deve-se especificar por que o tratamento de dados é necessário.

4. Acesso livre

Disponibilizar, ao titular ou responsável legal, acesso livre aos dados processados, além de providenciar as alterações solicitadas pelo usuário. 

5. Qualidade

Os dados coletados e tratados devem ser precisos e atualizados, conforme a necessidade do tratamento. 

6. Transparência 

As informações sobre o tratamento de dados devem ser disponibilizadas com transparência, objetividade e acessibilidade ao usuário.  

7. Segurança 

A tecnologia adotada para o tratamento de dados deve garantir segurança ao procedimento, além de bloquear possíveis tentativas de fraude e outras ocorrências que comprometam a proteção de dados e privacidade dos usuários. 

8. Prevenção 

É necessário definir um plano para prevenir ataques cibernéticos, vazamentos de dados, fraudes de identidade, entre outras ocorrências negativas.

9. Não discriminação 

Os dados pessoais sensíveis não podem ser tratados de maneira discriminatória, abusiva ou ilícita. 

10. Responsabilização e prestação de contas 

A política de tratamento de dados deve estar de acordo com os dispositivos da LGPD, para evitar multas e outras penalidades previstas em lei.

Conclusão 

De maneira resumida, podemos dizer que uma solução tecnológica, focada em biometria facial, para validar e autenticar identidades, deve estar totalmente adequada à LGPD para que o tratamento de dados seja realizado com segurança e transparência. É indispensável, na maioria das situações, obter o consentimento do usuário, explicar a finalidade e necessidade do tratamento de dados, por quanto tempo as informações ficarão armazenadas no banco de dados. 

Com uma ferramenta avançada de biometria facial e processos alinhados a esta legislação, é possível proporcionar uma experiência positiva ao usuário e, ao mesmo tempo, blindar os bancos de dados contra as tentativas de fraudes de identidade, sem gerar fricção ao usuário. 

A biometria é dado sensível, mas também é uma forte aliada à gestão e ao gerenciamento de bancos de dados públicos e privados. Com uma solução completa de identidade digital, focada em biometria facial, a empresa aumenta a proteção aos dados e privacidade dos usuários, além de reduzir os riscos de perdas financeiras decorrentes de fraudes de identidade.  

Para saber como a biometria facial funciona e como esta tecnologia ajuda a gerar cadastros de qualidade e transações digitais mais seguras, acesse o site do Unico Check.