A tecnologia biométrica está evoluindo rapidamente, mas quais são as implicações de privacidade e proteção de dados que os empregadores precisam considerar?
A biometria, em parceria com a inteligência artificial, está provocando enormes avanços e transformando a maneira como as organizações protegem seus negócios.
Enquanto a inteligência artificial tem se tornado comprovadamente mais precisa na detecção de falsificações, novos modelos de segurança estão sendo desenvolvidos – seja para melhor defesa de dispositivos contra ataques cibernéticos, seja para proteção de fraudes nos sistemas.
Neste contexto, globalmente, os dados biométricos são vistos como instrumentos cada vez mais importantes no gerenciamento de identidade, ajudando os países a reduzirem os riscos de fraude e integridade. Contudo, se a identidade de alguém for apropriada por outros, indevidamente, também poderá haver fraude.
Para coibir esse risco, a Europa está tentando conter a invasão de “inteligência artificial biométrica” com ações como: proibição da tecnologia de reconhecimento facial em locais públicos, emissão de alertas o uso de reconhecimento de emoções e restrição da tecnologia de impressão digital para tempo e presença.
Nos Estados Unidos, não há leis federais, mas os Estados criaram suas próprias legislações. Canadá, Brasil e África do Sul também estão entre os países que promulgaram leis de proteção de dados.
Carmen Dinnella, advogada associada da Baker Tilly na Itália, entende que muitas pessoas estão cientes dos benefícios da tecnologia biométrica, mas do ponto de vista legal, é preciso avaliar os riscos. “Há muitas vantagens na aplicação desse tipo de tecnologia, mas também são tecnologias muito perigosas”.
De acordo com Dinella, a violação da privacidade e proteção é um dos riscos existentes. Se os dados biométricos de uma pessoa forem usados por alguém mal intencionado, por exemplo, fica difícil depois provar que a responsabilidade por alguma infração não foi cometida pela pessoa cuja identidade foi apropriada. “Existem muitos riscos no uso desses tipos de dados”.
Privacidade: quando o consentimento não é consentimento?
Pelas normas do GDPR – General Data Protection Regulation – as organizações que segmentam ou coletam dados relacionados a pessoas na União Europeia devem seguir as orientações regulamentadas, mas os países podem adaptar leis específicas, desde que elas não estejam acima do Regulamento.
Segundo Giovanni Querzani, consultor jurídico da Baker Tilly na Itália, é necessária uma lei específica para o uso de dados biométricos dos funcionários – e é isso que está faltando. “Temos uma autoridade que é obrigada a definir essas medidas de garantia para usar dados biométricos, mas, no momento, não há regulamentações para as leis atuais sobre dados para as empresas”.
As dificuldades de utilização de dados biométricos na União Europeia foram confirmadas após uma ocorrência na cidade de Enna, na Sicília, em 2021, na qual a Autoridade Italiana de Proteção de Dados multou em 30 mil euros a Autoridade de Saúde Provincial pelo uso de um sistema de monitoramento de presença baseado no processamento de dados biométricos. A multa foi aplicada apesar dos funcionários fornecerem seu consentimento para o uso, conforme normativa estipulada pelo GDPR – General Data Protection Regulation.
Os funcionários consentiram em conceder o direito do empregador de processar dados biométricos, mas as autoridades italianas disseram que o consentimento não era válido devido à posição de sujeição dos funcionários. Neste caso, a Autoridade decidiu que existem outras formas de obter o mesmo resultado, menos invasivas.
Carmen Dinnella reforça que o consentimento precisa ser dado livremente e, para ser livre, os funcionários precisam ter a opção de não consentir.
Privacidade: Brasil abre portas para dados biométricos
Em todo o mundo, têm sido implementadas leis de proteção para regular como empresas e autoridades podem coletar, armazenar e usar todos os dados, incluindo os biométricos, para evitar que sejam roubados e explorados para fins comerciais.
Com base no GDPR europeu, a LGPD – Leis Geral de Proteção de Dados – contempla estruturas legais para o uso de dados pessoais de pessoas físicas, independentemente de onde o processador de dados esteja localizado.
O Brasil permite o uso de dados biométricos em determinadas circunstâncias relacionadas ao emprego, mas desde que seja com o pleno consentimento do empregado. Graziela Baffa, advogada especializada em privacidade de dados da Baker Tilly no Brasil, explica que os dados pessoais são sensíveis, por isso a necessidade de ter o consentimento para usar.
“Existem exceções em que o empregador pode usar dados biométricos em algumas circunstâncias para cumprir a lei”. Segundo ela, a legislação trabalhista brasileira permite a utilização de coleta de biometria para que o funcionário evite fraudes e comprove o horário que ele entra no prédio para iniciar seus serviços.
Para garantir que os dados pessoais sejam armazenados e usados com segurança, Graziela Baffa diz que o ônus é da empresa que coleta, com multas de até 50 milhões de reais em caso de descumprimento da lei.
“Se o indivíduo sentir que foi lesado de alguma forma porque seus dados biométricos foram roubados ou usados indevidamente, ele pode ir à Justiça e processar a empresa. Também é possível recorrer à ANPD (a Autoridade Nacional de Proteção de Dados, no Brasil) para que a situação seja resolvida”.
Antes de recorrer à Justiça e à ANPD, é possível, ainda, apresentar uma reclamação formal contra a empresa responsável pela coleta e uso dos dados, que tem 15 dias para responder.
“A empresa deve provar que seguiu todos os mecanismos de segurança e TI para proteger os dados e, se houver uma violação, será responsabilizada por isso”, pontua a advogada brasileira. Para Graziela, porém, o problema mais desafiador que as empresas enfrentam é uma questão que não pode ser regida: uma cultura de proteção de dados.
“Existem algumas empresas no Brasil que ainda não têm a cultura de proteção de dados. Vimos que as grandes empresas estão levando a lei de proteção de dados a sério no Brasil, mas as médias e pequenas empresas nem tanto”, finaliza.
