A LGPD classifica os dados biométricos como dados pessoais sensíveis, ou seja sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Os dados usados para o reconhecimento facial, o template, mesmo que não permitam reconstituir o rosto original entram nesta categoria. Com o seu uso é possível identificar a pessoa. Os registros de acesso e outras informações associadas aos indivíduos reconhecidos são dados protegidos pela lei também.
Ainda segundo a lei, esse tipo de dado pode ser tratado sem que haja consentimento do titular. Porém, é necessário informar a existência da coleta, quem é o responsável por ela e sua finalidade. E para que os dados não sejam considerados pessoais pela lei, o processo de anonimização também deve ser comprovadamente irreversível.
Um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado – se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.
A pessoa natural ou jurídica responsável pelas decisões de tratamento, denominado controlador pela lei, deve providenciar as medidas técnicas, administrativas e jurídicas para que estes direitos sejam exercidos. Além de ser responsável pela segurança dos dados e a prevenção dos riscos que possam ocorrer aos seus titulares em consequência de vazamentos ou uso ilegítimo.
Ha-necessidade de se deixar claro o balanceamento entre a necessidade da coleta do dado biométrico e a necessidade do tratamento. Por quanto tempo serão armazenadas as imagens e como serão descartadas? Independentemente do consentimento ou não, o tratamento de dados biométricos deve ser feito mediante aviso prévio, as imagens dever ser tratadas dentre padrões de segurança da informação, não podendo haver desvio da finalidade do tratamento.
Via de regra, o tratamento de dado pessoal sensível é possível desde que o titular do dado manifeste seu consentimento (autorização) para o uso de uma finalidade — o que seria impossível em um ambiente como o de shopping center.
Entretanto, conforme artigo 11, II, alínea “e”, da LGPD, há dispensa do consentimento para tais imagens/filmagens desde que para a finalidade de proteção da vida, integridade física do titular do dado ou de terceiros, mas o uso dessas imagens deve cumprir estritamente esta finalidade. Assim, não podem ser utilizadas para qualquer outra destinação ou finalidade, como, por exemplo, monitorar a atividade do cliente dentro do shopping e/ou utilização para análise de ações de marketing.
Passamos para uma zona cinzenta quando houver uma parceria com poder público, para que o shopping tenha acesso a um banco de dados de imagens de procurados pela polícia, para que os dados biométricos coletados imagem do cliente sejam utilizados para checagem. Isso porque as imagens estão sendo utilizadas para a finalidade de segurança pública que estão dispensadas da aplicação da LGPD, porém capturadas por uma empresa privada — que está obrigada à LGPD.
O nível de adequação aos requisitos da lei, com a aplicação das medidas de proteção cabíveis, e o grau respeito aos direitos dos titulares com certeza serão fatores de peso nesta decisão.
A terceirização de serviços de tratamento, é prevista na lei, na forma do operador do tratamento de dados. As responsabilidades do controlador e do operador são definidas na lei e ambos podem responder solidariamente em casos de infrações.
A ANPD (Autoridade Nacional de Proteção de dados) começará a aplicar multas e sanções somente a partir de Agosto 2021. Na lei estão previstas sanções, que incluem multa de 2% do faturamento, limitada a R$ 50 milhões e bloqueio do uso dos dados. A aplicação das sanções pelas autoridades, como no caso de outras leis, dependerá naturalmente da infração e das condições em que vier a ocorrer. Dependendo do incidente e de suas consequências, podem haver também medidas no âmbito civil e penal, decorrentes de que a Constituição Federal, o Código Civil e o Código Penal contêm em seus artigos dispositivos de proteção à privacidade
Em resumo, a utilização de imagens e o reconhecimento facial devem ser utilizados com finalidades muito bem definidas, específicas e limitadas, respeitando-se os direitos dos titulares dos dados pessoais, sendo possível minimizar riscos através de uma governança de dados transparente e com os mais altos níveis de segurança da informação.
