Opinião

Captura de imagens e LGPD: os cuidados que o controlador deve ter

Autor

  • Martha Leal

    é advogada especialista em proteção de dados pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlântico e pela Universidad Unini México pós-graduanda em Direito Digital pela Universidade de Brasília—IDP data protection officer ECPB pela Maastricht University certificada como data protection officer pela Exin e pela Fundação Getúlio Vargas do Rio de Janeiro e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD).

    View all posts

26 de maio de 2021, 19h22

Recentemente, o Poder Judiciário julgou procedente a ação civil pública proposta pelo Instituto Brasileiro de Defesa do Consumidor (Idec) contra a empresa concessionária da Linha 4 do Metrô de São Paulo S.A. pelo uso indevido de dados pessoais [1]. No caso específico, as imagens dos passageiros que utilizaram o serviço de transporte público.

Na decisão de primeiro grau, o julgador considerou a ausência de base legal justificadora do tratamento dos dados dos titulares, no caso o consentimento, bem como a ausência de transparência nas informações prestadas ao usuário por parte do controlador.

Mas, afinal, o que diz a nossa Lei Geral de Proteção de Dados (LGPD) a respeito dessa categoria de dados pessoais?

Inicialmente é importante registrar que a LGPD estabelece três tipos de dados pessoais, sendo esses os dados pessoais comuns e que se relacionam diretamente a uma pessoa, os dados anonimizados, aqueles que não tem potencial de identificação em razão de técnicas adotadas, e os dados sensíveis, incluindo-se nesta categoria, aqueles dados referentes a religião, raça, saúde, opinião política ou filosófica, vida sexual, genética e biometria, consoante o artigo 5, II, da LGPD [2].

Os dados sensíveis recebem tratamento diferenciado por representarem maior potencial de risco aos direitos dos titulares, pois conforme a sua utilização podem gerar práticas discriminatórias. E justamente por se tratar de categoria que exige uma camada maior de segurança por parte dos agentes de tratamento dos dados pessoais, a nossa legislação nacional sobre proteção de dados requer em seu artigo 11 o consentimento do titular ou do seu responsável legal, de forma peculiar e destacada para finalidades específicas a fim de legitimar o tratamento [3].

O tratamento dos dados sensíveis em caso da inexistência do consentimento é permitido em hipóteses excepcionais, tais como em caso de obrigação legal pelo controlador, exercício regular de direitos, proteção da vida, tutela da saúde e garantia da prevenção à fraude e à segurança do titular.

Conclui-se, por consequência, que a lei permite e até incentiva o uso da biometria, inclusive a facial, em determinadas situações, a exemplo das práticas de combate à fraude onde assegurar a identidade do contratante é de suma importância. Não resta dúvida de que o uso de imagens faciais por entidades públicas e privadas vem sendo cada vez mais utilizado, entretanto os seus limites estão sob intensos debates, levando-se em conta os riscos à privacidade do indivíduo.

Ao analisarmos o cenário da União Europeia, o reconhecimento facial é enquadrado como dado sensível somente nas hipóteses em que o objetivo seja a identificação do indivíduo de forma singular. A chave aqui é a identificação única do titular, fator que determinará se o dado coletado é ou não um dado especial, de acordo com o regulamento europeu [4].

O regulamento europeu é muito claro quando estabelece que o processamento do dado sensível requer o consentimento por parte do titular e o controlador não deverá condicionar os seus serviços à aceitação da biometria, devendo oferecer meios alternativos e que não envolvam os dados biométricos, sem restrição ou custo adicional [5].

Analisando os desafios impostos pela utilização de dados biométricos se constata que para o regulamento europeu nem todo o dado biométrico é sensível [6], só o sendo quando o seu processamento utilizar técnicas e finalidade para identificação do titular de dados. Já na Lei Geral de Proteção de Dados [7] o legislador não deixou espaço para maiores interpretações, uma vez que dados biométricos foram especificamente caracterizados como sendo sensíveis, atraindo por consequência as restrições impostas pelo artigo 11 do respectivo instrumento legal.

Ainda não há na legislação brasileira de proteção de dados a previsão da base legal do legítimo interesse para processamento de dados sensíveis, diferentemente do previsto no artigo 6, "f", do General Data Protection Regulation (GPDR) [8].

Por fim, retornando ao caso do uso de câmeras pela concessionária da Linha 4 de Metrô, restou evidente a utilização da captura de imagens sem a devida hipótese legal que autorizasse o processamento, no caso o consentimento do usuário, a inexistência de uma finalidade legítima, o indevido compartilhamento das imagens com terceiros para obtenção de vantagem econômica, ferindo assim a vedação imposta pelo artigo 11, parágrafo 3º, da LGPD [9], bem como, a ausência de uma via alternativa para os usuários que eventualmente não autorizassem o uso das suas imagens.

Resguardadas as peculiaridades no tratamento de dados pessoais sensíveis através da coleta de dados biométricos nas legislações europeia e nacional, é fato incontroverso que a sua utilização requer um exame minucioso por parte do controlador, investigando, caso a caso, a finalidade pretendida, a existência e enquadramento da hipótese legal autorizadora, além, é claro, da utilização de medidas técnicas imprescindíveis a garantir a segurança da informação.

 

[1] IDEC e InternetLab lançam guia para empresas usarem reconhecimento facial com responsabilidade. In: IDEC – Instituto Brasileiro de Defesa do Consumidor. 27 out. 2020. Disponível em: https://idec.org.br/release/idec-e-internetlab-lancam-guia-para-empresas-usarem-reconhecimento-facial-com. Acesso em: 06 jan. 2021.

[2] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 maio 2021.

[3] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 maio 2021.

[4] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 15 maio 2021.

[5] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, loc. cit.

[6] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, loc. Cit.

[7] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 maio 2021.

[8] GENERAL DATA PROTECTION REGULATION – GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 16 maio 2021.

[9] BRASIL, loc. cit.

Autores

  • é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD).

    Ver todos os posts

Tags:

Encontrou um erro? Avise nossa equipe!