Adequação de coleta de dados biométricos em aplicativos bancários

A coleta de dados biométricos, especialmente na modalidade facial, vem ganhando relevância em diversas iniciativas nos setores público e privado.  Com o avanço tecnológico e a ampliação dos cenários de vulnerabilidades, golpes e hackeamentos, os modelos de biometria facial aparecem como uma solução para aumentar o nível de segurança, evitando todo tipo de golpe e fraude. Mas será que isso é uma verdade em si? E quais as medidas para a adequada implementação dessas tecnologias?

Num contexto em que diversas Casas Legislativas propõem o banimento da tecnologia, especialmente na segurança pública, avaliar os trade-offs do tema é questão central a afetar o planejamento de empresas e empreendedores que buscam implementar este tipo de solução em seus negócios.

Afinal, o que é o reconhecimento facial (biometria)? A tecnologia funciona a partir da coleta massiva de dados dos rostos de pessoas, com a categorização, verificação e identificação da pessoa natural dos elementos biométricos como formato do rosto, cor dos cabelos, olhos, entre outros. Dentre as vantagens alegadas para o uso da tecnologia estão, como dito, o aumento da segurança e, ainda, a maior precisão e integração dos diversos tipos de aplicações utilizadas por empresas, pequenos negócios, condomínios etc.

Para o que nos interessa agora: muitos aplicativos de internet banking têm implementado, de forma compulsória, sistemas de cadastramento de biometria facial, sob pena de não garantir a segurança do uso do aplicativo. Se o consumidor não cadastrar a sua biometria, terá que enviar uma foto do seu rosto junto a um documento oficial – ou seja, produzir o mesmo dado qualitativo de reconhecimento facial. No caso de recusa em cadastrar a face na API e após envio da foto, a requisição de cadastramento é suspensa e renovada em seis meses.

A maioria das solicitações feitas pelos agentes bancários, entretanto, não parece vir acompanhada dos deveres exigidos conforme a LGPD e o CDC, o que abre espaço para futuras responsabilizações em caso de danos de natureza moral, com base em falsos positivos e coleta fora dos princípios legais.

Quais seriam os deveres exigidos na lei?  Em não se tratando de matéria de segurança pública, não se pode pensar na excludente de juridicidade posta no artigo 4º, III, a, da LGPD. Como regra especial, ela obriga ao necessário resguardo sobre os dados pessoais tratados nesse tipo de aplicação, por se classificar como dado pessoal sensível, conforme seu artigo 5º, inciso II.

Os dados coletados pelos referidos sistemas são de natureza sensível, em virtude de poderem ser relacionados a um indivíduo natural identificado ou identificável e também criar situações de vulnerabildiade, discriminação e insegurança dos titulares, ou seja, é um dado que vai além da indicação da pessoa física, possuindo a particularidade de poder ensejar uma diferenciação entre indivíduos, uma vez que indicam, por exemplo, a origem racial, orientação sexual, convicções políticas e religiosas. 

Quais as hipóteses de tratamento aplicáveis? Especificamente, há uma hipótese de tratamento posta no artigo 11, II, g, de modo a permitir a realização da atividade sem a coleta do consentimento expresso (combate à fraude) — para além dessa hipótese, apenas com o consentimento, conforme orientações da ANPD.

O problema poderia ser melhor endereçado se os elementos básicos da legislação estivessem implementados. Obrigações básicas de conformidade do tratamento, como a transparência na coleta de dados e informe em linguagem acessível sobre os riscos da tecnologia não são apresentados de pronto nas aplicações.

Há, portanto, ofensa aos direitos descritos no artigo 9º, da LGPD (finalidade específica, tempo de duração do tratamento, informações da controladoria, compartilhamento, entre outros). O enquadramento da questão, a partir dos riscos atuais da tecnologia, precisam ser levados em conta, também, por eventual ofensa ao artigo 6º, da LGPD.

Para além disso, conforme pesquisas recentes, o reconhecimento facial tem a tendência a gerar conclusões enviesadas contra grupos que já são vulneráveis socialmente. A própria classificação dos dados, realizada previamente, é contestada em diversos estudos de especialistas por todo o mundo, tudo isso acontecendo sem a devida informação ao consumidor ou agente público que contrata tal tipo de serviço ou adquire tal solução em forma de aplicação.

E onde fica o CDC? A arbitrariedade da solicitação presente nos apps de banco necessita ser observada levando em consideração, também, a perspectiva do Código do Consumidor. Trata-se, na maioria dos casos, de uma relação de consumo entre o fornecedor, no caso os próprios bancos, usualmente controladores de dados pessoais, e os consumidores.

A partir da configuração da relação de consumo, é preciso ponderar que a disposição que obriga o uso do reconhecimento facial, sem o preenchimento das obrigações inerentes à coleta de consentimento ou base excepcional, converte-se em ilícito em sentido largo: a não garantia dos direitos postos no artigo 6º, do CDC, gera uma possível falha na prestação de serviço. E nunca é demais lembrar: tal ilícito ocorre em diálogo com a LGPD, num contexto de responsabilização objetiva e solidária.

O diploma consumerista veda, ademais, a colocação, no mercado de consumo, de produto ou serviço que sabe ou deveria saber apresentar alto grau de nocividade ou periculosidade à saúde ou segurança – é o caso de tecnologia cuja eficácia e externalidades oriundas do uso estão sob disputa.

O comportamento, para além do ilícito, poderá ensejar discussão de uma eventual cláusula adesiva que esteja, por comando expresso da lei, em situação de abusividade e cuja sanção seja a nulidade. Tudo que advém de uma cláusula abusiva pode vir a causar dano, fático e jurídico, ao consumidor. Tal situação enseja a responsabilização e indenização em casos concretos — como os ocorridos nas referências já citadas.

Ainda mais, a partir do fato de que os dados obtidos com o reconhecimento facial são classificados como pessoais sensíveis, o consumidor que é submetido a essa ferramenta é parte mais vulnerável da relação, podendo o tratamento indevido desses dados trazer ofensa direta ao direito fundamental à proteção de dados.

Paralelo a isso, evidencia-se que as empresas se beneficiam de tal sistema, uma vez que podem lucrar com a captação desses dados, em virtude de muitos modelos de negócio se fundamentarem nessa extração de informações sobre as particularidades dos clientes. O benefício deve vir acompanhado, num planejamento de produto e governança, do mapeamento dos deveres e do adimplemento com as obrigações referentes à proteção da privacidade e inviolabilidade dos dados pessoais.

Isso posto, quando um aplicativo bancário se utilizar do reconhecimento facial, o processamento desses dados deve ocorrer a partir de uma autorização, possivelmente pelo consentimento e, ainda, sinalizar de forma transparente os dados coletados, a finalidade, os riscos e as medidas mitigatórias, sendo imprescindível que o cidadão possa ter um controle sobre tal tratamento, conforme princípio da autodeterminação informativa.

Em conclusão, compreende-se que a imposição do reconhecimento facial por parte de bancos, em seus apps de internet banking, pode configurar uma situação de abusividade contratual, em cláusula de adesão não amparada pelo ordenamento jurídico brasileiro.

A medida, ao mesmo tempo que não tem consenso efetivo da comunidade técnica e acadêmica sobre sua acurácia, também traz uma série de externalidades negativas que já são de amplo conhecimento, devendo ser devidamente planejada pelos seus implementadores e desenvolvedores.