LGPD e o tratamento das biometrias: como manter a segurança da empresa sem ter problemas com a nova lei? Por Erico Santos
14 de maio de 2020Como lidar com este novo paradigma da LGPD, que contraria os princípios de segurança que aplicados até então em prol da privacidade?
Por Erico Santos
A utilização de validação biométrica se tornou uma comodidade do cotidiano, celulares desbloqueiam ao toque da impressão digital ou com uma rápida análise da face do proprietário, nas empresas, uma das formas mais práticas e comuns para registro do ponto dos funcionários é com a impressão digital, que traz comodidade para os colaboradores e segurança para o empregadores.
Mas a utilização destas identificações também podem estar sob a mira da LGPD, afinal, informações biométricas podem identificar individualmente uma pessoa e são consideradas como dados pessoais sensíveis.
A evolução tecnológica e suas comodidades
A popularização das tecnologias de reconhecimento biométrico criou uma nova forma de nos relacionarmos com a tecnologia, assistentes por voz e reconhecimentos autônomos baseados em características biométricas têm crescido enquanto as famigeradas senhas estão cada vez mais perdendo seu espaço, mesmo nos locais tradicionalmente analógicos como os cartórios, o reconhecimento facial e a impressão digital tratados através de softwares são usados para ampliar a confiabilidade das autenticações.
De fato, o reconhecimento biométrico apresenta confiabilidade superior aos métodos tradicionais de autenticação como senhas, cartões ou assinaturas (que de certa forma podem ser consideradas autenticações biométricas) e quanto menos invasiva a tecnologia, mais ela chama atenção.
Não é por acaso que o reconhecimento facial ganhou tanta relevância no cenário de segurança: não há nada mais prático e tecnológico do que poder acessar seu celular, computador, abrir uma porta ou até realizar transações através de uma rápida análise do seu rosto por um dispositivo, é o fim de senhas esquecidas, cartões perdidos ou até do “posicione seu polegar direito sobre a luz e aguarde 3 segundos”.
Com o reconhecimento facial, câmeras e softwares especializados podem reconhecer uma dentre milhões de pessoas cadastradas em frações de segundo, seu rosto passou a ser a sua assinatura digital, mesmo que extraoficialmente.
Mas esta comodidade também gera dúvidas e alguns medos, por exemplo, quem garante que a privacidade do indivíduo será respeitada? O que qualquer empresa é capaz de fazer reconhecendo pessoas em vídeos ou fotografias?
Mapear pessoas e gostos é um negócio muito lucrativo
Não é nenhuma surpresa que somos seres altamente sociais e buscamos inconscientemente fazer parte de grupos, isto é uma herança genética que nos fez atravessar muitos períodos de evolução através da cooperação.
Companhias especializadas em medir, classificar e direcionar conteúdo específico utilizam nossa necessidade instintiva de fazer parte de grupos e ser aceito como um “ponto fraco” para promover produtos ou ideias, nos fazendo acreditar que os grupos aos quais participamos compactuam e acreditam nelas, desta forma, conseguem induzir uma grande massa de pessoas através de dados disponíveis, que muitas vezes foram compartilhados publicamente ou comprados de empresas onde estas pessoas se cadastraram.
Estas empresas normalmente utilizam técnicas de neurociência, e costumam utilizar os nossos dados e os dados de nossos amigos mais próximos para sugestionar desde a marca de tênis que vamos comprar, até na escolha do próximo presidente, com base nas convicções que nós e o grupo ao qual pertencemos deixam expostos em redes sociais ou os sites que visitamos.
E mesmo quando estamos fora da internet, algoritmos de leitura de expressões faciais são utilizados em lojas para saber qual é o produto na vitrine que mais chamou atenção, às reações da multidão durante um discurso político e também para ligar uma pessoa aos seus demais amigos, através de fotografias ou vídeos em que aparecem.
Alguns especialistas utilizam o termo “ditadura digital” para descrever este fenômeno, que já é tema de diversos artigos e livros publicados.
A manipulação destes dados, além de ser um comércio muito lucrativo é encarado como uma ameaça à livre escolha e à privacidade, uma vez que sugestiona uma grande quantidade de pessoas a seguirem determinada ideologia a partir de características que elas próprias desconhecem ou não possuem pleno controle.
Quando algo sem controle passa a ser utilizado de forma inadequada, a regulação e segurança pode ser o melhor caminho
Com base nos relatos de uso de estratégias de neuromarketing em campanhas políticas dentro e fora do país, na crescente discussão sobre a proteção à privacidade e por entender que a ela é um direito fundamental do cidadão, o governo brasileiro seguiu o mesmo caminho de outros países do mundo que adotaram políticas rígidas para o tratamento de informações pessoais de seus cidadãos apresentou e aprovou a lei geral de proteção de dados pessoais (LGPD).
Prevista para vigorar a partir de 16 de agosto de 2020 e postergada para 15 de agosto de 2022, a LGPD regula as atividades de tratamento de dados pessoais, e coloca o Brasil em um grupo de países que possuem leis específicas para proteção à privacidade dos dados de seus cidadãos. Esta lei tem a intenção de regular o tratamento, coibir práticas de comercialização e principalmente, garantir o direito à privacidade dos dados pessoais coletados ou utilizados por empresas.
Se o problema é o que está exposto, principalmente em redes sociais, por que todas as empresas foram sujeitas à LGPD?
Quanto mais informações as empresas de neuromarketing possuem sobre o grupo ou classe que pretendem atuar, mais forte pode ser a sua atuação. Desta forma, desde conhecer os produtos que você pesquisou em um site de compras até saber qual o seu salário, a empresa ou área você atua profissionalmente, os locais que visita, os cursos que você frequentou até as suas reações frente a uma vitrine podem ser insumos importantes para classificar, sugestionar ou direcionar anúncios e publicações personalizadas.
Informações como seu nome, sua fotografia ou suas informações biométricas podem ser a chave para ligação do seu cadastro com as demais informações no banco de dados. Com tantas informações espalhadas por toda a parte, uma lei direcionada para um segmento específico não traria reais ganhos à sociedade, por isso, a LGPD tratou genericamente todo tratamento de dado pessoal realizado, tratando ao assunto de forma ampla.
A lei traz boas práticas e obrigações, dividindo os dados em dados sensíveis ou não, regulando o tratamento destes dados, mas não impedindo o progresso tecnológico, possui tratamentos específicos para setores de governo, segurança pública, instituições de pesquisa e saúde, atendimento a normas regulatórias e obrigações legais e tendo especial cuidado aos itens específicos para garantir a privacidade e a liberdade dos proprietários dos dados.
Dados biométricos como reconhecimento facial, são considerados dados pessoais sensíveis, portanto, possuem tratamento especial para sua segurança
Tecnicamente, quando falamos de impressões digitais, as informações armazenadas para reconhecimento biométrico são normalmente proprietárias, ou seja, informações coletadas pelo “fabricante A” não conseguem ser reaproveitadas pelo “fabricante B”, salvo em casos onde há uma parceria entre estes fabricantes.
Isso acontece porque o dado normalmente é coletado por um sensor específico, os pontos de reconhecimento são analisados, tratados pelas tecnologias proprietárias e o dado é armazenado em texto, a mesma digital coletada por fabricantes diferentes gerará dados distintos, pois o tratamento é diferente. Neste caso, a digital só pode ser reutilizada por empresas que possuam o mesmo fabricante.
Quando falamos de reconhecimento facial, apesar da base tecnológica utilizar os mesmos princípios de medição da distância entre pontos específicos (chamados pontos nodais), a imensa maioria dos desenvolvedores tem utilizando como base para desenvolvimento tecnologias disponibilizadas pelos mesmo fornecedores, como Facebook, Amazon ou IBM.
E além disso, diferente das impressões digitais, é comum o armazenamento da fotografia além do texto proveniente do tratamento realizado, possibilitando releitura através de outra tecnologia.
Desta forma, temos uma probabilidade muito maior no que tange à possibilidade de reaproveitamento dos dados entre fabricantes ou entre empresas distintas.
Os dados biométricos e genéticos são tratados pela LGPD como dados pessoais sensíveis, pois podem ser utilizados para classificar grupos de indivíduos ou reconhece-los individualmente. Uma fotografia, por exemplo, é muito mais sensível que o nome da pessoa no que tange tanto à identificação individual quanto à classificação do indivíduo em gênero ou etnia.
Se os dados biométricos são tão sensíveis, como garantir o atendimento da LGPD sem abrir mão da segurança que estes dados proveem?
O principal objetivo da LGPD é garantir que os dados coletados sejam utilizados para “interesses legítimos”, unicamente para o objetivo ao qual foram inicialmente destinados, por exemplo, uma empresa de transporte coletivo pode coletar a fotografia dos usuários e utilizá-la para reconhecimento dentro de seus veículos, desde que informe esta finalidade no momento do cadastro.
Mas de maneira alguma pode compartilhar estes dados com uma empresa de publicidade que atuará dentro dos veículos com finalidade comercial (a não ser que esta finalidade também esteja prevista no momento do cadastro e o usuário concorde) isso garante que os dados não sejam utilizados para atividades que não foram autorizadas pelo titular.
Existem algumas situações previstas na lei que possibilitam a coleta e o tratamento dos dados sensíveis, em casos específicos como: garantia da segurança e incolumidade física, garantia ao titular contra fraudes, em procedimentos específicos de saúde, cumprimento de obrigações legais ou regulatórias, legítimo interesse e o uso por órgãos de pesquisa (desde que anonimizados). Para todas as demais situações, será necessário consentimento para coleta e tratamento destas informações.
Assim sendo, tendo em vista que a principal função das portarias de prédios ou empresas quanto à coleta de dados biométricos é a proteção dos indivíduos que moram ou trabalham naquele local, podemos afirmar que esta coleta possui legitimidade assegurada pela lei, pois enquadra-se na proteção da vida e da incolumidade física do titular ou de terceiros que estão neste local.
O mesmo vale para utilização da tecnologia para prevenção à fraude e à segurança do titular, por exemplo, em um cadastro que será utilizado exclusivamente para reconhecer o cliente nos caixas eletrônicos de um banco, não sendo necessário nestes casos solicitar consentimento explícito do para coleta dos dados.
Agora, se a empresa utilizar estes mesmos dados biométricos coletados para, por exemplo, identificar este cliente dentro do estabelecimento, enviando sugestões aos vendedores sobre as últimas compras, pode ser necessário coletar o consentimento explícito. Nestes casos, a lei solicita tratamento especial dos dados, clarificando por quanto tempo ficará armazenado, e podendo ser excluído a qualquer tempo, mediante solicitação do titular.
Atenção! Mesmo nos casos onde a coleta dos dados sensíveis está prevista em lei, as demais responsabilidades de segurança devem ser seguidas, sedo flexibilizada apenas a necessidade de consentimento explícito para a utilização. Abaixo, que daremos algumas dicas abaixo sobre como se preparar para atender a tais requisitos.
A LGPD vem aí, esteja preparado para os seus requisitos:
Atender a nova lei exigirá investimento na segurança e transparência do tratamento dos dados, é necessário revisar todos os processos que possuem ligação com o tratamento das informações pessoais, entender quais são coletadas, para que são utilizadas e se são realmente necessárias.
Depois, documentar estes processos e deixar claros os pontos de tratamento, treinar todas as pessoas que manipulam estes dados e manter os locais que os armazenam seguros, além de nomear um responsável por todos os dados, que poderá ser acionado pelos titulares dos dados ou pela autoridade nacional.
A LGPD tem algumas exigências que merecem atenção especializada, mas para não ser pego de surpresa, você deve:
•Verificar todos os processos que utilizam os dados pessoais, tanto dos visitantes quanto dos empregados, terceiros e parceiros, ou seja, de todas as pessoas cadastradas;
•Verificar se todos estes processos realmente necessitam acesso a estes dados, por quanto tempo e por que motivo;
•Descrever de forma clara, para cada um destes grupos, quais os dados necessários, por quanto tempo serão mantidos e com qual objetivo;
•Adotar medidas de proteção dos dados, isso inclui: disponibilização dos dados pessoais única e exclusivamente às pessoas autorizadas e devidamente instruídas (operadores) e implantação e manutenção de mecanismos eletrônicos e físicos de proteção aos dados coletados e armazenados;
•Nomear e declarar publicamente o responsável (encarregado) por implantar, comunicar todos os operadores e receber todas as possíveis reclamações dos titulares dos dados e da autoridade nacional;
•Possuir um relatório que possibilite listar quais as informações pessoais estão armazenados, possibilitando inclusive a exportação;
•Manter todas estas informações organizadas, pois elas podem ser requeridas pela autoridade nacional em forma de relatório.
O titular dos dados pode se negar a fornecer seus dados pessoais?
Mesmo com a adoção de políticas de segurança, o proprietário dos dados pode simplesmente negar à cessão dos dados, neste caso, o que vale é o bom senso. A ausência de conhecimento da lei, pode deixar subentendido a obrigatoriedade do visitante no fornecimento de seus dados ou a disponibilidade para captura de uma foto na portaria de uma empresa ou prédio, por exemplo.
A LGPD clarifica que os dados coletados devem ser utilizados única e exclusivamente para o objetivo ao qual são destinados, e é muito clara a relação entre a necessidade de cadastro de um visitante em um ambiente ao qual é um desconhecido com o controle da segurança deste local, portanto, e recusa de fornecimento destes dados pode sim resultar na não autorização de seu acesso.
Cabe ressaltar novamente o bom senso, uma coisa é impedir um visitante de entrar em sua empresa por não fornecer os dados pessoais, outra seria impedi-lo de realizar a compra de um produto por não querer cadastrar sua fotografia ou recusar-se a aceitar um termo que não deixe claro para que e por quanto tempo seus dados serão utilizados.
Por isso, muito cuidado na criação dos termos e políticas de uso: eles devem conter exatamente os tratamentos que a empresa fará com os dados, e não pode conter termos genéricos como “tratamentos diversos” ou “compartilhamento com terceiros” pois poderá ser considerado inválido ou resultar em ampla recusa de colaboração.
Apesar de causar certo desconforto no começo, a LGPD baseou-se em leis internacionais e possui ampla aprovação dos especialistas, doutrinando, mas não impedindo o tratamento dos dados, e considerando boas práticas de segurança para evitar danos aos titulares dos dados pessoais, o que certamente nos fará enxergar de forma mais responsável o tratamento das informações que deixamos disponíveis e assim, certamente trará muito mais segurança a cada um de nós, cidadãos.
Tecnologia de biometria garante mais segurança ao Programa de Auxílio Emergencial
De olho na LGPD a CLM agrega plataforma de segurança de dados Varonis à seus serviços
O que muda com o adiamento da entrada em vigor da LGPD
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!