O uso de dados pessoais biométricos para identificar, autenticar ou verificar indivíduos tem se tornado cada vez mais frequente, especialmente em contextos que exigem maior segurança, controle e prevenção de fraudes. A partir da análise de características específicas relativas a aspectos físicos, fisiológicos ou comportamentais do corpo humano, as técnicas biométricas permitem medir e inferir condições e padrões que caracterizam uma pessoa. Paralelamente, a sensibilidade em torno do tratamento desses dados e os riscos associados encontram-se em larga discussão, influenciando alterações legislativas e políticas em vários países.
Diante de potenciais aplicações indevidas e erros de análise, a regulação do uso de tecnologias biométricas deve considerar possíveis riscos e danos tanto a indivíduos quanto a grupos, devendo mitigá-los da forma mais ampla possível. Cabe também discutir, com maior profundidade, possíveis áreas e situações concretas para o seu emprego, bem como medidas técnicas e jurídicas hábeis para a proteção dos dados pessoais envolvidos, inferidos ou revelados a partir dos tratamentos implementados.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) qualifica expressamente dados biométricos como dados pessoais sensíveis, oferecendo proteção e garantias ampliadas a essa categoria especial de informações. Diante do conteúdo e da natureza da informação que os dados sensíveis trazem, entende-se que eles apresentam dados cujo tratamento pode ensejar discriminações ilícitas ou abusivas de seu titular, devendo, portanto, ser protegidos de forma ampliada.
Ainda que a LGPD não conceitue expressamente dados biométricos, no Decreto nº 10.046/19, em seu Art. 2º, II, é possível encontrar uma definição para “atributos biométricos” como sendo: “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar.” No Regulamento Europeu de Proteção de Dados (GDPR), em seu artigo 4º, 14, afirma-se que são dados biométricos “dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos”. De forma semelhante, é possível encontrar definições em estudos publicados por grupos específicos e normas estrangeiras de proteção de dados.
A biometria permite estabelecer a identificação de alguém a partir da medição e análise de atributos fisiológicos e comportamentais mensuráveis. Essas informações, uma vez extraídas e analisadas por meio de processamento técnico específico, permitem ou podem ser tratadas para identificar, verificar, reconhecer ou categorizar, de forma única, a pessoa natural com quem se relacionam. Exemplos incluem a impressão digital, características da arcada dentária, íris e retina, traços do rosto, geometria da mão e altura do indivíduo. Medidas fisiológicas tendem a permanecer mais estáveis ao longo da vida, enquanto características comportamentais envolvem a análise de movimentos, gestos ou habilidades motoras, como caligrafia, método de digitação, marcha, movimentos dos olhos, dinâmica da assinatura, entre outros.
Nesse cenário, tecnologias recentes vêm permitindo que sensores capturem tipos inteiramente novos de biossinais, como batimentos cardíacos e ondas cerebrais através de EEG ou ECG, bem como o desenvolvimento de interfaces de computação cerebral (BCI). Os BCIs medem a atividade neurológica e podem traduzir a atividade cerebral em informações compreensíveis por máquina, promovendo a detecção de pensamentos e intenções, podendo até mesmo influenciar as operações do cérebro humano. O acelerado desenvolvimento tecnológico traz meios para um mapeamento cada vez mais intrusivo dos nossos corpos e mentes.
Em termos de aplicação, verifica-se um interesse crescente em tecnologias de reconhecimento biométrico em vários setores, com um aumento anual no número de novas patentes relacionadas. Do reconhecimento de digitais até a análise de comportamentos, essas aplicações vêm sendo inseridas em nosso dia a dia por meio de dispositivos conectados e ferramentas dotadas de inteligência artificial. Contudo, à medida que a tecnologia avança, o uso de características humanas como informação apresenta cada vez mais riscos e desafios para a privacidade, proteção de dados e transparência, demandando regulações específicas.
No setor público, além de questões de segurança e persecução criminal, cresce o debate sobre o estabelecimento de bancos de dados biométricos para a identificação dos cidadãos e facilitação de benefícios e auxílios governamentais. A Lei n° 13.444/2017 criou a Identificação Civil Nacional (ICN) com o objetivo de identificar o brasileiro em suas relações com a sociedade e com órgãos governamentais e privados. A base de dados da ICN integra informações de diferentes registros, como o Cadastro Nacional de Eleitores e biometrias coletadas pela Justiça Eleitoral.
No setor privado, o tratamento de dados biométricos tem crescido expressivamente, especialmente nos setores financeiro e bancário, que utilizam esses recursos para fins de identificação e segurança. Tecnologias biométricas comportamentais e de autenticação de dois fatores vêm sendo aplicadas para promover transações mais seguras, melhorar a identificação dos clientes e ampliar as funcionalidades de dispositivos de IoT.
Os setores da saúde e fitness expandem continuamente a gama de dados biométricos coletados com dispositivos eletrônicos, visando proporcionar cuidados personalizados e adaptados às necessidades específicas das pessoas. Ainda, em âmbito privado, dispositivos biométricos também são utilizados para análise vocal, rastreamento de preferências e monitoramento de estados emocionais e comportamentais.
Apesar dos benefícios potenciais, o uso inadequado das tecnologias biométricas pode resultar em práticas discriminatórias e abusivas, violando direitos fundamentais. Em determinados contextos, falhas técnicas e falsos positivos podem reforçar discriminações, especialmente contra grupos mais vulneráveis, exacerbando desigualdades históricas e promovendo abordagens policiais indevidas.
O tratamento de dados sensíveis biométricos deve ser proporcional, destinado a uma finalidade legítima e específico, ocorrendo apenas quando estritamente necessário. Deverão ser estabelecidas salvaguardas para garantir que as decisões tomadas com base em dados sejam transparentes, explicáveis e auditáveis, com mecanismos efetivos para a revisão e mitigação de vieses.
Adicionalmente, medidas de segurança, como criptografia, avaliações de impacto e auditorias técnicas independentes, necessitam ser adotadas para minimizar vulnerabilidades e riscos. Dados biométricos não são a única forma de verificação de identidade, podendo haver o emprego de ferramentas menos gravosas, quando possível, para evitar o tratamento desnecessário de dados sensíveis.
Ações alinhadas à metodologia do Privacy by Design deverão ser efetivamente tomadas no desenvolvimento de tecnologias de identificação de pessoas e análise de dados. Busca-se, assim, incorporar proativamente a privacidade na tecnologia da informação, nas práticas de negócios e nas infraestruturas de rede. Medidas de Privacy by Design são projetadas para antecipar e prevenir eventos invasivos de privacidade. Isso significa que você deverá considerar questões de proteção de dados e privacidade na fase de design e durante todo o ciclo de vida do seu sistema, assim como a aplicação de Privacy Enhancing Technologies (PETs) em seus processos. PETs têm como escopo minimizar o uso de informações pessoais, maximizar a segurança da informação e empoderar as pessoas.[1]
Adicionalmente, em termos de boas práticas para o tratamento e proteção de dados biométricos, é possível elencar medidas como: I) uso de autenticação multifator: embora a autenticação biométrica seja segura, ainda é importante usá-la em conjunto com outras formas de autenticação, como senhas ou tokens de segurança; II) os sistemas biométricos devem ser testados e constantemente aprimorados para garantir que reconheçam com precisão os usuários e não forneçam falsos positivos ou negativos; III) estabelecimento de políticas e de procedimentos claros e transparentes para a coleta, uso e armazenamento de dados biométricos; IV) realização de auditorias independentes e regulares para garantir que os sistemas biométricos estejam sendo usados adequadamente e que os protocolos de segurança estejam sendo seguidos; V) aplicação de treinamento adequado aos profissionais envolvidos no processo de tratamento de dados; VI) desenvolvimento de política e respostas eficazes para incidentes de segurança; VII) responsabilização efetiva dos agentes por erros, excessos e tratamentos indevidos de informações; VIII) supervisão humana na aplicação e uso das tecnologias; e IX) o controlador deve garantir que os titulares de dados possam exercer seus direitos e entender como seus dados serão tratados, bem como orientar adequadamente seus operadores sobre como tratar eventuais dados (sensíveis) coletados.
Diante das possibilidades de aplicação de tecnologias biométricas e dos elevados riscos envolvidos, resta evidente a necessidade de análises multissetoriais e regulações nacionais e internacionais que considerem as implicações éticas e sociais dos tratamentos de dados. Promover um debate amplo e aberto sobre a definição e a regulação dos dados pessoais biométricos mostra-se fundamental para que sejam alcançadas propostas e políticas equilibradas que tenham a pessoa humana e toda a sua diversidade como centro de referência e proteção.
__________________
[1] PETs podem ser compreendidos como soluções de software e hardware, ou seja, sistemas que abrangem processos técnicos, métodos ou conhecimentos que visam a garantir privacidade, proteção de dados e confidencialidade a informações sensíveis, assim como proteger um indivíduo ou grupo contra riscos de privacidade. Conforme o Centre for Data Ethics and Innovation’s (CDEI) são exemplos de PETs: esquemas de criptografia que protejam informações em trânsito e em repouso; técnicas de desidentificação, como tokenização e k-anonimato; criptografia homomórfica; ambientes de execução confiáveis; computação multipartidária segura; privacidade diferencial; e sistemas para análise federada.
Artigo extraído de: TEFFÉ, Chiara Spadaccini. Dados pessoais biométricos: uma análise crítica acerca de seu tratamento e aplicações. No prelo. 2024.
Referências
AEPD. 14 Misunderstandings with regard to biometric identification and authentication. Junho de 2020.
AEPD. Agência espanhola de proteção de dados. A Guide to Privacy by Design. 2019. Disponível em: https://lnkd.in/dRDGF-ye .
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 02/2012 on facial recognition in online and mobile services. 22/03/2012. Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp192_en.pdf .
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 3/2012 on developments in biometric technologies. Adotada em 27 de abril de 2012. Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf . Acesso em: 27.07.23.
ARTICLE 29 DATA PROTECTION WORKING PARTY. Working document on biometrics. 01/08/2003 Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2003/wp80_en.pdf .
CAVOUKIAN, Ann; POPA, Claudiu. Privacy by ReDesign: A Practical Framework for Implementation. 2011. Disponível em: https://lnkd.in/da83-Gm6 .
DOERING, Victor; SILVA, Alexandre Pacheco da. O tratamento de dados biométricos na LGPD: dilemas jurídicos e políticos de seu processamento. In: FILHO, Francisco; RAIS, Diogo (Coord.). Direito público digital. São Paulo: Thomson Reuters Brasil, 2020.
ICO. Information Commissioner’s Office. Biometrics: insight. 2022.
MICHELAKAKI, Christina; VALE, Sebastião Barros. Unlocking Data Protection By Design & By Default: Lessons from the Enforcement of Article 25 GDPR. Future of Privacy Forum. Maio de 2023. Disponível em: https://lnkd.in/dAN8KirW
PARLAMENTO EUROPEU. Person identification, human rights and ethical principles Rethinking biometrics in the era of artificial intelligence. Dezembro de 2021.
TEFFÉ, Chiara Spadaccini de. Dados pessoais sensíveis: qualificação, tratamento e boas práticas. São Paulo: Foco, 2022.
TEFFÉ, Chiara Spadaccini de; CEIA, Eleonora Mesquita. Reconhecimento facial e segurança pública nas cidades: uma análise crítica na perspectiva das competências federativas e dos direitos fundamentais. In: Reinaldo J. Themoteo (Coord.). Tecnologia e Direitos Humanos: Os usos e riscos de sistemas de reconhecimento facial. Rio de Janeiro: Konrad Adenauer Stiftung, 2023.
VEMOU, Konstantina; HORVATH, Anna. TechDispatch #1/2021 – Facial Emotion Recognition. Publicado em 26 de maio de 2021. Disponível em: https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-12021-facial-emotion-recognition_en . Acesso em: 05.08.23.
WENDEHORST, Christiane; DULLER, Yannic. Biometric Recognition and Behavioural Detection. União Europeia, 2021. Disponível em: http://www.europarl.europa.eu/supporting-analyses . Acesso em: 11 set. 2023.
