A questão da utilização do ponto eletrônico biométrico está gerando muitas dúvidas, não somente no meio empresarial, como também no meio jurídico, após o início da vigência da lei 13.709/18, Lei Geral de Proteção de Dados – LGPD.
Com efeito, a LGPD, Lei Geral de Proteção de Dados (Lei 13.709/18), em seu artigo 5º, inciso II, dispõe a respeito dos dados considerados sensíveis.
Os dados sensíveis são dados pessoais que merecem uma proteção especial, justamente porque podem levar a atitudes discriminatórias. São dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético e, por fim, a biométrico, quando vinculado à uma pessoa natural.
O tratamento desses dados, categorizados pela Lei como sensíveis, somente podem ocorrer nas hipóteses elencadas no art. 11 da LGPD:
· consentimento do titular (destacando-se a finalidade específica);
· cumprimento de obrigação legal/regulatória;
· execução de políticas públicas
· pesquisas científicas
· exercício regular de direitos, inclusive em contratos e processos judiciais, administrativos e arbitrais;
· proteção da vida ou segurança física do titular ou terceiro;
· tutela da saúde (profissionais da saúde ou que prestem serviços relacionados à saúde ou autoridades da vigilância sanitária);
· prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
A Agência Nacional de Proteção de Dados, ANPD, é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
A ANPD irá se certificar que todos que tratam dados pessoais atuem em conformidade com a Lei, analisando, principalmente, se as empresas estão implementando boas práticas de segurança da informação.
Para caracterização do que é denominado como boas práticas pela LGPD, o controlador e operador devem observar o art. 9o da referida Lei, o qual determina o direito dos titulares ao acesso facilitado às informações sobre o tratamento de seus dados pessoais.
Tais direitos deverão ser disponibilizados de forma clara, adequada e ostensiva para respeitar o livre acesso, princípios da transparência e autodeterminação informativa, que é o poder de decisão sobre o que fazer com os dados pessoais nas mãos do titular desse dado. Outro ponto importante é que tais requisitos estejam bem definidos e demonstrando:
· a finalidade específica do tratamento;
· a forma e duração do tratamento, observados os segredos comercial e industrial;
· a identificação do controlador;
· a informações de contato do controlador;
· a informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
· a responsabilidades dos agentes que realizarão o tratamento; e
· os direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
O artigo 18, a seu turno, dispõe que o titular dos dados pessoais tem direito de obter esse livre acesso e poder de autodeterminação informativa do controlador em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, ou seja, poderá pedir alteração, exclusão, correção entre outras formas de tratamento.
Outro ponto essencial para a verificação da possibilidade de utilização do ponto eletrônico para monitoramento de jornada é a definição do conceito e formas de tratamento que são consideradas biometria.
Esse dado pessoal é comumente utilizado por instituições financeiras, academias, escolas e também nas relações trabalhistas como ponto eletrônico.
É importante destacar que existe uma discussão a respeito de quais dados são considerados biometria.
Quanto à impressão digital e à íris não há discussão, é pacificado que são dados biométricos.
A controvérsia é se a voz e a face também podem ser caracterizados como dados biométricos.
No caso, o ponto eletrônico, através do acesso por impressão digital, desperta particular interesse das empresas, pois é a forma mais utilizada pelos empregadores para controle de jornada.
Nesse sentido, cabe destacar o entendimento a respeito do uso da biometria nas Relações de Trabalho.
A Legislação trabalhista, no art. 74 da CLT determina que “para os estabelecimentos com mais de 20 (vinte) trabalhadores será obrigatória a anotação da hora de entrada e de saída, em registro manual, mecânico ou eletrônico, conforme instruções expedidas pela Secretaria Especial de Previdência e Trabalho do Ministério da Economia, permitida a pré-assinalação do período de repouso”.
A Portaria 1.510/09, Ministério do Trabalho, que regulamenta o uso de Sistemas de Registro Eletrônico de Ponto, disciplina o registro eletrônico de ponto e a utilização do Sistema de Registro Eletrônico de Ponto - SREP.
A Portaria 373/11, do MTE, dispõe sobre o uso de sistemas alternativos de controle da jornada de trabalho, como o ponto eletrônico biométrico por aplicativo.
Nesses casos teríamos uma possível base legal, prevista no art. 11, II, “a” da LGPD, que é a possibilidade de tratar dados pessoais com base em obrigação legal ou regulatória pelo controlador.
Assim, como a base legal prevista no art. 11, II, “g” da LGPD: “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9o desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
Importante destacar que é necessário vincular o tratamento à uma única base legal.
Contudo, a principal discussão é no sentido que ainda que fosse possível o enquadramento em alguma dessas bases legais, seria necessário cumprir com requisito da comprovação da necessidade, princípio basilar da LGPD.
A maior dificuldade, é porque existem outras formas de acesso, como crachás, chaves eletrônicas, sem a necessidade de tratamento de um dado sensível.
Por outro lado, os empregadores sustentam que os outros meios não são tão eficazes quanto a biometria para garantir a autenticidade das informações, dando margem à possíveis fraudes.
Essa segurança é benéfica também para o colaboradores, pois garante o efetivo registro das horas trabalhadas.
No entanto, as empresas devem adotar medidas de segurança desses dados biométricos coletados e devem ser rígidos para que esses dados sejam utilizados somente para a finalidade destinada, o controle de jornada.
No Brasil, não há manifestação expressa da ANPD, Autoridade Nacional de Proteção de Dados Pessoais, porém tudo indica que levará em conta o entendimento dos países que já têm mais consolidada a cultura de proteção de dados pessoais, especialmente a GDPR, Lei Europeia a respeito da proteção de dados pessoais.
No contexto da GDPR, principal Lei que embasou a LGPD, o GT 29, em seu Parecer no 02/2017, a respeito do Tratamento de Dados no trabalho, de parecer favorável à utilização da biometria no caso de controle de ponto, desde que os dados fossem tratados exclusivamente para esta finalidade, mas alerta que “embora tais sistemas possam constituir uma importante componente de uma pista de auditoria de um empregador, colocam também o risco de proporcionar um nível de conhecimento e controlo invasivo das atividades do empregado no local de trabalho”
A lei 58/19, Legislação portuguesa sobre proteção de dados pessoais, em seu art. 28, item 6, dispõe que “o tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados”
A Agencia Española de Protección de Datos (AEPD), também se posicionou pela validade da coleta de dados biométricos para fins do controle de jornada.
Portanto, há prevalência no Direito Comparado acerca da possibilidade do uso da biometria controle de jornada, observadas à finalidade específica e proteção reforçada da segurança destes dados.
Caberá a cada empresa, definir se adotará ou não esse mecanismo de controle, após a realização do Relatório de Impacto, análise de riscos.
Nesse sentido, cabe trazer Decisões recentes sobre o assunto. Recentemente, a Agência de Proteção de Dados italiana multou em vinte milhões de euros a empresa Clearview por realizar reconhecimento facial em fontes públicas da web.
A controladora converteu em biometria fotografias coletadas na web através de processamento adicional.
A Autoridade de Proteção de Dados italiana entendeu que a empresa, controladora, não se limitou à coleta de imagens com a finalidade de torná-las acessíveis aos seus clientes.
E ainda, que a empresa agiu contra lei ao utilizar meios próprios para a coleta de imagens e, posteriormente, transformá-los em dados biométricos, armazenando as informações extraídas do resultado da pesquisa.
Autoridade Italiana para a Proteção de Dados Pessoais multou a empresa americana de tecnologia de reconhecimento facial Clearview AI em 20 milhões de euros (quase US$ 22 milhões), por realizar "vigilância biométrica" na Itália.
No Brasil, a ViaQuatro, operadora da Linha-4 do Metrô de São Paulo, foi condenada por captar imagens de passageiros com o uso de técnica de reconhecimento facial sem o devido consentimento dos titulares, restando suspenso o processamento dos dados pessoais.
Ainda no presente mês de março do corrente ano, a mesma empresa está sendo demandada por diversos órgãos de defesa do consumidor por implementação de novo sistema de monitoramento que contém reconhecimento facial sob a alegação de estar infringindo, outra vez, a Lei Geral de Proteção de Dados.
Segundo a juíza Patrícia Martins Conceição "Os usuários não foram advertidos ou comunicados previa ou posteriormente acerca da utilização ou captação de sua imagem pelos totens instalado nas plataformas, ou seja, os usuários nem mesmo tem conhecimento da prática realizada pela requerida".
Além da multa, que pode chegar à valores milionários a depender do caso, a principal sanção é a de não permitir o processamento de dados pessoais, pois inviabiliza completamente as atividades do negócio, o que é um prejuízo inestimável para Empresa.
_____________
-LGPD
-GDPR
-LEI 58/ 2019 PORTUGAL
-CLT
-GT 29, PARECER NO 02/2017
-PORTARIA 1.510/09 E PORTARIA 373/11, DO MTE.
--https://g1.globo.com/sp/sao-paulo/noticia/2021/05/11/justica-multa-concessionaria-em-r-100-mil-por-coleta-de-dados-de-passageiros-na-linha-4-amarela-do-metro-de-sp.ghtml
_https://www.em.com.br/app/noticia/internacional/2022/03/09/interna_internacional,1351211/italia-multa-empresa-americana-clearview-de-reconhecimento-facial.shtml