Riscos no uso indiscriminado de dados biométricos

Casos recentes envolvendo empresas e até entidades do governo brasileiro comprovam que a tecnologia para identificação de rostos de pessoas, seja cumprindo seu papel como consumidor, em lojas de shopping centers, seja em meio a multidões em festividades - como no carnaval, por exemplo - ou até como usuário de serviços públicos de mobilidade, deixou de ser mera teoria de ficção científica e já é pratica de mercado e política de segurança pública no Brasil.

Cabe a nós, sociedade civil, questionarmos se atos¹ de coleta, utilização, armazenamento, processamento e até compartilhamento com terceiros de dados biométricos de milhões de usuários estão sendo corretamente realizados, de acordo com a regulamentação vigente que trata da proteção de dados pessoais no Brasil.

A Lei Geral de Proteção de Dados Pessoais Brasileira (LGPD) classifica dados biométricos² como dados pessoais sensíveis³, o que impõe maiores restrições ao seu tratamento por terceiros, que poderá ocorrer apenas quando o titular ou o seu responsável legal consentir, de forma específica e destacada e para finalidades específicas. O tratamento de dados pessoais sensíveis - como os dados biométricos - só poderá ocorrer sem o consentimento do seu titular nas hipóteses exclusivas definidas no inciso II do artigo 11º que, de maneira geral, visam tutelar a proteção da vida e saúde do usuário ou o cumprimento de determinação legal ou regulatória imposta à empresa ou terceiro que realiza o tratamento desses dados.

Recentemente, a Justiça concedeu liminar ao Instituto Brasileira de Defesa do Consumidor (Idec) para que a ViaQuatro, concessionária da Linha 4-Amarela do Metrô de São Paulo, interrompesse a coleta de "emoções" e reações dos usuários a estímulos publicitários, realizada a partir de sensores específicos instalados em outdoors eletrônicos ("portas interativas digitais") nas entradas dos vagões do metrô paulistano.

O que chama a atenção na ação civil pública ajuizada pelo Instituto em representação dos direitos dos usuários do metrô é que a petição inicial menciona os princípios e requisitos para tratamento de dados pessoais contidos na LGPD, que entrará em vigor apenas em agosto de 2020.

O instituto adota como fundamentos para a concessão da liminar as graves violações aos direitos à intimidade (art. 5º, X, CF/88), privacidade e à informação dos usuários do serviço público de mobilidade urbana e relaciona a coleta compulsória e utilização de dados pessoais sensíveis, sem o consentimento do usuário, a diversas violações a dispositivos do CDC, ao Marco Civil da Internet e ao Código de Defesa dos Direitos do Usuário dos Serviços Públicos. Segundo o Idec, a prática pode ser entendida como "uma pesquisa de opinião compulsória", o que configura abuso de direito, e a falta de informação clara, prévia e adequada quanto à coleta e tratamento de dados não atende a preceitos combinados expressos no CDC e no Marco Civil da Internet.

Em outro caso recente de suposto tratamento indevido de dados sensíveis, o Idec notificou a Hering para que a empresa preste esclarecimentos sobre o sistema de reconhecimento facial que, por meio de câmeras instaladas em uma loja conceito, permitiria à empresa "entender como os consumidores reagem às peças dispostas pela loja na medida em que, pela análise de expressões, é possível saber se os clientes gostam de determinado produto, além de traçar um perfil dos visitantes da loja, o que é interessante em tempos de hiperpersonalização". Complementarmente a esse sistema, noticiou-se que a loja possui sensores que registram ondas de calor conforme o interesse do consumidor nos produtos disponibilizados por toda a loja e produz um mapa com as áreas de maior interesse.

Em tempos em que os dados pessoais podem fornecer informações valiosas a empresas de varejo ou até de mobilidade urbana e que ao consumidor poderão ser oferecidos produtos e serviços cada vez mais "tailor-made" aos seus gostos, perfil e interesses, há que se parametrizar concretamente também os limites do legítimo interesse⁴ do controlador de dados pessoais e os direitos do titular dos dados a fim de prevenir abusos de direito e permitir que haja consenso e equilíbrio nas vantagens auferidas a partir do tratamento de dados pessoais.

Embora possa ser suscitada a figura jurídica do legítimo interesse do controlador, criada pela LGPD, como saída alternativa ao regime legal de obtenção do consentimento do titular, entende-se que tal instrumento não poderá ser aplicado como justificativa ao tratamento de dados pessoais sensíveis sem o consentimento do titular, que deverá observar as restrições acima explanadas.

É discutível o quanto a "importação à brasileira" desse instituto do Regulamento Europeu de Proteção de Dados Pessoais pode ter alterado a sua função. O regulamento europeu (artigo 6º, "f") prevê explicitamente um teste de proporcionalidade que permite verificar a legalidade no uso de dados, sendo que, qualquer empresa que adote a justificativa do legítimo interesse do controlador no tratamento de dados pessoais possuirá o ônus de demonstrar à Autoridade Reguladora que tal interesse corporativo é proporcional e equilibrado ao interesse do titular na proteção de seus dados pessoais e à sua privacidade.

Vale ressaltar, ainda, que na hipótese do legítimo interesse do controlador não há uma ação afirmativa do titular dos dados (como a necessidade de consentimento, por exemplo), ainda que seja necessário - como discutido acima - dar informação clara, prévia e adequada quanto à coleta e tratamento de dados a fim de que o usuário possa se valer dos direitos de oposição ao tratamento de dados (art. 18 LGPD).

__________

*Gustavo Laudanna Alvoreda é advogado do escritório Nascimento e Mourão Advogados.