A utilização de biometria nas empresas gera alerta da AEPD sobre proteção de dados pessoais
Num cenário em que a adoção de sistemas biométricos por empresas se torna cada vez mais comum para controle de acesso e registro de ponto, a Agência Espanhola de Proteção de Dados (AEPD) emitiu um aviso importante sobre a questão jurídica e tecnológica envolvida. A AEPD esclarece que o uso de impressões digitais, mesmo que se baseie apenas em representações matemáticas sem a armazenagem da imagem em si, ainda é considerado um tratamento de dados pessoais biométricos sensíveis, conforme estabelecido pelo Regulamento Geral de Proteção de Dados (RGPD).
A resolução PS-00432/2023 analisou um caso em que uma empresa implementou um sistema de controle de horário utilizando impressões digitais, sem oferecer alternativas ao uso dessa tecnologia. A companhia argumentou que o sistema não armazenava a imagem da impressão, mas sim uma “template biométrica cifrada”. No entanto, a AEPD categoricamente afirmou que, se essa template permite a verificação da identidade de uma pessoa, isso implica um tratamento de dados biométricos com fins de identificação, o que aciona as obrigações legais do artigo 9 do RGPD.
A AEPD esclareceu a distinção entre verificação e identificação biométrica. Enquanto a verificação envolve comparações diretas para confirmar a identidade (como um 1:1), a identificação implica comparar com várias templates (1:N). Ambos os casos, quando possibilitam a identificação única, estão sujeitos às exigências de proteção de dados.
Organizações que utilizam dados biométricos devem seguir diretrizes rigorosas, incluindo:
Base jurídica adequada: O uso de biometria para identificação é proibido por padrão, salvo algumas exceções do RGPD. As empresas devem justificar sua necessidade através de interesse legítimo, demonstrando que é apropriado e proporcional.
Avaliação de impacto: É exigida uma avaliação de impacto sobre proteção de dados, considerando os riscos e medidas de segurança.
Alternativas não biométricas: As empresas devem sempre disponibilizar um meio de controle de acesso que não envolva a coleta de dados biométricos.
Transparência: As informações sobre o uso da tecnologia e os dados coletados devem ser claras e acessíveis aos funcionários.
Segurança e minimização: É crucial assegurar que apenas os dados necessários sejam tratados, por um período mínimo.
Além disso, a AEPD enviou uma mensagem clara aos desenvolvedores de sistemas biométricos: descartar a imagem da impressão digital não é suficiente para evitar a aplicação do RGPD. Designar os sistemas desde o início com atenção à proteção de dados é imprescindível.
Se os dados biométricos forem armazenados em nuvem, a empresa fornecedora deve atuar como encarregada do tratamento e seguir as diretrizes do RGPD para transferências internacionais de dados.
Em conclusão, a AEPD reafirma que o avanço tecnológico deve sempre respeitar os direitos fundamentais dos indivíduos. A proteção dos dados biométricos é essencial, e tal proteção deve ser uma prioridade tanto para as empresas quanto para os cidadãos, promovendo um desenvolvimento tecnológico responsável e em conformidade com a lei.
