Procura-se uma lei para biometria facial — Parte 4
LGPD uma lei urgente, mas que precisa de mais esforços para ser mais eficaz
O bairro de Trindade era conhecido por sua tranquilidade e pelas casas antigas com jardins bem cuidados. Tudo mudou quando uma nova indústria de fabricação de tijolos foi construída na região. De repente, o bairro passou a ser atravessado por caminhões que transportavam matéria-prima e produtos acabados para toda a região. Além disso, muitas pessoas começaram a trabalhar na indústria, o que aumentou o tráfego de veículos e pedestres na área.
A prefeitura percebeu rapidamente que seria necessário construir uma nova ponte para ligar o bairro de Trindade ao restante da cidade. A situação era urgente, pois a única ponte existente já estava sobrecarregada com o aumento do tráfego. Sem uma nova ponte, o bairro corria o risco de ficar isolado e as pessoas teriam dificuldades para se deslocar para o centro da cidade.
O que tem a ver uma indústria de fabricação de tijolos com uma legislação? Daqui a pouco você irá entender.
Contexto da aprovação da LGPD
A aprovação da Lei Geral de Proteção de Dados (LGPD) no Brasil, em agosto de 2018, foi um ato de extrema necessidade e urgência, uma vez que atendeu a uma grande demanda da população. A LGPD foi criada com o objetivo de regulamentar o tratamento de dados pessoais no país, e sua importância se dá pelo fato de que, até então, o Brasil não possuía uma lei específica que abordasse a proteção de dados pessoais, apesar de já contar com diversas leis setoriais que tratavam o assunto de forma parcial.
O contexto social em que a LGPD foi aprovada foi marcado por uma série de escândalos de vazamento de dados, como o caso Cambridge Analytica, em que dados de milhões de usuários do Facebook foram coletados e utilizados indevidamente para fins políticos. Esses escândalos aumentaram a pressão sobre os governos e as empresas para que fossem adotadas medidas mais eficazes de proteção de dados.
No momento em que a LGPD foi aprovada no Brasil, a sociedade apresentava uma preocupação crescente com a privacidade e a proteção de dados pessoais. Isso se deveu ao aumento do uso de tecnologias que coletam e armazenam uma grande quantidade de informações pessoais, como redes sociais, aplicativos de mensagens e dispositivos de rastreamento. Como resultado, muitas pessoas passaram a ser mais conscientes dos riscos de exposição de seus dados pessoais e se sentiram mais vulneráveis.
Além disso, a LGPD também foi influenciada pelo Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, que entrou em vigor em maio de 2018 e estabeleceu padrões rigorosos de proteção de dados pessoais para empresas que operam na UE. A LGPD foi projetada para ser compatível com o RGPD e seguir a mesma estrutura, de modo a facilitar a conformidade das empresas que atuam tanto no Brasil quanto na UE.
A LGPD foi vista como uma resposta a essa preocupação crescente e um passo importante para garantir que os dados pessoais das pessoas no Brasil fossem tratados de forma mais segura e responsável.
O que é a Lei Geral de Proteção de dados no Brasil?
A Lei Geral de Proteção de Dados (LGPD) é uma lei federal brasileira que estabelece as normas e procedimentos para a proteção de dados pessoais no Brasil. A LGPD foi aprovada em 2018 e entrou em vigor em agosto de 2020, mas só passou a ser aplicada a partir de agosto de 2021.
A LGPD tem como objetivo garantir o direito à privacidade e à proteção de dados pessoais das pessoas, bem como assegurar a segurança desses dados no tratamento realizado por empresas e instituições. A lei se aplica a todos os tipos de tratamento de dados pessoais, incluindo a coleta, armazenamento, uso, compartilhamento e eliminação de dados.
A LGPD estabelece 10 princípios que devem ser observados no tratamento de dados pessoais, como a finalidade, adequação, necessidade, qualidade, transparência, segurança, prevenção, não discriminação, livre acesso e responsabilidade.
Além disso, a lei prevê 11 direitos dos titulares de dados pessoais, como o direito de confirmação do tratamento, Direito de acesso, Direito de correção de dados incompletos, inexatos ou desatualizados, direito de anonimização, bloqueio ou eliminação de dados, direito de portabilidade dos dados a outro fornecedor de serviço ou produto, direito de oposição ao tratamento, direito de não ser submetido a decisões automatizadas, direito ao esquecimento, direito à revogação do consentimento, direito de recorrer à autoridade competente, direito de reclamar.
A LGPD é aplicável a todas as empresas e instituições que tratam dados pessoais no Brasil, independentemente de sua natureza jurídica ou do setor de atividade em que atuam. A lei também se aplica a empresas e instituições estrangeiras que tratem dados pessoais de indivíduos no Brasil. Com a aplicação da lei foi estabelecido penalizações no caso de seu descumprimento. A violação da LGPD pode acarretar em sanções administrativas e, em alguns casos, em responsabilidade civil e criminal.
Quais são os principais avanços da LGPD?
A Lei Geral de Proteção de Dados (LGPD) trouxe avanços importantes para a proteção de dados pessoais no Brasil. Alguns dos principais avanços da LGPD são:
1. Regulamentação do tratamento de dados pessoais: A LGPD estabelece regras claras e uniformes para o tratamento de dados pessoais no Brasil, incluindo coleta, armazenamento, uso, compartilhamento e descarte de dados.
2. Direitos dos titulares de dados: A LGPD estabelece os direitos dos titulares de dados, como o direito à privacidade, à proteção de dados e à autodeterminação informativa. Isso significa que as pessoas têm o direito de saber como seus dados estão sendo tratados e de decidir como querem que seus dados sejam usados.
3. Responsabilidades dos controladores e operadores de dados: A LGPD estabelece responsabilidades para os controladores e operadores de dados, que são as pessoas ou empresas que tratam os dados. Isso inclui a obrigação de seguir as regras estabelecidas pela lei e de adotar medidas de segurança adequadas para proteger os dados.
4. Compatibilidade com o Regulamento Geral de Proteção de Dados (RGPD): A LGPD foi projetada para ser compatível com o RGPD, o conjunto de regras da União Europeia sobre proteção de dados pessoais. Isso facilita a conformidade das empresas que atuam tanto no Brasil quanto na UE.
5. Criação da Autoridade Nacional de Proteção de Dados (ANPD): A LGPD cria a ANPD, um órgão independente responsável por fiscalizar o cumprimento da lei e aplicar sanções em caso de infração. A ANPD também tem a função de orientar e esclarecer dúvidas sobre a lei e promover a educação e a conscientização sobre a proteção de dados pessoais.
O que rege minimamente hoje a biometria facial? Conheça a ANPD.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por supervisionar a implementação e o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil. A LGPD estabelece as diretrizes para o tratamento de dados pessoais, incluindo dados biométricos, como a biometria facial. A ANPD publica orientações e resoluções periódicas para esclarecer dúvidas e orientar os titulares de dados pessoais e os responsáveis pelo tratamento de dados sobre os seus direitos e obrigações. Você pode encontrar essas orientações e resoluções no site da ANPD.
De acordo com a LGPD, o tratamento de dados biométricos, como a biometria facial, é considerado tratamento sensível de dados pessoais e está sujeito a restrições especiais. A LGPD exige que os controladores de dados só possam tratar dados biométricos com o consentimento explícito e específico da pessoa a qual esses dados se referem. Além disso, o tratamento de dados biométricos só pode ser realizado para finalidades legítimas e deve ser proporcional às necessidades da finalidade para a qual os dados são utilizados.
A ANPD também estabeleceu algumas orientações específicas para o tratamento de dados biométricos, incluindo a biometria facial, em sua Resolução nº 1, de 18 de agosto de 2021. Essas orientações incluem o que o controlador de dados deve garantir:
· Que o tratamento de dados biométricos seja realizado de forma segura e protegida, usando medidas técnicas e organizacionais apropriadas.
· Que os dados biométricos sejam tratados de forma confidencial e que só sejam compartilhados com terceiros quando necessário para as finalidades para as quais foram coletados.
· Que os dados biométricos sejam apagados ou anonimizados quando não mais necessários para as finalidades para as quais foram coletados.
· Que as pessoas a quem os dados biométricos se referem tenham o direito de acessar, corrigir ou apagar seus dados, bem como o direito de se opor ao tratamento de seus dados biométricos.
· Que os dados biométricos sejam tratados de forma a minimizar o risco de violação de privacidade ou de violação de outros direitos fundamentais das pessoas a quem os dados se referem.
· Que os dados biométricos sejam tratados de forma a minimizar o risco de discriminação baseada em características protegidas, como raça, gênero, orientação sexual, religião, entre outras. Nesse sentido, tenho uma proposta de um programa de 5 passos para amenizar vieses de raça, gênero e idade. Para conhecer clique aqui.
· Que os dados biométricos sejam tratados de forma a minimizar o risco de erro ou de falso positivo.
· Que os dados biométricos sejam tratados de forma a minimizar o risco de fraudes ou de outros abusos.
· O controlador de dados deve informar as pessoas a quem os dados biométricos se referem sobre o uso que será dado a esses dados e sobre os direitos delas em relação a esses dados, de forma clara e precisa.
· O controlador de dados deve avaliar o impacto no tratamento de dados biométricos, incluindo o impacto na privacidade das pessoas a quem os dados se referem, e tomar medidas adequadas para minimizar esse impacto.
· Todas estas orientações de alguma maneira se encontram no modelo de elaboração do Relatório de Impacto à Proteção de Dados (RIPD). Caso queira acompanhar um modelo deste relatório, confira no link aqui.
É importante notar que essas orientações da ANPD, expostas acima, são apenas um resumo geral das diretrizes para o tratamento de dados biométricos, incluindo a biometria facial, e que a LGPD e as orientações da ANPD possuem regras e requisitos mais detalhados e específicos. Se você tiver dúvidas sobre como aplicar essas regras e orientações às suas atividades de tratamento de dados, é recomendável consultar um advogado especializado em proteção de dados.
Um balanço da relevância da LGPD para a biometria facial
A LGPD e as diretrizes da ANPD foram criadas para regulamentar a segurança e privacidade dos indivíduos. E para a biometria facial ela serve com uma medida de precaução e não como uma regulação eficiente para o uso da biometria. A legislação deve diferenciar conceitos importantes, como reconhecimento e identificação, para garantir que os dados pessoais sejam utilizados apenas para fins legítimos e com o consentimento dos indivíduos. Além disso, a legislação deve considerar aspectos institucionais e operacionais específicos do setor de biometria, para garantir que as tecnologias sejam utilizadas de forma segura e eficiente.
A LGPD e as diretrizes da ANPD são fundamentais para garantir a proteção dos dados pessoais dos cidadãos brasileiros. A biometria é uma tecnologia poderosa e inovadora e pode ser utilizada de forma positiva, mas é importante garantir que os dados pessoais dos indivíduos sejam protegidos e tratados de forma adequada. Uma legislação adequada é crucial para garantir que a biometria seja utilizada de forma segura e eficiente, para benefício de todos. Iremos trabalhar isso no próximo texto.
Quem deve ser o controlador de dados?
De acordo com a Lei Geral de Proteção de Dados (LGPD), o controlador de dados é a pessoa natural ou jurídica, de direito público ou privado, que, sozinha ou em conjunto com outros, detém o poder de tomar decisões sobre o tratamento de dados pessoais. No contexto do tratamento de dados biométricos, como a biometria facial, o controlador de dados é a pessoa ou empresa que coleta e utiliza esses dados para fins específicos.
Por exemplo, se uma empresa utiliza a biometria facial para identificar e autenticar os funcionários que acessam um edifício, essa empresa é o controlador de dados dos dados biométricos coletados e utilizados para esse fim. Se uma empresa utiliza a biometria facial para identificar os clientes em uma loja e oferecer promoções personalizadas, essa empresa também é o controlador de dados dos dados biométricos coletados e utilizados para esse fim.
É importante notar que o controlador de dados pode ser diferente do responsável pelo tratamento de dados, que é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador de dados. Por exemplo, se uma empresa contrata uma empresa terceirizada para realizar o tratamento de dados biométricos em sua loja, a empresa terceirizada é o responsável pelo tratamento de dados, enquanto a empresa que possui a loja é o controlador de dados. A LGPD estabelece regras específicas para o relacionamento entre controladores de dados e responsáveis pelo tratamento de dados, incluindo requisitos de contratação e de proteção de dados.
Desfecho da história
Os moradores de Trindade ficaram aliviados quando a nova ponte estava sendo construída. No entanto, eles também sabiam que essa seria apenas uma solução momentânea para o problema. O bairro precisaria de outras modificações de estruturas urbanas para se adequar à nova realidade, como mais ruas mais largas, obras de drenagem e serviços públicos. Ainda assim, a nova ponte era um passo importante para garantir a mobilidade e o bem-estar dos moradores da região.
As leis da LGPD e as diretrizes da ANPD são fundamentais para regular o tratamento de dados, identificação e reconhecimento facial. No entanto, elas não são suficientes para abranger todas as complexidades do tema. Assim como o bairro de Trindade vai precisar de mais adequações urbanas, a biometria facial precisará de uma lei mais abrangente e robusta que aborde questões de vieses, de identidade digital, de garantias individuais, de relatórios de auditorias etc. É importante lembrar que o uso de tecnologias de reconhecimento facial é delicado e requer o respeito à privacidade e à proteção de dados pessoais das pessoas. Por isso, as empresas e instituições que as utilizam devem tomar medidas de segurança adequadas e informar os usuários sobre como seus dados são coletados, processados e usados. Além disso, é necessário assegurar que essas tecnologias sejam aplicadas de maneira justa e sem discriminação.
No próximo texto da série iremos discutir sobre o projeto de Lei 2392/2022 que tramita em caráter conclusivo pelas comissões de Trabalho, de Administração e Serviço Público; e de Constituição e Justiça e de Cidadania.
Objetivo da série
Nesta série, nosso objetivo é acompanhar o processo de criação da lei de biometria facial, descrever as discussões e observar as melhores práticas internacionais. Com isso, esperamos poder contribuir para o debate sobre os conteúdos de uma lei que esperamos ver estabelecida nos próximos anos.
Venha com a gente nessa caminhada!
Acompanhe também a
Parte 1 Identificando o problema
Parte 2 Arqueologia de uma lei
Parte 3 Uma grande oportunidade que virou uma calça de retalhos
Até mais.
Contato LinkedIn
