Direito e Software: Tutela Jurídica de Dados Biométricos no Brasil — do Marco Civil à LGPD

Este texto foi produzido pelo estudante Luís Felipe de Melo, a partir da palestra de Matheus Treuk na Disciplina de Direito e Software, em 30/04/2019.

Matheus Treuk foi o sétimo palestrante convidado pelo Tecs para a disciplina. Seu currículo acadêmico é bem extenso, com um bacharelado e uma licenciatura em História (USP), um bacharelado em Direito (USP) e um doutorado em Ciências (USP), além de várias especializações. A palestra que ele deu foi bem estruturada, passando desde a descrição de dados biométricos até chegar nas legislações brasileiras sobre o assunto.

Para começar, foi feita a distinção entre biometria e dados biométricos. O primeiro se refere a uma medida da vida, em geral, a humana. Já a definição de dados biométricos (normatizada pelo ISO/IEC) é “o reconhecimento automatizado de indivíduos baseado em categorias biológicas ou comportamentais”. É necessário observar que reconhecimento é um termo genérico, usado para identificação, verificação e armazenamento, por exemplo. A palavra automatizado remete ao auxílio de computadores e o tratamento massivo de dados em tempo real que fornecem. Os únicos indivíduos que têm seus dados biométricos sujeitos a uso são os vivos. Além disso, o palestrante frisou que dados genéticos são diferentes de biométricos, juridicamente.

Apesar de parecer algo novo, o uso dos dados biométricos acontece há vários séculos. Na Mesopotâmia, as digitais eram usadas para conceder autenticidade aos documentos expedidos. Francis Galton, em 1888, cria as bases para a dactiloscopia, que é o processo de identificação das digitais humanas. Em 1971 é desenvolvida a primeira técnica biométrica automatizada, a da geometria da mão, usada em caixas eletrônicos, por exemplo. Já em 1994, o primeiro algoritmo para identificação de íris foi criado. Recentemente, em 2010, o Facebook anuncia a construção do maior banco de imagens para reconhecimento facial, com entrada fornecida pelos usuários, provavelmente, mais poderoso que o do FBI.

Três etapas são necessárias para o funcionamento de um sistema biométrico. A primeira é o Cadastro, que consiste na primeira apresentação, pelo indivíduo, da característica biométrica, ao computador. A segunda é a Comparação, onde a característica é mostrada novamente, para checagem do banco de dados. A terceira é a Decisão, em que a máquina diz se há correspondência ou não. Para que as características biométricas sejam utilizadas elas precisam ser universais (todos, ou quase todos, devem possuí-la), únicas (precisam se apresentar de maneira única, ou quase única), permanentes (devem ser constantes, ou difíceis de mudar), aceitáveis (a sociedade deve estar de acordo com seu uso) e acessáveis (o cadastro precisa ser fácil de ser feito).

O uso de biometria traz alguns possíveis riscos. É possível que quem possua sistemas automatizados para verificação e identificação de características prejudique os indivíduos cadastrados. Discriminação (de várias maneiras, como social, racial e sexual), controle social e/ou político, fim do anonimato e redução das liberdades individuais não são apenas possíveis como possuem exemplos de ocorrências.

As primeiras legislações sobre dados biométricos no Brasil estavam atreladas a outras leis, ou seja, num primeiro momento, não foi criada uma lei para tutela desses dados, em específico. O Código do Consumidor diz que relações com provedores de aplicação que usam dados biométricos podem ser consideradas relações de consumo, e portanto, possuem toda uma legislação já existente. O artigo V da Constituição protege dados privados, mas a interpretação pode ser flexibilizada pelas jurisprudências.

Após um longo debate com a sociedade, foi aprovada, em 2018, a Lei Geral de Proteção de Dados, fazendo o Brasil um dos poucos países com alguma legislação desse tipo. Ele altera alguns artigos do Marco Civil da Internet. Muito dessa legislação foi inspirado pelas criadas na União Europeia. Sua vigência começará 2 anos depois de sua publicação. Ela define dados pessoais sensíveis, que são quaisquer dados de um indivíduo que podem gerar alguma discriminação, inclusive os biométricos. O mais importante dessa lei é a determinação de que eles só podem ser usados com consentimento de forma específica e destacada do proprietário. No entanto, não há uma descrição explícita de dados biométricos. A aprovação dessa lei foi um bom passo, mas ainda há muito a melhorar.