Busca sem resultado
jusbrasil.com.br
1 de Março de 2024

Notas sobre recusa de consentimento ao cadastro de dados biométricos

A recusa ao fornecimento de dados biométricos pode parecer "estranha" à primeira vista, mas é direito de todo cidadão. Agentes de tratamento, como empresas, devem adaptar-se a esta nova realidade. Este artigo apresenta algumas reflexões rápidas em torno desta recusa, esperando com isso prosseguir um debate recentemente aberto em torno do tema.

Publicado por Manoel Nascimento
há 3 anos

Li há poucos instantes o excelente artigo Existe um Direito de Recusa ao Cadastramento Biométrico?, de Oscar Valente Cardoso. O artigo é muito oportuno, tanto no tema quanto na forma de tratá-lo, oferecendo mais dúvidas que respostas prontas. O autor merece congratulações por enfrentar um tema ainda nebuloso, e por fazê-lo fundamentadamente.

O artigo me levou a colocar na tela -- pois hoje nada mais se coloca "no papel" -- algumas ideias ainda soltas que vinha desenvolvendo sobre o tema. Compartilho-as a seguir, ainda sem o tratamento necessário, para dar seguimento ao debate proposto por Oscar Valente Cardoso, esperando que outros intervenientes contribuam com o tema.

1. A LGPD como expressão de um "movimento" de mudança cultural e de respeito às liberdades civis

Do meu ponto de vista, a Lei Geral de Proteção de Dados (LGPD -- Lei 13.709/2018)é parte de um "movimento", por assim dizer, de mudança de uma cultura de indiferença quanto aos dados pessoais e de violações sistemáticas à privacidade dos cidadãos, em que estamos inseridos desde há muito, para uma cultura de cuidados com dados e informações pessoais.

Este "movimento" materializou-se, primeiro, por meio de inúmeras pequenas resistências cotidianas, e por meio da ação de entidades da sociedade civil preocupadas com as liberdades políticas em meio ao avanço tecnológico e com riscos destes novos meios tecnológicos para os cidadãos. Com o tempo, as questões pautadas por estas resistências cotidianas e pela ação destas entidades encontrou expressão legal: na proteção do direito à privacidade na Constituição de 1988; na proteção do Código de Defesa do Consumidor aos dados constantes em cadastros, fichas, registros e dados pessoais e de consumo; no pioneirismo do Marco Civil da Internet (Lei 12.964/2014) ao tratar de temas que vieram a ser esmiuçados posteriormente pela LGPD; e em outras leis, decretos e normas técnicas.

Com a massificação do acesso à internet, as preocupações que deram origem a este "movimento" ganham a cada dia mais tração junto a um público mais amplo -- que, graças ao barateamento das tecnologias e à expansão do acesso à internet, começa a participar, as mais das vezes sem o conhecimento adequado sobre o funcionamento dos meios técnicos envolvidas, de um universo tecnológico antes mais restrito. É uma "democratização pela metade": o uso de qualquer instrumento, ferramenta ou tecnologia sem o conhecimento técnico adequado implica em riscos, e a rápida massificação do acesso à internet sem o conhecimento técnico adequado a seu respeito cria assimetrias na relação entre usuários e vários tipos de agentes de tratamento.

Pior: a mesma falta de conhecimento técnico adequado que afeta os usuários, afeta também prestadores de serviço, porque são, também, parte deste mesmo público afetado pela assimetria entre a expansão rápida do acesso à internet e a baixíssima divulgação dos conhecimentos técnicos adequados a seu uso seguro. Querem aderir às novas tecnologias da internet para prestar serviços e fornecer produtos, e têm total razão ao fazê-lo; mas a falta de conhecimento adequado traz como consequência enorme despreocupação com a segurança de dados, baixo investimento em tecnologias mais seguras, improvisação, gambiarras e insegurança.

O crescente número de incidentes de segurança, os "vazamentos" envolvendo milhões de pessoas noticiados com cada vez maior frequência nos jornais, demonstram: até o momento, o consentimento para o tratamento de dados pessoais, dado pelos titulares de dados, ainda não encontra a necessária contrapartida em termos de segurança, a ser ofertada pelos agentes de tratamento, sejam eles controladores ou operadores. Não me refiro a questões mais complexas, como as muitas formas de lidar com o consentimento em meio ao compartilhamento generalizado de dados; restrinjo-me à simples capacidade de controladores e operadores de manter seguros os dados que lhes foram confiados (Lei 13.709/2018, art. , VII; Lei 13.709/2018, art. 38, § único; Lei 13.709/2018, art. 44, cabeça e incisos; Lei 13.709/2018, art. 46). De impedir que sejam "vazados", ou compartilhados sem o consentimento adequado (Lei 13.709/2018, art. , § 5º).

É este o pano de fundo que deve balizar as decisões envolvendo a recusa a fornecer dados biométricos para identificação pessoal. Enquanto a confiança necessária ao fornecimento de dados biométricos não receber como contrapartida a segurança imprescindível a seu tratamento adequado, a recusa ao fornecimento é prática recomendável de segurança pessoal.

Explico-me.

2. A confiança como baliza do consentimento para tratamento de dados biométricos

Do ponto de vista de quem fornece os dados biométricos para tratamento, o consentimento é requisito central.

Esse consentimento, segundo a própria LGPD, é "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada" (Lei 13.709/2018, art. , XII).

A centralidade do consentimento como requisito para o tratamento de dados pessoais se verifica muito facilmente: basta ver de que modo a LGPD apresenta o consentimento em meio a outras hipóteses de tratamento legítimo de dados (Lei 13.709/2018, art. , I; Lei 13.709/2018,art. 11, I):

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
[...]
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

Há outras hipóteses previstas na LGPD em que o consentimento é dispensável; a precedência dada ao consentimento na redação legal, entretanto, demonstra uma prioridade, uma hierarquia, em que o consentimento é a regra, e as demais modalidades são exceção.

O consentimento, quando bem informado, resulta, entre outras coisas, do convencimento do titular de que seus dados pessoais serão tratados da forma mais segura possível. Nâo basta que haja respeito à LGPD, portanto; os agentes de tratamento precisam conquistar a confiança dos titulares para conseguir seu consentimento.

A confiança é a consequência de um processo de convencimento bem informado e fundamentado, tanto assim que é um dos elementos dos programas de governança de privacidade estabelecidos pela LGPD, que peço licença para citar mais longamente:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

O elemento "confiança", embora não seja explicitamente descrito na LGPD ao tratar do consentimento, é sem dúvidas um elemento de sua formação.

É a própria LGPD quem impõe aos agentes de tratamento o dever de garantir a segurança dos dados pessoais, sensíveis ou não, coletados em sua atividade (Lei 13.709/2018, art. , VII; Lei 13.709/2018, art. 38, § único; Lei 13.709/2018, art. 44, cabeça e incisos; Lei 13.709/2018, art. 46).

Se os titulares têm o direito "ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva" (Lei 13.709/2018, art. ), devem também ser informados sobre as medidas de segurança no tratamento de seus dados.

Não havendo confiança na segurança durante o tratamento dos dados que se pretende coletar, a recusa ao fornecimento é a consequência mais lógica. É quase uma "legítima defesa" do direito à privacidade.

Afinal, havendo informações de que não há segurança adequada no tratamento suas impressões digitais, seu rosto, ou qualquer outro elemento de identificação biométrica, quem, em sã consciência, forneceria tais dados a quem quer que seja?

Ocorre que a recusa de consentimento para o tratamento de dados pessoais ainda não é bem vista. A cultura do "Li e aceito os termos...", estabelecida em décadas de práticas equivocadas de gestão do consentimento; a quase certeza que certos agentes de tratamento têm de que suas práticas são legítimas, mesmo quando equivocadas; a pouca informação dos cidadãos acerca do seu direito à privacidade, e de como exercê-lo adequadamente no campo do tratamento dos dados pessoais; estes, e outros elementos, fazem da recusa uma prática ainda considerada estranha, escandalosa às vezes.

3. Algumas situações práticas envolvendo a recusa de fornecimento de dados (biométricos ou não)

Deixando um pouco de lado a interpretação das leis, trago para discussão três situações práticas -- todas reais, embora anonimizadas -- que envolvem solicitações de consentimento para o tratamento de dados (alguns biométricos, outros não). Interessa-me evidenciar a "estranheza" da recusa legítima ao fornecimento de dados pessoais para a prestação de serviços ou fornecimento de bens, e suas consequências práticas.

Eis o primeiro caso. A portaria de um prédio de escritórios exige, como condição para o acesso, tirar foto para compor uma "ficha" do visitante, junto com nome completo, RG e CPF. Qualquer pessoa pode -- e, a meu ver, deve -- perguntar o que é feito com essa ficha, por quanto tempo ela é guardada, onde ela é guardada, entre outras coisas. Se essas informações não a convencem de que é seguro tirar a foto, se a equipe de portaria não recebeu o treinamento adequado para construir no titular dos dados a confiança necessária ao consentimento, será muito natural a recusa. Foi o que aconteceu nesse caso: o titular de dados recusou-se a tirar a foto. Concordou em deixar na portaria seu nome completo, seu CPF e seu RG, mas recusou-se a tirar a foto. A equipe da portaria é treinada para proibir o acesso se essa condição não for cumprida. O titular dos dados precisa acessar o prédio, mas recusa-se a fornecer dados pessoais por não se sentir seguro quanto às formas do tratamento. A necessidade pode impelir o titular de dados a tirar a foto, dando, portanto, consentimento à coleta de dado pessoal biométrico. Foi o que aconteceu: passados alguns instantes de discussão acalorada, o titular permitiu, a contragosto, que tirassem sua foto. Acessou o prédio, fez o que tinha de fazer, e ao sair revogou seu consentimento e pediu para apagarem a ficha, como é seu direito (Lei 13.709/2018, art. , § 5º; Lei 13.709/2018, art. 18, IV e VI). A equipe da portaria não foi treinada para lidar com esta situação, e, agindo como pensa ser seu direito, negou-se a apagar a ficha. Incapaz de tomar qualquer outra providência eficaz para resguardar seu direito à privacidade de dados, o titular saiu do prédio esbravejando, mas deixou o caso para lá.

Agora, vamos ao segundo caso. Um aplicativo de intermediação de mão-de-obra exige, para a formação do perfil do profissional, tirar uma foto ao lado de um documento pessoal com foto. De acordo com comunicação da empresa por trás do aplicativo, essa foto não será usada em perfil público, apenas para validar que o documento apresentado é, realmente, da pessoa que criou o perfil. A correspondência restringe-se a isso; não apresenta qualquer informação acerca dos métodos de tratamento da foto, não diz como ela é guardada, por quanto tempo ela fica guardada, nada. Ou bem o trabalhador apresenta essa foto com a identidade ao lado, ou não finaliza o cadastro no aplicativo. Questionada, a empresa por trás do aplicativo argumenta com uma política de privacidade genérica, que não detalha o que é feito com as fotos, e não informa adequadamente sobre os métodos de tratamento da imagem, contrariando a previsão legal (Lei 13.709/2018, art. 11, I). O trabalhador se vê, assim, numa sinuca de bico. Para conseguir clientes, precisa do aplicativo; sem ceder foto de seu rosto, não tem acesso ao aplicativo; a empresa por trás do aplicativo não dá informações adequadas, tampouco suficientes, para formar neste trabalhador a confiança necessária ao consentimento para o tratamento de dados; mesmo assim, a empresa por trás do aplicativo impõe ao trabalhador a necessidade de uma fotografia, que o trabalhador, premido pela necessidade, cede, mesmo a contragosto. Como "é só uma foto", o trabalhador deixou o caso para lá, até que os recentes "vazamentos" de dados o levaram a questionar novamente a empresa por trás do aplicativo, e a exigir judicialmente respostas às suas questões.

Por fim, o terceiro caso. A rede varejista apresenta promoção "imperdível" de eletrodomésticos na televisão, e atrai grande número de consumidores. De fato, os preços eram muito competitivos: aproximando valores para facilitar o entendimento, havia máquinas de lavar a quatro quintos do preço de outras redes varejistas, geladeiras a dois terços do preço da concorrência, celulares pela metade do preço da própria rede, entre outros exemplos. Premidos pela necessidade, consumidores encheram as lojas, esvaziando rapidamente os estoques. Um motorista de aplicativo que tivera seu celular roubado poucos dias antes tentou minimizar os prejuízos, pois estava sem trabalhar, e correu a uma das lojas da rede em busca de um aparelho novo. Conseguiu achar um aparelho inclusive melhor que o que lhe fora roubado, e dirigiu-se ao caixa para o pagamento e finalização da compra. Surpresa: a rede varejista exige, para completar o cadastro do cliente e finalizar a compra, que o motorista forneça suas impressões digitais. Estranhando a exigência, o motorista ficou alguns instantes em silêncio, e recusou-se a "tocar piano". A vendedora, muito sucintamente, disse-lhe que "sem as digitais eu não posso finalizar o cadastro, não posso te vender o celular", e como ela tinha "metas de venda para bater" pediu licença para que o próximo da fila chegasse ao balcão. O motorista ficou na loja ainda uns bons instantes andando para lá e para cá, pasmo, sem reação. Constrangido, voltou à vendedora, dizendo que forneceria as digitais "a contragosto"; ao tentar localizar no estoque outro aparelho como o que o motorista escolhera, não havia mais nenhum. O motorista, que fora à loja comprar o celular com um sobrinho que entendia um pouco de aparelhos, saiu furioso da loja, comprou um aparelho mais caro em outra rede varejista, e está processando aquela primeira rede varejista tendo o sobrinho como testemunha.

Esses casos práticos ilustram de que modo a recusa de fornecimento de dados pessoais biométricos tem maior importância prática do que parece à primeira vista. Os dois últimos casos, inclusive, demonstram que casos assim estão chegando aos tribunais, e exigem dos juízes muita atenção.

4. O direito de recusar consentimento para tratamento de dados pessoais biométricos e o pragmatismo necessário aos processos de transição tecnológica

Colocando-me no ponto de vista de quem julga para tentar dar eficácia prática a estas tentativas de garantir o direito à segurança no tratamento dos próprios dados pessoais, penso que considerações de ordem prática devem balizar qualquer decisão sobre o tema.

Não se pode chegar a um critério único para resolver tais situações. Não há "fórmula mágica", "10 dicas", nada nesse sentido. O julgador deve, antes de mais, entender-se como parte daquele "movimento" mais amplo a que me referi anteriormente. Deve, consequentemente, ter papel ativo no processo de transição de uma cultura de indiferença com os dados pessoais para uma cultura de respeito e proteção a eles.

O reconhecimento do lugar do julgador neste "movimento" deve ser pautado por uma atitude pragmática e casuística, sempre informada pela legislação atinente a cada situação concreta, mas que resulte sempre em reforço à cultura de proteção de dados pessoais. Enquanto a Autoridade Nacional de Proteção de Dados (ANPD) não explicita e consolida normas técnicas de boas práticas de segurança, é aos juízes que cabe definir, quando provocados, quais práticas atendem ou não à proteção adequada aos dados pessoais em tratamento.

Não sou partidário das "listinhas" com "dicas", mas trago para a reflexão algumas atitudes que considero interessantes em casos como os que apresentei.

Um cuidado importante, que pode ajudar a resolver situações práticas envolvendo negativas de prestação de serviço ou violações a direitos por força da recusa em consentir com a coleta de dados pessoais, está em verificar se, na situação examinada, estavam em funcionamento as medidas necessárias à custódia segura dos dados fornecidos, sempre adequada à natureza do suporte material onde estes dados estão armazenados. Isso pode exigir a realização de perícias técnicas. Importa, sempre, evidenciar se as medidas de segurança adequadas estão ou não devidamente implementadas na situação examinada.

Cabe a um juiz em tais ações, por exemplo, solicitar dos agentes de tratamento relatórios impacto à proteção de dados pessoais (Lei 13.709/2018, art. , XVII; Lei 13.709/2018, art. 10, § 3º; Lei 13.709/2018, art. 32; Lei 13.709/2018, art. 38, cabeça e § único). Agentes de tratamento já são obrigados por lei a apresentar tais relatórios à ANPD; embora a LGPD não diga nada quanto à sua apresentação em juízo, o fato de tais relatórios já serem de produção obrigatória em certas situações não implica em criação de qualquer obrigação nova para os agentes de tratamento, sendo, portanto, a apresentação de um documento já produzido e existente. Pode-se, pelo mesmo caminho, solicitar dos agentes de tratamento relatórios de vistoria técnica dos instrumentos de coleta e custódia de dados, assim como uma auditoria técnica sobre seu sistema de coleta, custódia e gestão de dados.

A recusa de fornecer consentimento é direito garantido aos cidadãos, e cabe aos agentes de tratamento de dados respeitá-la; a busca, pelo julgador, de informações sobre a forma como estes agentes cuidam dos dados sob sua custódia visa apenas colocar na balança o direito do titular de dados à recusa de prestar consentimento, garantido pela LGPD, e os esforços dos agentes de tratamento, nos casos de negativa de prestação de serviço por recusa ao consentimento para tratamento de dados (Lei 13.709/2018, art. , § 3º), ou de consentimento viciado (Lei 13.709/2018, art. , § 3º), que é proibido e pode gerar dano indenizável se ocorrer.

Explica-se este cuidado.

Ainda há empresas que fazem tratamento de dados, mas não veem necessidade de indicar um encarregado de dados, quando a LGPD o exige (Lei 13.709/2018, art. , VIII; Lei 13.709/2018, art. 23, III; Lei 13.709/2018, art. 41). Há outras sequer fizeram um mapeamento de dados capaz de facilitar aos consumidores acesso aos dados, correção de dados incorretos, exclusão etc. Prevalece ainda entre tais empresas o desconhecimento acerca dos cuidados necessários com a segurança de dados pessoais de seus clientes -- havendo casos extremos em que a insegurança e o compartilhamento indevido são propositais. Em tais casos, a quantificação de uma indenização não poderá seguir o mesmo critério daquelas impostas contra agentes de tratamento que demonstrem estar totalmente de acordo com os critérios da LGPD, ou que estejam realizando esforços neste sentido.

Há ainda outro aspecto pelo qual se pode abordar causas envolvendo a recusa de consentimento para tratamento de dados biométricos.

A maioria dos trabalhadores cujas funções envolvem o contato direto com clientes, e eventualmente a coleta de dados pessoais biométricos, não foram treinados para lidar com a recusa, gerando situações constrangedoras. A prova deste treinamento, ou de sua ausência, poderá ser elemento balizador em casos onde a recusa ao fornecimento de dados biométricos seja elemento central. Vê-se que há empresas dando os primeiros passos para mudar este panorama, mas ainda são poucas, quase exceções à regra de descuido generalizado. Averiguar a existência deste treinamento ajuda a separar o "joio" do "trigo" para tratar desigualmente os desiguais, aplicando sanções mais rigorosas a quem não tenha promovido esta qualificação e menos rigorosas a quem o tenha feito.

Ainda no mesmo sentido de ter atenção a este "movimento" de construção de uma cultura de proteção de dados e também à forma com que os dados pessoais serão tratados, devem os julgadores ter atenção, também, às alternativas apresentadas neste momento de transição para uma cultura de maiores cuidados com a proteção de dados pessoais. É necessário ao julgador saber: o tratamento de dados biométricos era essencial ao serviço prestado, ou ao bem fornecido? O agente de tratamento ofereceu forma alternativa de prestação do serviço ou fornecimento do bem que não implicasse no tratamento de dados biométricos? Caso não a tenha fornecido, que esforços fez para informar adequadamente o titular de dados acerca da segurança no tratamento, e de outras questões a que tem direito?

Embora pareçam exageradas, tais indagações fundamentam-se numa cadeia simples de raciocínios.

Mesmo sem dizê-lo, a LGPD estimula a adoção de soluções tecnológicas que tenham a privacidade como padrão (privacy by default) e como parte integrante de seu funcionamento (privacy by design).

Atendendo à necessidade de obtenção de consentimento explícito para finalidades específicas e delimitadas (Lei 13.709/2018, art. , § 4º; Lei 13.709/2018, art. , I), e tendo em vista o tratamento rígido e diferenciado estabelecido para o consentimento dado ao tratamento de dados pessoais sensíveis (Lei 13.709/2018, art. 11, I), deve-se tirar daí, como consequência lógica, que a coleta de dados biométricos deve ser sempre considerada como último recurso e como exceção, nunca como regra.

Por esses critérios, a coleta de dados biométricos só se justifica plenamente em duas hipóteses: (a) quando essencial à prestação do serviço ou ao fornecimento do bem, pois o tratamento de dados pessoais rege-se, também, pelo critério da necessidade (Lei 13.709/2018, art. , III); (b) quando há elementos suficientes que provem o esforço do agente de tratamento para informar adequada e espontaneamente o titular acerca de todas as questões que tem direito de saber para fornecer seu consentimento (Lei 13.709/2018, art. , cabeça e incisos).

Se nenhuma destas hipóteses se verificam, o agente de tratamento deve, para respeitar a natureza excepcional do tratamento de dados pessoais sensíveis, oferecer alternativas aos titulares dos dados para que o serviço seja prestado, ou o bem seja fornecido, sem a necessidade de coleta de dados biométricos. Se não as ofereceu, maior será sua responsabilidade ao obrigar titulares de dados a fornecer dados biométricos, viciando seu consentimento pela coação.

Não se trata, aqui, de uma oposição de princípio à coleta de dados biométricos; são os cuidados necessários a um momento de "transição", em que as informações adequadas ou os conhecimentos necessários acerca das consequências do consentimento para o tratamento de dados pessoais não circulam com a mesma velocidade e intensidade com que são implementadas as novas tecnologias de identificação biométrica. Novamente: é preciso haver confiança dos titulares de dados no tratamento que deles será feito pelos agentes; sem confiança, não há consentimento; sem consentimento, não há tratamento; e se não há tratamento, deve haver alguma alternativa de prestação do serviço.

Na medida em que os agentes de tratamento consigam informar adequadamente os titulares sobre a segurança no tratamento, e na medida em que consigam convencê-los da conveniência de consentir com a coleta e tratamento desses dados, o consentimento conquistado é legítimo. Além disso, se os agentes de tratamento oferecem aos titulares alternativas de prestação do serviço ou de fornecimento dos bens sem necessidade de coleta e tratamento de dados biométricos, tornando facultativo esta coleta numa "primeira fase" desta "transição" tecnológica, a legitimidade da coleta é difícil de questionar. Fora dessas hipóteses, a recusa de fornecimento de dados biométricos é plenamente justificável.

5. Conclusões provisórias

Como alertei de início, este artigo não resulta de nenhum estudo aprofundado, mas de ideias ainda um tanto "soltas" que a leitura do excelente artigo de Oscar Valente Cardoso me levou a tentar sistematizar pela primeira vez.

Parto da posição de que a recusa de fornecer consentimento para o tratamento de dados pessoais, incluindo aí os dados biométricos, é postura absolutamente legítima enquanto os agentes de tratamento não demonstrarem de modo sólido a adoção de medidas necessárias à segurança dos dados tratados. É preciso que conquistem a confiança dos titulares, que somos todos nós, para que a recusa perca o caráter de legítima defesa do direito à privacidade.

Os casos de recusa começam a chegar aos tribunais, que precisam reconhecer aí uma oportunidade de contribuir para a consolidação normativa do direito à privacidade e ao tratamento de dados. Cabe aos julgadores uma atitude pragmática e casuística, enfrentando cada caso de acordo com suas particularidades, julgando com maior rigor os agentes de tratamento de dados mais relapsos e avaliando adequadamente as medidas de adequação à LGPD dos agentes de tratamento mais diligentes.

(Nota de atualização, 27/03/2021: graças a um comentário, pude explicitar melhor os fundamentos de algumas posições defendidas aqui. Convido os leitores a ler também o novo artigo: No tratamento de dados pessoais, o consentimento é o "rei"?)

  • Sobre o autorAdvogado, mestre em Arquitetura e Urbanismo, consultor em proteção de dados
  • Publicações41
  • Seguidores34
Detalhes da publicação
  • Tipo do documentoArtigo
  • Visualizações2100
De onde vêm as informações do Jusbrasil?
Este conteúdo foi produzido e/ou disponibilizado por pessoas da Comunidade, que são responsáveis pelas respectivas opiniões. O Jusbrasil realiza a moderação do conteúdo de nossa Comunidade. Mesmo assim, caso entenda que o conteúdo deste artigo viole as Regras de Publicação, clique na opção "reportar" que o nosso time irá avaliar o relato e tomar as medidas cabíveis, se necessário. Conheça nossos Termos de uso e Regras de Publicação.
Disponível em: https://www.jusbrasil.com.br/artigos/notas-sobre-recusa-de-consentimento-ao-cadastro-de-dados-biometricos/1184652096

Informações relacionadas

Oscar Valente Cardoso, Juiz Federal
Artigoshá 3 anos

Existe um Direito de Recusa ao Cadastramento Biométrico?

Oscar Valente Cardoso, Juiz Federal
Artigoshá 3 anos

Dados Faciais e Limites do Cadastro Biométrico

Brasil e Silveira Advogados, Advogado
Artigoshá 4 anos

12 direitos que o cliente de banco talvez não conheça

Andre Santana, Advogado
Artigoshá 5 anos

Reconhecimento facial para coleta de dados para fins comerciais sem o consentimento pessoal. Ilegalidade.

Pamella Teodoro, Advogado
Artigoshá 2 anos

Dados biométricos e os desafios frente à LGPD.

15 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Parabéns, excelente artigo! Ao invés de aumentarem os cuidados com a segurança da informação, aparentemente estão crescendo os casos de exigência de cadastro biométrico como condição para o acesso ao produto ou serviço. continuar lendo

Obrigado! O tema é "quente", e quanto mais debate público houver em torno dele, melhor. continuar lendo

Absurda a obrigação de cada vez mais condomínios e empresas de segurança terceirizadas exigirem o consentimento do cadastro facial para acesso a residências e edifícios comerciais. Se não confio na empresa e não quero fornecer MEU ROSTO MINHA DIGITAL dados imutáveis e chave de acesso A BANCO E CELULAR fico sem visitar amigos e parentes, fico sem fazer entrevista de emprego, fico sem viver. O negócio é morar nos EUA ou na Europa mesmo onde a população entende que privacidade e dados sensíveis deve ser respeitado. continuar lendo

Obrigado pelo comentário, Thais!

Na verdade, nos EUA esta coleta de dados é ainda mais indiscriminada que a nossa, porque lá a legislação sobre privacidade e proteção de dados não é federal, mas estadual.

A Califórnia, por exemplo, tem uma lei muito boa, a California Consumer Privacy Act (CCPA), mas nem todos os Estados nos EUA trataram o tema em legislação.

Na Europa, existe o Regulamento Geral de Proteção de Dados (RGPD), que foi usado como base para construir a nossa Lei Geral de Proteção de Dados ( LGPD) mas ainda tem sua implementação muito dificultada pelo fato de se tratar de legislação supraestatal, que depende de certos trâmites burocráticos para ser incorporada à legislação de cada país; além disso, na Europa as dificuldades na implementação do RGPD, apesar de todo o esforço, são bem parecidas com as nossas.

As empresas de segurança e de serviços de portaria daqui deveriam buscar alternativas para quem não queira ter seus dados biométricos coletados. Poderiam, por exemplo, pedir documento de identidade para digitalização, pois a digitalização do documento, por não envolver coleta de biometria, seria muito mais tranquila.

Além disso, a coleta de biometria (rosto, digital, etc.) cria uma falsa impressão de segurança, em troca da absoluta insegurança quanto à ampla circulação e compartilhamento dos dados biométricos fornecidos. Descontados os casos em que o dado biométrico substitui chaves para abrir ou fechar trancas, as empresas não fazem nada com esses dados que não pudesse ser feito mediante outras formas de identificação. continuar lendo

Gostei do texto. Tema de muito interesse, que é bem trabalhado pelo autor. continuar lendo

O texto mais confunde do que explica. A tese de hierarquia entre as hipóteses legais para de tratamento de dados pessoais é no mínimo surpreendente e para a qual não vejo nenhum fundamento ou aplicabilidade. O argumento que os funcionários da linha de frente deveriam saber explicar o destino dos dados coletados contradiz frontalmente o prazo de 15 dias que a lei prevê para o fornecimento detalhado de informações sobre os tratamentos de dados aos titulares que assim o requisitarem. E mesmo a questão da identificação biométrica para se exercer o direito ao voto esta prevista na lei no artigo 11º, inciso ll, letra g. continuar lendo

Agradeço pelo comentário, cujos equívocos me permitem explicitar melhor minha posição. Por limites de espaço, vou dividir minha resposta em partes, uma para cada equívoco.

1) "A tese de hierarquia entre as hipóteses legais para de tratamento de dados pessoais é no mínimo surpreendente e para a qual não vejo nenhum fundamento ou aplicabilidade."

Além da hierarquização notória no arrolamento das hipóteses legais do tratamento, em que o consentimento sempre aparece em primeiro lugar, em todas as outras hipóteses onde não há menção explícita a alguma forma de consentimento é porque estão em jogo interesses coletivos e difusos:

* cumprimento de obrigação legal ou regulatória ((Lei 13.709/2018, art. , II);
* execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congênere (Lei 13.709/2018, art. , III);
* exercício regular de direitos em processo judicial, administrativo ou arbitral (Lei 13.709/2018, art. , VI);
* para a proteção da vida ou da incolumidade física do titular ou de terceiro (Lei 13.709/2018, art. , VII);
* para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (Lei 13.709/2018, art. , VIII);
* para a proteção do crédito (Lei 13.709/2018, art. , X). continuar lendo

O tratamento de dados pessoais para fins de estudos por órgãos de pesquisa exige que seja "garantida, sempre que possível, a anonimização dos dados pessoais" (Lei 13.709/2018, art. , IV). É a única hipótese em que não há menção explícita ao consentimento, mas tem como contrapartida a anonimização.

O tratamento "necessário para a execução de contrato ou de procedimentos preliminares" traz embutido o consentimento, porque a autorização legal refere-se a "contrato do qual seja parte o titular", e ainda impõe como condição que tal tratamento seja executado "a pedido do titular dos dados" (Lei 13.709/2018, art. , IV) continuar lendo

O tratamento com base nos "interesses legítimos do controlador ou de terceiro" são, aparentemente, os mais complexos, porque exigem balanceamento entre estes interesses e algum exame, nos casos concretos, da prevalência de "direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais" (Lei 13.709/2018, art. , IX).

Esta é uma situação tão difícil que exige uma argumentação com base no Direito Comparado.

Nos países da União Europeia, onde é o RGPD quem vigora, tornou-se muito comum que agentes de tratamento, especialmente empresas, defendessem o tratamento de dados sem consentimento dos titulares com base no "interesse legítimo do controlador", também presente em nossa lei (Lei 13.709/2018, art. , IX).

O "interesse legítimo" dos agentes de tratamento de dados é um conceito jurídico indeterminado, determinável apenas contextualmente, em cada caso. É "interesse legítimo", por exemplo, coletar dados pessoais para enviar spam? É "interesse legítimo", em outro exemplo, ligar várias vezes durante o dia oferecendo promoções? É "interesse legítimo", num último exemplo, compartilhar informações de clientes com empresas do mesmo grupo econômico? Essa indeterminação foi uma porta aberta para práticas abusivas. continuar lendo

2) "O argumento que os funcionários da linha de frente deveriam saber explicar o destino dos dados coletados contradiz frontalmente o prazo de 15 dias que a lei prevê para o fornecimento detalhado de informações sobre os tratamentos de dados aos titulares que assim o requisitarem"

O comentador apresenta, quase literalmente a hipótese da Lei 13.709/2018, art. 19, II, mas ao fazê-lo passou reto pelo comando da da Lei 13.709/2018, art. 19, I, que transcrevo: "em formato simplificado, imediatamente".

O prazo de 15 dias é para informações detalhadas. De imediato, as equipes em contato direto com o público estão obrigadas, sim, a dar informações acerca do tratamento de dados, ainda que de modo simplificado. Não lhes cabe dizer que não sabem, ou que não podem fornecer a informação. continuar lendo

3) "...a questão da identificação biométrica para se exercer o direito ao voto esta prevista na lei no artigo 11º, inciso ll, letra g".

O comentador está correto ao afirmar que a identificação biométrica para fins de cadastro eleitoral está abrigada por esta previsão legal, porque se trata de "processos de identificação e autenticação de cadastro em sistemas eletrônicos".

A votação eletrônica é, por natureza, um sistema eletrỗnico, que depende essencialmente desses dados biométricos para garantir "prevenção à fraude e à segurança do titular".

Mas esta previsão legal restringe-se a tudo que diga respeito a "cadastro em sistemas eletrônicos", não a outros serviços que dele não dependem. continuar lendo

Defender o contrário é violar o princípio da necessidade, que é a "limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados" (Lei 13.709/2018, art. , III).

Observe os casos que mencionei, em especial o caso do motorista obrigado a fornecer as impressões digitais para finalizar uma compra. O caráter excessivo da coleta de dados é evidente, porque somente aquela rede varejista impunha tal exigência, e o processamento de impressões digitais não é essencial para a consumação do ato de compra e venda. Ainda mais quando o motorista podia, muito simplesmente, apresentar um documento com foto para validação de identidade por qualquer funcionário da loja. continuar lendo

Agradeço mais uma vez ao comentarista, cujos equívocos me levaram a explicitar melhor minha posição, e a escrever, pelo tamanho, um segundo artigo. Obrigado! continuar lendo