A coleta de dados biométricos, como impressões digitais, reconhecimento facial e escaneamento da íris, está cada vez mais presente no cotidiano de órgãos públicos e privados. Esses dados são classificados como dados sensíveis, sendo protegidos por legislações como a Lei Geral de Proteção de Dados (LGPD) no Brasil, o Regulamento Geral de Proteção de Dados (GDPR) na Europa e outras normativas internacionais. Apesar dessas proteções legais, o uso indevido, a comercialização e o vazamento desses dados têm levantado questões éticas e práticas, especialmente no caso de informações obtidas por meio do escaneamento da íris.
O que são dados biométricos e por que são sensíveis?
Os dados biométricos são informações físicas ou comportamentais que permitem identificar uma pessoa de forma única, como:
- Impressões digitais
- Reconhecimento facial
- Escaneamento da íris ou retina
- Reconhecimento de voz
- Padrões de marcha (forma de caminhar)
Esses dados são considerados sensíveis porque, ao contrário de senhas ou informações pessoais convencionais, eles não podem ser alterados ou substituídos. Por exemplo, se um dado biométrico como o escaneamento da íris for vazado ou vendido, a pessoa afetada não pode “mudar de íris”, o que pode levar a problemas graves de segurança e privacidade.
Como os dados da íris são coletados e utilizados?
A tecnologia de escaneamento da íris utiliza padrões únicos nos olhos humanos para autenticar ou identificar indivíduos. Essa tecnologia é amplamente utilizada em:
- Órgãos públicos: Controle de acesso em fronteiras (e.g., aeroportos), autenticação em sistemas de votação e identificação civil.
- Empresas privadas: Bancos para autenticação de clientes, sistemas de segurança empresarial e dispositivos eletrônicos (e.g., desbloqueio de smartphones).
Embora essas aplicações sejam úteis e aumentem a segurança, a coleta de dados da íris e outros biométricos gera preocupações sobre a venda e o uso indevido dessas informações.
A Venda de Dados Biométricos: Ameaças e Problemas Éticos
A venda de dados biométricos, incluindo dados da íris, é um problema crescente. Em muitos casos, empresas ou governos podem coletar esses dados sob o pretexto de segurança, mas utilizá-los ou compartilhá-los para fins comerciais. Exemplos incluem:
- Empresas de tecnologia que vendem dados biométricos para anunciantes ou outras empresas interessadas em análises de comportamento.
- Órgãos públicos que, por falta de regulamentação ou supervisão, compartilham dados com terceiros sem o consentimento do titular.
Exemplo 1: Vazamento de dados de reconhecimento facial (2020)
A empresa norte-americana Clearview, que desenvolve uma tecnologia de reconhecimento facial oferecida a autoridades policiais, está notificando seus clientes sobre um vazamento de dados que expôs a lista de clientes da startup, quantas buscas eles fizeram no banco de dados e o número de contas de acesso criadas por cada um.
Fonte: G1.GLobo.com
Link:
Exemplo 2:Coleta de Dados Biométricos pela empresa Tools for Humanity (2025)
Em 11 de novembro de 2024, a Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados instaurou o processo de fiscalização nº 00261.006742/2024-53 em face da empresa para investigar o tratamento de dados biométricos de usuários no contexto do projeto World ID.
Os dados pessoais biométricos, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar constituem dados pessoais sensíveis. Em razão dos riscos mais elevados que o tratamento desse tipo de dado pessoal pode oferecer, o legislador conferiu a eles regime de proteção mais rigoroso, limitando as hipóteses legais que autorizam o seu tratamento.
Fonte: ANPD
Link:
Riscos da Venda de Dados Biométricos
- Vazamento de dados: Uma vez vazados, dados biométricos como a íris não podem ser alterados, tornando-os permanentemente vulneráveis.
- Monitoramento em massa: A venda de dados biométricos pode levar ao rastreamento e monitoramento em larga escala de indivíduos, violando direitos à privacidade.
- Fraudes e roubo de identidade: Dados biométricos podem ser usados para criar identidades falsas, acessando contas bancárias ou informações confidenciais.
- Discriminação: O uso indevido de dados biométricos pode levar a práticas discriminatórias, como segregação racial ou exclusão de determinados grupos.
Legislação Aplicável: Como a LGPD e outras leis regulam a questão?
A LGPD (Lei Geral de Proteção de Dados) no Brasil estabelece diretrizes claras sobre a coleta, tratamento e compartilhamento de dados biométricos:
- Consentimento explícito: O titular dos dados deve ser informado de forma clara e consentir explicitamente para que seus dados sejam coletados e tratados.
- Finalidade específica: Os dados biométricos só podem ser usados para a finalidade informada no momento da coleta.
- Proibição de venda sem consentimento: A venda de dados biométricos, especialmente sensíveis como a íris, é ilegal sem o consentimento do titular.
Outras legislações internacionais, como o GDPR, seguem diretrizes semelhantes, impondo sanções severas para o uso indevido de dados biométricos.
Como órgãos públicos e privados devem agir para evitar problemas?
Órgãos Públicos
- Proteção de dados em sistemas de votação: Garantir que os dados biométricos coletados em eleições sejam armazenados de forma segura e não sejam usados para outros fins.
- Controle de fronteiras: Monitorar de perto contratos com fornecedores de tecnologia que implementam sistemas de reconhecimento de íris, garantindo a conformidade com as leis de proteção de dados.
- Treinamento de servidores públicos: Capacitar os funcionários para lidar corretamente com dados sensíveis e evitar práticas abusivas.
Empresas Privadas
- Políticas de privacidade transparentes: Informar claramente aos clientes como seus dados biométricos serão usados e protegidos.
- Auditorias regulares: Realizar auditorias internas para verificar se os dados biométricos estão sendo armazenados e tratados de forma segura.
- Evitar terceirização indiscriminada: Garantir que empresas terceirizadas que lidam com dados biométricos cumpram as leis de proteção de dados.
Exemplos de Boas Práticas
- Aeroportos Inteligentes: Em alguns países, os aeroportos usam o escaneamento da íris para facilitar o embarque e desembarque. Esses sistemas são projetados para armazenar os dados apenas durante a viagem, garantindo que sejam excluídos após o uso.
- Bancos e segurança digital: Instituições financeiras têm adotado tecnologias que criptografam os dados biométricos, garantindo que, mesmo em caso de vazamento, as informações não possam ser usadas.
Conclusão
A venda de dados biométricos, especialmente da íris, é uma questão sensível que envolve riscos éticos, legais e de privacidade. É fundamental que tanto órgãos públicos quanto empresas privadas ajam de forma transparente e responsável, garantindo que os dados sejam protegidos e utilizados apenas para os fins informados.
A LGPD e outras legislações são ferramentas importantes para proteger os cidadãos, mas a conscientização da população também é essencial. Como indivíduos, devemos estar atentos às práticas de coleta de dados e exigir nossos direitos de privacidade e proteção.
Se você é responsável por uma organização que lida com dados biométricos, busque orientação jurídica especializada e implemente as melhores práticas de segurança. A responsabilidade no tratamento desses dados é um compromisso com a privacidade e a ética em tempos de crescente digitalização.
Oswaldo Lirolla
DPO e Consultor LGPD