Reflexões sobre o uso de biometria nas empresas

Seja por tendência, moda, pressão ou necessidade de inovação e adaptação a novos tempos, períodos de crise e a busca pela agilidade nos negócios, as empresas vêm buscando se atualizar e passar pela transformação digital tão aclamada (e vendida). Desta forma, são expostas de forma massiva a tecnologias, algumas disruptivas outras nem tanto, mas que, em sua maioria, são muito atrativas e por diversas vezes acabam sendo contratadas pelos gestores sem antes uma avaliação da real conveniência, dos riscos que atrai ou dos resultados práticos da tecnologia adotada - é o que estou chamando, aqui, de empolgação digital. 

Como entusiasta de tecnologia, eu também gostaria de adquirir e implementar toda ferramenta, soluções, hardware ou software, que o orçamento da minha organização puder alcançar. Na maioria das vezes, usar o ápice da tecnologia também agrega valor ao negócio, ou pelo menos gera um belo marketing. 

Atualmente, na dita era da informação, muitas organizações e gestores se interessam por dispositivos e sistemas que se utilizam de biometria para identificação de pessoas por considerar que devem fazer parte obrigatoriamente da dita transformação digital a todo custo, e inovar - já que aplicar sistemas biométricos implicaria o uso de tecnologia 'avançada' (entre aspas, porque aplicação de biometria não trata necessariamente de tecnologias do último lançamento ou consideradas inovadoras, a essa altura). 

A palavra Biometria, com origem do latim (bio + metria), em seu significado que é utilizado mais popularmente hoje, está ligado à medida e verificação das características físicas de um indivíduo através de processos automatizados, de modo a possibilitar identificá-lo com maior precisão. O uso da biometria como forma de identificação encontra origem antiga, como na pré-história e na china antiga, em que artesãos inseriam suas digitais em vasos como forma de identificar seus produtos.

Seu uso na tecnologia traz grandes vantagens para uso em sistemas, pela possibilidade de se utilizar de uma amostra biológica na tentativa de evitar fraudes e validar a identidade de um cliente, usuário ou consumidor. Com aplicação de um sistema de identificação biométrica, presume-se que não é possível que se consiga acesso sem ser a própria pessoa cadastrada, pois a "senha" para acessar o sistema é a própria pessoa, através de alguma amostra biológica. Grosso modo, as biometrias se dividem em dois tipos: comportamentais, como a voz, pois ela depende de como a pessoa se comporta; e físicas, constituídas das próprias características físicas do indivíduo, como impressão digital, íris ou retina dos olhos, palma da mão, entre outros dados corporais. 

No Brasil, o uso corporativo mais difundido da identificação biométrica é no RH das empresas, para registro de ponto de colaboradores; mas também é usado em escala relevante atualmente para controles de acesso, seja a datacenters, CPDs, e mesmo a escritórios ou prédios corporativos por administradoras de condomínios - por esta razão, o uso mais popular tem sido o da biometria utilizando impressão digital de dedos das mãos, embora haja o uso já em bom número da biometria facial, através de câmeras inteligentes via software de reconhecimento. 

Assim sendo, combater fraudes, além de agilizar processos de identificação que trazem conforto e facilidade de acesso, são benesses apontadas para usar tais
método automatizados. A biometria, usada para fins de identificação de um indivíduo como portador de características únicas, é utilizada para combater furtos e fraudes em diferentes situações, sendo sua utilização de grande segurança, pois consegue impedir que pessoas não autorizadas acessem locais (físicos ou virtuais) e/ou dados sigilosos.

 É muito comum hoje nos depararmos com o uso da biometria em vários locais e equipamentos para diversas utilidades, como: 

• Registrar o horário de trabalho no relógio de ponto da empresa;
• Abrir portas ou portões, seja no seu local de trabalho ou na sua residência;
• Utilizar o caixa eletrônico, inclusive para saque de dinheiro, em alguns bancos;
• Desbloquear a tela do celular;
• Logar em computadores e notebooks;
• Acessar aplicativos das mais diversas funcionalidades, inclusive internet banking e realizar operações virtuais;
• Ou até para realizar a votação nas urnas eletrônicas. 

A questão provocativa que trago é: o quão benéfico o uso da biometria pode ser, em contraposição aos riscos (ou malefícios) que um incidente (uso indevido, irregular, vazamento etc.) pode vir a causar? 

Na identificação criminal, por exemplo, considerando a necessidade finalística de individualizar fielmente o infrator, principalmente em fases de investigação, e considerando que o Estado deve possuir as melhores formas de guardar e utilizar tais informações, parece ser mais fácil justificar o uso, inclusive de DNA, como sabemos que já ocorre há um tempo considerável (clique aqui). 

No Brasil há, inclusive, um Banco Nacional de Perfis Genéticos, que possuia, em abril de 2021, cerca de 100 mil perfis cadastrados (clique aqui); que fora criado em 2012 pela Lei federal 12.654 (posteriormente atualizada pela Lei 13.964/2019; ambas alteraram a  Lei 12.037/2009 - as regras do banco de perfis genéticos estão dispostos nos arts. 5A a 7C desta última Lei). 

Além disso, o reconhecimento facial tem ajudado polícias e agências de inteligência a combater crimes (clique aqui) e inclusive o terrorismo (clique aqui), apesar do seu uso irrestrito ser controverso mesmo para tais finalidades (clique aqui). 

Isso porque, em paralelo ao surgimento e aplicação das tecnologias disruptivas e inovadoras (na verdade, normalmente um bom tempo depois das inovações já estarem em prática, já que o direito se adapta à realidade, e não o contrário), o clamor da sociedade por regulamentação e limites para diversas novidades praticadas acarreta em também inovações legislativas para que as consequências do uso de tais tecnologias possa ser de alguma maneira controlado, e as forças de cada lado da balança possam ser minimamente equilibradas novamente. 

Apesar das inúmeras medidas neste sentido pelo mundo afora que poderíamos citar, como a GDPR na Europa, os frameworks de segurança e privacidade nos sistemas financeiros, procedimentos médicos, telecomunicações etc., temos no Brasil uma das normas de cunho geral que veio para mudar paradigmas - a LGPD - Lei Geral de Proteção de Dados (Lei Federal 13.709/18), que regula a privacidade e a proteção de dados pessoais em uso pelas organizações (e pessoas naturais, inclusive, quando para fins comerciais) - e, portanto, também alcança a utilização da biometria. 

Neste cenário, com o aumento dos projetos envolvendo a LGPD/privacidade e proteção de dados pessoais em que temos participado, nos deparamos constantemente com questões envolvendo o uso ou interesse de passar a usar a biometria em processos corporativos. 

Adiantamos aqui que, por diversas vezes, desaconselhamos o seu uso, principalmente pela falta de maturidade da empresa e dos times internos para lidar com este tipo de Dado Sensível (como definido pela LGPD), seja maturidade em relação a níveis de segurança da informação, seja no próprio tópico de privacidade e proteção de dados pessoais, e todas as consequências que o uso negativo deste tipo de dado poderia causar. 

Como a questão é bastante complexa e relativamente nova, e diante de tantas notícias e fatos que vem sendo compartilhados e repassados, inclusive nos grupos temáticos no whatsapp sobre proteção de dados pessoais, sentimos falta de materiais explorando o assunto e reunimos um pouco de material para que este tema seja mais conhecido, debatido e estudado. 

Como se sabe, o volume de ataques hackers no Brasil e no mundo atingiu números recordes (clique aqui e aqui), isso contando-se apenas os casos conhecidos, pois pequenas e médias empresas podem ainda passar por questões desta natureza sem que o fato fique conhecido ou público. 

Neste cenário, não obstante o próprio fato de o dado biométrico estar vinculado a direitos fundamentais concernente à personalidade, em especial ao direito de imagem e à privacidade, e por si só merecer atenção e responsabilidades especiais de acordo com as novas normas, é evidente que um incidente de segurança da informação envolvendo informações biométricas pode causar danos maiores do que com dados pessoais comuns, pelas consequências possíveis neste âmbito. 

Por esta razão, a avaliação da utilidade, necessidade e eficiência dos métodos de identificação a serem utilizados por uma organização devem ser sopesados e analisados em pé de equilíbrio com o benefício que trará para a entidade, assim como os potenciais benefícios ou prejuízos que poderá causar aos titulares dos dados biométricos tratados - essas análises de riscos e de impacto da atividade de tratamento são normalmente desenvolvidas e formalizadas em instrumentos previstos na legislação e em modelos internacionais aplicáveis a programas de privacidade e proteção de dados pessoais. 

É certo que em diversas ocasiões o resultado desta análise de impacto e riscos poderá concluir pela desnecessidade ou recomendação contrária à imersão da organização em atividades de tratamento de dados pessoais tão importantes, sensíveis e de alto grau de prejuízo que um mau uso pode causar ao titular, e não há nada de tão ruim nisso, pois certamente há alternativas para se chegar a resultados práticos parecidos, muitas vezes mais simples e até mais baratos, que resolvem a necessidade da empresa de maneira satisfatória. 

Vale ressaltar ainda que a possibilidade de fraudes nunca será totalmente descartada simplesmente pela adoção de medidas biométricas de identificação, pois ainda que reduzam consideravelmente esta possibilidade, há, infelizmente, aqueles que se esforçam para burlar seja qual for a medida protetiva que seja implementada (e não é de hoje: clique aqui e clique aqui). 

Ademais, como toda obra desenvolvida pelo ser humano, a tecnologia empregada para uso de biometria também pode falhar, e causar danos relevantes (clique aqui), sendo importante relembrar que não apenas se deve investir na tecnologia que lerá dados biométricos, mas todo o arcabouço que envolverá coleta, armazenamento e proteção dos dados biométricos dos indivíduos que se pretenda identificar. 

Esse estudo de finalidade, de riscos, autorização legal, de impacto e tecnologias empregadas em todo o processo de tratamento de dados biométricos (assim como de outras atividades de tratamento de dados pessoais em geral) deve ser ainda prévio ao início das atividades propriamente ditas, para se evitar ainda que parte do investimento já aplicado seja perdido, ou haja mais gastos para defender sua aplicabilidade, como viu-se recentemente pela concessionária de linha de Metrô em São Paulo (clique aqui); essa análise prévia, que ajusta e/ou valida o tratamento de dados pessoais, por criação/batismo de Ann Cavoukian se passou a chamar de Privacy by Design. 

Aliás, se as máquinas são falíveis, como dito acima, temos que os humanos que as operam, muito mais o são; e aí, não basta apenas investir em estudos prévios, tecnologias de leitura de biometria, armazenamento, segurança da informação, mas também treinar e fiscalizar os times que trabalharão no processo ou que terão acesso a tais dados, visto que o uso indevido desse tipo de dados pessoais pode também causar danos por vazamento incidental ou intencional, ou ainda causar uma facilitação a hackeamento de um servidor, um banco de dados, ou mesmo um arquivo. 

Imaginemos, daqui a certo tempo, vazamento recorrentes de informações biométricas massivas; com o avanço das tecnologias de impressão 3D, imagens realísticas visualizadas e projetadas em equipamentos cada vez menores, frente ao uso cada vez mais amplo de se acessar desde dispositivos de tecnologia (computadores, tablets, celulares) a edifícios corporativos e residenciais, casas inteligentes, e principalmente para acessar perfis online, como e-mails, redes sociais, se autenticar até nas farmácias (muito discutido - clique aqui) e acessar contas bancárias(!) - as consequências, de um modo geral, podem ser bastante severas.

 E levantamos este ponto sabidamente porque, na maioria das vezes, o meio de coleta e a forma de armazenamento dos dados biométricos nem mesmo é razoavelmente seguro. 

Há alternativas tecnológicas, modernas e igualmente seguras para identificar um individuo e que pode cumprir as mesmas funcionalidades e finalidades do uso indiscriminado da coleta e armazenagem de dados biométricos, que poderia ser mais prudentes e equilibrados quando a incidência de fraude seja menos recorrente, ou mesmo quando o dano causado por uma eventual fraude seja relativamente fácil de ser revertido e/ou punido. 

Novamente, sugerimos aqui pensarmos no exemplo do registro de ponto de funcionários de uma empresa: uma coisa é impor aos titulares o uso da biometria, como no uso do ponto eletrônico, afinal a determinação vem do empregador; situação diferente é a de titulares que podem optar, dentre alternativas dadas por agente de tratamento de dados pessoais, de como seus dados serão tratados (uso de celular/smartphone, acesso ao internet banking ou aplicativo do banco, login no PC/notebook etc.). 

Não se discute aqui que a biometria se apresenta hoje como meio bastante seguro para que se tenha uma maior certeza daquele que se identifica; mas, para ações tão simples quanto o registro da jornada/ponto na empresa, que significa cumprir uma burocracia da legislação trabalhista, seria necessário expor e criar bancos de dados de de informações pessoais sensíveis desta natureza? Não haveriam outros métodos de gestão viáveis e eficientes, desde simples cliques em computadores, tags/cartões ou via celular? Onde estariam os gestores desses empregados que não podem acompanhar a jornada e, melhor ainda, a produtividade dos colaboradores, a ponto de necessitar uma prova biométrica de que eles estão ali disponíveis para o trabalho? 

Não é proibido, em absoluto, que esta tecnologia seja usada para o registro de ponto - mas o tratamento de um dado pessoal sensível deve ser racional, proporcional, possuir uma finalidade clara, objetiva e legítima, e - talvez os principais pontos - a empresa deve medir a NECESSIDADE de usar tal método para identificação, considerando as alternativas para o mesmo fim, e mensurar/gerir os riscos das atividades de processamento deste tipo de dado pessoal, endereçando as medidas necessárias para mitigá-los e evitar consequências graves. 

Longe de sermos alarmistas ou utilizarmos do exagero, mas é possível pensar que, como boa parte das medidas descritas acima não são aplicadas por uma boa parte das empresas que decidiram implementar captura de dados biométricos para identificar titulares de dados pessoais, por exemplo, para o simples ato de controle de registro de ponto, e diante do crescente uso, muitas vezes indiscriminado e sem proteções necessárias para a coleta, armazenamento e aplicação da biometria para fins como este, os bancos de dados e volume de informações biométricas crescem a cada período - na medida em que, num determinado momento, se não forem adotadas salvaguardas e medidas de mitigação de riscos, os abusos e usos criminosos poderão se tornar comuns e difíceis de se evitar, tal como vemos atualmente com os milhões de dados vazados em massa de empresas diariamente, considerando a explosão do big data de forma não organizada, queremos dizer, a coleta massiva de dados pessoais de indivíduos, muitas vezes sem finalidade específica ou mesmo conhecida pela organização, para um possível uso posterior que pudesse interessar, o que muitas vezes nem chegou a ocorrer - até que o vazamento, acidental ou provocado - ocorreu.

Se investir numa tecnologia relativamente barata que usa biometria para registro de ponto é importante, vamos investir (e talvez priorizar) o investimento na segurança desse sistema e do armazenamento desses dados, seja através de criptografia, garantia de não rastreabilidade, segurança física e lógica dos servidores e consequentemente dos bancos de dados. 

Aos que estão questionando se eventualmente esse curto artigo é exagerado, já que a tecnologia se faz presente para nos favorecer (e eu, como entusiasta e normalmente early adopter de muitas inovações, concordo plenamente com isso), basta pensar rapidamente o que o Google, a Apple ou alguém que consiga acesso a seus dados biométricos salvos e consiga os utilizar no seu smartphone, o que poderiam fazer/acessar em poucos segundos - lembrando que há dados biométricos que podem estar sendo coletados que você nem sabe ou autorizou, como sua voz e seu rosto. 

É lugar comum dizer que a tecnologia e os próprios recursos de identificação biométrica são importantes, necessários, interessantes e muito úteis - e que incentivamos e apoiamos essa evolução; o que se busca aqui são apenas reflexões sobre algumas consequências possíveis e seu uso com assunção de riscos desnecessários, ou por vezes desconhecidos. 

Que possamos evoluir com inovação e mudanças positivas, enquanto o equilíbrio através de normas sociais vai encontrando sua medida certa de adequação.