A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a uma empresa uma medida preventiva, determinando que haja a suspensão de incentivos financeiros oferecidos a cidadãos que permitiam a coleta de suas íris. A decisão foi tomada após a ANPD identificar falhas graves no consentimento dos titulares e possíveis riscos à privacidade no tratamento de dados sensíveis.

Por que isso é tão sério?
A íris é um dado biométrico, classificado como dado pessoal sensível pela Lei Geral de Proteção de Dados (LGPD). Esses dados exigem uma proteção especial por revelarem características únicas e irreversíveis dos indivíduos, aumentando os riscos de danos em caso de mau uso.

O que foi apontado pela ANPD?

A ANPD identificou irregularidades na coleta de dados biométricos realizada pela startup, por violações na base legal utilizada, o consentimento. A prática desrespeitou os critérios legais, pois se entendeu que não seria viável ao titular autorizar a coleta de sua íris de forma livre e inequívoca, já que havia uma compensação envolvida no fornecimento desses dados. No mais, é possível concluir também uma falta de transparência na comunicação com os titulares, impedindo uma compreensão clara sobre a destinação dos dados coletados. Como resultado, os dados estavam expostos a riscos elevados, já que informações biométricas, por serem únicas e permanentes, podem causar danos irreversíveis em caso de vazamento ou uso indevido.

O que diz a LGPD?
A LGPD (Lei nº 13.709/2018) estabelece princípios e bases legais para o tratamento de dados pessoais, com especial proteção aos dados pessoais sensíveis, que incluem informações biométricas, como a íris. Estes dados são tratados sob critérios ainda mais rigorosos. O tratamento de dados sensíveis exige uma base legal específica, e uma das mais comuns é o consentimento. Para que o consentimento seja considerado adequado, ele precisa ser livre, ou seja, dado sem qualquer tipo de coerção ou obrigação. Além disso, é essencial que seja informado, permitindo que o titular compreenda claramente como e por que seus dados serão utilizados. O consentimento também deve ser inequívoco, garantindo que não haja dúvidas quanto à manifestação da vontade do titular, e deve ser específico e destacado, direcionado a uma finalidade claramente definida e sem estar oculto em cláusulas genéricas.

Os princípios que regem o tratamento de dados pessoais reforçam esses critérios, sendo fundamentais a observância da finalidade, que determina que os dados sejam coletados para um propósito legítimo e previamente informado ao titular, e da necessidade, que exige que a coleta seja estritamente indispensável para o objetivo informado. A transparência também é crucial, assegurando ao titular o direito de saber como seus dados serão utilizados e armazenados. Por fim, o princípio da segurança destaca a obrigação da empresa de adotar medidas técnicas e organizacionais para proteger os dados contra acessos não autorizados ou vazamentos.

Por que isso importa para sua empresa?
Esse caso reforça que práticas inadequadas no tratamento de dados pessoais, especialmente sensíveis, podem gerar sanções da ANPD, como multas e suspensão de atividades. Além disso, a falta de conformidade pode prejudicar sua reputação no mercado.

Dica prática: Revise os contratos, termos de uso e políticas de privacidade da sua empresa para garantir que estejam em conformidade com a LGPD.

A decisão da ANPD é mais um passo importante para a consolidação da privacidade como direito fundamental no Brasil. As empresas precisam compreender que tratar dados pessoais não é apenas uma questão técnica, mas envolve, acima de tudo, respeito aos direitos e à dignidade dos titulares. A conformidade com a LGPD, além de ser uma obrigação legal, representa uma oportunidade para construir confiança e fortalecer a reputação no mercado.

Fonte: ANPD