Entre as inúmeras atividades afetadas pela Lei Geral de Proteção de Dados Pessoais (LGPD), está o uso da identificação biométrica no cadastramento de pessoas para acessar determinados locais, que é utilizada com frequência em academias.
Com a entrada em vigor da LGPD, o que muda com o uso da biometria?
Em primeiro lugar, todos os dados pessoais biométricos são dados pessoais sensíveis (art. 5º, II, da LGPD), o que significa que possuem um tratamento diferenciado, consistente em uma proteção maior (em comparação com os dados pessoais não sensíveis).
Não se trata de proteger o titular contra situações discriminatórias (negativas), mas sim de normas diferenciadas de tutela dos dados pessoais sensíveis e uma proteção maior do direito constitucional à privacidade, independentemente do tratamento dado a ele e sua finalidade.
A principal diferença está na existência de bases legais diferenciadas.
As bases legais específicas para o tratamento dos dados pessoais sensíveis estão previstas nos arts. 11/13 da LGPD, que são mais restritas do que aquelas que regulam o tratamento dos dados pessoais não sensíveis (arts. 7º/10 da LGPD), especialmente com o uso prioritário do consentimento.
Por isso, o cadastramento biométrico dos titulares dos dados pessoais nas academias (realizado, em regra, com o uso de impressão digital), deve ter como base legal, prioritariamente, o seu consentimento (art. 11, I), que deve ser fornecido por escrito, em cláusula destacada e prestado de forma livre, informada e inequívoca (arts. 5º, XII, e 8º, da LGPD).
A finalidade do uso do cadastramento biométrico deve ser definida e não extrapolar a necessidade de identificar o cliente da academia na entrada e saída (art. 6º, I e III, da LGPD).
Além disso, os cadastros dos alunos nas academias contêm dados pessoais propriamente ditos (não sensíveis, como nome, idade, endereço, fotografia etc.) e dados pessoais sensíveis (além dos dados biométricos, podem ter dados pessoais relativos à saúde - como avaliações físicas, eventuais doenças e restrições a atividades físicas - , entre outros), o que também exige a adoção de medidas de segurança da informação para prevenir incidentes com esses dados (como a restrição a determinadas pessoas ao acesso ao banco de dados, uso de sistemas autorizados e atualizados, ferramentas de proteção etc.).
Portanto, é preciso se adequar à LGPD, que define os limites possíveis das atividades de tratamento de dados pessoais, sensíveis ou não.