O direito à privacidade, desde a sua elaboração no artigo “The right to privacy”, escrito por Samuel Warren e Louis Brandeis (e publicado em 1890 na Harvard Law Review), é um conceito fluído e dinâmico, que recebe uma alta carga de influência das mudanças sociais, culturais, econômicas, políticas e legislativas, entre outras.
Com a difusão e a popularização da internet, houve uma redução dos limites à privacidade e, até mesmo, o desenvolvimento de uma cultura de exposição, de uma busca por reconhecimento, fama e ganhos financeiros. Isso leva à necessidade de atualização do conceito e dos limites do direito à privacidade, inclusive na proteção dos dados pessoais.
Em 2020, a preocupação com a privacidade não é a mesma que existia em 1890, que compreendia principalmente a publicação não autorizada de fotos nas colunas sociais dos jornais.
Atualmente, há uma utilização crescente da biometria para a identificação segura das pessoas (a partir da análise de determinadas características, físicas e/ou comportamentais), em áreas variadas: dos eleitores pela Justiça Eleitoral, de passageiros nos terminais dos aeroportos, dos consumidores clientes de instituições financeiras, academias, empresas de transporte e em outros setores.
Contudo, o uso de impressões digitais como senhas ou outro meio de identificação pessoal gera mais riscos e vulnerabilidades, especialmente em virtude do uso de ferramentas digitais e de comunicações pela internet.
Há alguns anos, uma equipe do Instituto Nacional de Informática do Japão (NII) identificou a possibilidade de coleta das impressões digitais aparentes em fotos postadas nas redes sociais com os dedos em V. A foto tirada com apenas alguns metros de distância (ou alguns centímetros, no caso de selfies), combinada com uma iluminação forte e um smartphone simples com câmera de alta resolução, permite a recriação digital dos dados da impressão digital.
Em consequência – e de acordo com especialistas da equipe do NII –, seria possível o uso dessa impressão digital “copiada” para acessar aplicações eletrônicas que permitirem o desbloqueio por meio desse dado biométrico, com o agravante da impossibilidade de alteração desse dado (considerado um identificador estático).
Não bastasse isso, hackers chineses já demonstraram que o acesso por impressão digital de qualquer smartphone – e qualquer scanner de impressão digital – pode ser desbloqueado em 20 minutos, com o uso de uma fotografia do dado biométrico do titular (com os dedos em V, por exemplo) e um equipamento simples e barato.
Recorda-se que todos os dados pessoais biométricos são dados pessoais sensíveis (art. 5º, II, da LGPD), o que significa que possuem um tratamento diferenciado, consistente em uma proteção maior (em comparação com os dados pessoais não sensíveis).
No Brasil, em princípio é ilícita qualquer captura de impressão digital a partir das fotos publicadas pelo titular, considerando que, em regra, há necessidade do consentimento do titular (art. 11, I, da LGPD), de forma hierarquicamente superior às demais bases legais para o tratamento de dados pessoais sensíveis.
Por outro lado, a regra de dispensa do consentimento para os dados tornados manifestamente públicos pelo titular se aplica somente aos dados pessoais propriamente ditos ou não sensíveis (art. 7º, § 4º, da LGPD).
Excepcionalmente, caso seja demonstrada a indispensabilidade do tratamento do dado pessoal biométrico, admite-se a sua coleta e outras atividades de tratamento, desde que caracterizada alguma das bases legais previstas no art. 11, II, da LGPD. Contudo, ainda assim é questionável a possibilidade de extrair esse dado pessoal por meio da sua reconstituição a partir de uma foto do titular.
De qualquer modo, é preciso ter conhecimento dos riscos derivados da utilização de dados pessoais biométricos como senhas de acesso ou meios de desbloqueio de dispositivos, em virtude da vulnerabilidade e da possibilidade de coleta a partir de fotos.