A realização de identificação biométrica no cadastramento de pessoas para acessar um local é usada com frequência em academias.
Porém, a coleta e outras atividades de tratamento de dados pessoais devem levar em consideração as normas legais, especialmente da Lei Geral de Proteção de Dados Pessoais.
Recorda-se que todos os dados pessoais biométricos são dados pessoais sensíveis (art. 5º, II, da LGPD), o que significa que possuem um tratamento diferenciado, consistente em uma proteção maior (em comparação com os dados pessoais não sensíveis).
A principal diferença está na existência de bases legais distintas: as bases legais específicas para o tratamento dos dados pessoais sensíveis estão previstas nos arts. 11/13 da LGPD, que são mais restritas do que aquelas que regulam o tratamento dos dados pessoais não sensíveis (arts. 7º/10 da LGPD), especialmente com o uso prioritário do consentimento.
Por isso, o cadastramento biométrico dos titulares dos dados pessoais nas academias (realizado, em regra, com o uso de impressão digital), deve ter como base legal, prioritariamente, o seu consentimento (art. 11, I), que deve ser fornecido por escrito, em cláusula destacada e prestado de forma livre, informada e inequívoca (arts. 5º, XII, e 8º, da LGPD).
O dado biométrico deve observar o princípio da necessidade e ser usado na quantidade menor possível (e deve ser evitado). A senha alfanumérica pode ser trocada, mas o dado biométrico não.
Recentemente, em junho de 2021, a Autoridade Nacional de Proteção de Dados da Lituânia aplicou uma multa a uma academia, em virtude do descumprimento dos arts. 5º, ‘a’ e ‘a, 9.1, 13.1, 13.2, 30 e 35.1 do GDPR da União Europeia. O processo administrativo iniciou com a notificação de um titular, que informou ter sido obrigado a cadastrar sua impressão digital para ter acesso à academia, ou seja, houve o fornecimento de um consentimento “tudo ou nada” (all or nothing).
Por isso, a autoridade de proteção de dados decidiu que o consentimento não foi livre, porque o controlador (academia) não assegurou ao titular de dados pessoais o direito de acesso aos serviços por outros meios de identificação, sem a necessidade de realizar o seu cadastro biométrico.
No processo administrativo, a autoridade lituana também verificou que o controlador também realizou a coleta irregular das impressões digitais de seus próprios empregados, sem a especificação da base legal e da finalidade do tratamento dos dados pessoais biométricos.
No Brasil, essa questão deve ser avaliada com fundamento, em especial, no art. 8º, § 3º, da LGPD, que proíbe o tratamento de dados pessoais por meio de vício de consentimento (quando este for a base legal indicada pelo controlador).
Por outro lado, existirão situações em que a coleta de determinados dados pessoais (sensíveis ou não) serão necessárias para o tratamento e para o fornecimento do produto ou do serviço pelo controlador.
Desse modo, a observância do princípio da necessidade (art. 6º, III, da LGPD) será uma medida importante para delimitar os dados necessários para o tratamento e, consequentemente, permitir a verificação de eventual nulidade do consentimento “tudo ou nada”.