Sócios da LBCA, explicam em artigo publicado pelo Crypto ID sobre a biometria comportamental, no que ela se baseia e como funciona.
A canção sertaneja “Meu Jeito de Sentir”, composta por Muriel Martin-Del-Campo e cantada nas vozes da dupla Bruno e Marrone, traz em seu refrão: “Só você, só você que conhece meu jeito de sorrir e até meu jeito de chorar”, a reforçar a ideia de que o comportamento humano segue um padrão conhecido entre os humanos que se relacionam entre si.
No entanto, o comportamento humano compreende muito mais do que as reações sentimentais. A forma de andar, o ritmo da digitação, os gestos, a velocidade da fala, a entonação da voz e muito mais. E quando todas essas características se tornam únicas e exclusivas de cada humano, há de se falar na biometria comportamental, ou seja, além da conhecida biometria física, associada, por exemplo, à ponta dos dedos ou ao rosto, há de destacar outras características únicas de cada ser humano[1].
Assim como a tecnologia do reconhecimento facial identifica indivíduos e reconhece expressões faciais, surge a questão: o comportamento humano único de cada um (biometria comportamental) pode ser devidamente captado e tratado por máquinas inteligentes? E se a resposta for positiva, quais são as principais aplicações e riscos desta inovação?
No tom de modernidade alcançado em 2020, o comportamento humano tem sido empregado a fim de proteger os dados pessoais, e a biometria tem sido aplicada como uma das mais inovadoras formas de segurança do mercado. Esse é um evento interessantíssimo, eis que dados biométricos são considerados dados sensíveis, exigindo um alto nível de cuidado e proteção no que tange ao tratamento de dados pessoais.
Como a biometria é baseada em atributos únicos da pessoa, ela é uma alternativa a outros mecanismos de identificação/autenticação, como senhas e cartões. Isso é uma vantagem para os usuários, pois independe do uso de mecanismos físicos e da memorização de cifras e dificulta o acesso por terceiros. Seu uso permite a identificação de uma pessoa com base em quem ela é, ao invés de algo que ela possui ou se lembra.[2]
Uma minuciosa análise de riscos, bem como a avaliação de fluxos de dados e processos será necessária, quando se falar de biometria, e demandará controles de segurança assertivos, a fim de que sua utilização seja benéfica e protetiva não causando nenhum dano ao usuário, aqui, titular de dados pessoais.
Os sistemas biométricos podem ser classificados em dois tipos. O primeiro é a biometria com base em características anatômicas: reconhecimento facial, de íris, retina e impressões digitais. O segundo é a biometria baseada em padrões comportamentais, tais como assinatura/caligrafia e análise do horário e local de acesso a determinado aplicativo, padrão de transações bancárias, pressão dos dedos sobre as teclas de um smartphone e velocidade de digitação. Temos, ainda, o reconhecimento por voz, que pode ser considerado uma combinação de características físicas e comportamentais.[3]
A biometria comportamental, especialmente a baseada nesses padrões de login e utilização dos aplicativos, traz uma nova camada de segurança aos dispositivos e aplicações ao identificar, por meio de inteligência artificial e algoritmos, atos e acessos que não condizem com os hábitos do usuário. Nesses casos, a operação é bloqueada e é feita uma verificação adicional.
Fato é, que através de inteligência artificial, é possível usar a biometria comportamental, identificando padrões de comportamento do usuário, como meio de segurança. O ponto interessante aqui, diferentemente de outros controles de segurança da informação, é a importância do fator humano nesse tipo de medida. Ainda que estejamos tratando de tecnologias e dispositivos, o ponto focal é o histórico de ações do usuário por trás das máquinas, e como o conjunto de seus comportamentos pode evitar violações de dados pessoais.
Desta forma, não se fica restrito ao uso de medidas e controles de segurança voltados para máquinas ou softwares, mas conta-se com o comportamento humano, sua forma individual de agir, que acaba por movimentar e diferenciar essa estrutura formada por segurança padronizada.
Sem dúvida, a biometria comportamental traz mais segurança aos dispositivos e aplicativos e o faz de forma que, via de regra, não é necessária nenhuma ação adicional por parte dos usuários. Pode haver interferência na experiência do usuário, contudo, se a operação ou acesso forem bloqueados. Por outro lado, não se pode esquecer que as características e padrões que embasam a biometria comportamental, assim como as demais modalidades, são dados pessoais[4], tanto é que são justamente o que permite identificar cada usuário.
Incidentes com dados pessoais, como vazamentos ou violações, podem trazer um alto risco aos titulares desses dados, ou seja, os usuários. Nesse sentido, as empresas devem realizar o tratamento desses dados pessoais de acordo com a legislação aplicável e vigente, em especial a LGPD, usando todas as medidas de segurança cabíveis para a proteção dos referidos dados, estabelecendo as finalidades e bases legais e seguindo os princípios e normas, inclusive em relação ao dever de informar aos titulares quais dados são coletados e usados, para que, por quanto tempo serão armazenados e etc.
Isso inclui o respeito ao princípio da não-discriminação, estabelecido no artigo 6º, inciso IX, da LGPD. Quando se trata de decisões baseadas em inteligência artificial e algoritmos, como é o caso da biometria comportamental, existe a criação de perfis para definir ou classificar os usuários, o que pode gerar discriminação. É necessário que o uso da biometria comportamental desconstrua possíveis vieses discriminatórios[5], sendo aplicada de forma eficaz quando se fala em proteção de dados pessoais.
Ainda, a LGPD prevê em seu artigo 20, que os titulares de dados pessoais têm direito de pedir a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Assim, caso as decisões relacionadas à biometria comportamental sejam totalmente automatizadas, as empresas devem se preparar para realizar suas revisões e prestar informações sobre elas, caso os usuários assim solicitem.
Além disso, é importante que as empresas que fazem uso desse controle busquem sempre aperfeiçoá-los, para que, de um lado, o usuário, leia-se titular de dados pessoais, não tenha suas operações constantemente pausadas sem necessidade, mas, ao mesmo tempo, seja aplicada a maior segurança possível. O mesmo equilíbrio se faz necessário quando se trata de dados pessoais.
A LGPD veio para regular o uso dos dados pessoais e protegê-los, assim como a seus titulares, o que é essencial na sociedade dos dados em que vivemos, mas não se pode aplicá-la de forma a obstar as atividades comerciais e o desenvolvimento da tecnologia.
Quem te conhece melhor do que seus companheiros e sua família? Eles conhecem suas reações e comportamentos em diversas situações, no entanto, cada um de nós é um ser individualizado, podendo ser identificado em função de uma singularidade. Diante disso, fica claro que, ainda que se viva em um mundo digital apoiado pela inteligência artificial, que a segurança corporativa seja primordial, e que a tecnologia evolua nesse sentido, diariamente, a proteção dos dados pessoais, das características individuais e dos direitos humanos sempre deverá ser priorizada.
Helena Guimarães de Oliveira e Mariana Sbaite Gonçalves são advogadas e sócias da Lee, Brock,, Camargo Advogados (LBCA). Ricardo Freitas Silveira é sócio e Chief Data Officer da LBCA, Mestre em Direito, Justiça e Desenvolvimento pelo Instituto Brasiliense de Direito Público ( IDP), Pós-graduado em gestão jurídica, empreendedorismo e inovação e Professor em cursos de graduação e pós-graduação da Fundação Instituto de Administração (FIA).
[1] JAIN, Anil K.; FLYNN, Patrick; ROSS, Arun A. Handbook of biometrics. New York, USA: Springer, 2007, p. 01.
[2] JAIN, Anil K.; FLYNN, Patrick; ROSS, Arun A. Handbook of biometrics. New York, USA: Springer, 2007, p. 02.
[3] Nunes, Fernanda Todesco. Técnicas de biometria baseadas em padrões faciais e sua utilização na segurança pública. 2017. 65 p. Trabalho de Conclusão de Curso (Especialização) – Universidade Federal de Santa Catarina. Campus Araranguá. Tecnologias da Informação e Comunicação aplicadas à Segurança Pública e Direitos Humanos. Araranguá/SC, 2017. Disponível em: <https://repositorio.ufsc.br/xmlui/handle/123456789/180402?show=full>. Acesso em 30/12/2020.
[4] Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, conforme o artigo 5º, inciso I da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD.
[5] ZANATTA, Rafael A. F. Perfilização, Discriminação e Direitos: do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados Pessoais. Universidade de São Paulo, São Paulo, fev. 2019, p. 3-4.
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a
