Controle de ponto online pra gestão de jornada fixa e home office.

Sumário

Dados sensíveis: entenda o impacto da LGPD no controle de ponto por biometria

dados sensíveis

Com a LGPD já em vigor, muitos gestores de RH e TI estão se questionando sobre os impactos do controle de ponto por biometria, já que são utilizados dados sensíveis das pessoas.

Se você está em dúvida se é permitido o uso de dados sensíveis (biometria) para controle de ponto, continue nesse artigo que vamos te explicar tudo!

O que é a LGPD

A Lei Geral de Proteção de Dados (LGPD) é um grande passo para o Brasil que se coloca junto às nações que possuem legislações mais concretas para o tratamento dos dados pessoais.

Assim, ela unifica, amplia e revisa as regras anteriores — além de definir com clareza diversos conceitos. De tal modo, traz maior segurança jurídica e garante que os dados estejam sendo tratados em favor das pessoas.

Nesse sentido, com a LGPD temos os seguintes pontos de destaque:

  • Consentimento: é a base da Lei. Salvo as exceções permitidas, o consentimento na coleta e tratamento de dados é fundamental.
  • Autorização: como extensão do ponto anterior, a lei também assegura o direito do titular dos dados pedir sua remoção, retirar o consentimento, transferir suas informações para outra empresa, etc.
  • Gestão de riscos: outro ponto essencial para as empresas é de implementarem uma gestão de riscos e falhas de dados. Assim, é preciso ter governança corporativa focada na proteção da informação, medidas de proteção, auditorias, planos de contingência e resolução agilizada.
  • ANPD: a Autoridade Nacional terá como tarefas a regularização, orientação, fiscalização e penalização com base na LGPD.

O que são considerado dados sensíveis?

Dentro das definições da LGPD:

“II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”

De tal maneira, essa lista de informações sobre uma pessoa só poderão ser tratadas com consentimento ou quando for para:

  • Cumprir obrigação legal ou regulatória;
  • Execução de políticas públicas;
  • Órgãos de pesquisas, mas com anonimização de dados;
  • Exercício de contratos e processos judiciais;
  • Proteção da vida e segurança física do titular ou terceiro;
  • Tutela da saúde (apenas válido para os serviços de saúde);
  • Prevenção à fraude e segurança do do titular nos cadastros em sistema eletrônicos.

Assim, para essa última possibilidade de tratamento de dados sensíveis, temos que nos atentar aos requisitos do art. 9 da LGPD. Esse artigo determina que os titulares têm direito ao livre acesso para saber a:

  1. Finalidade do tratamento de dados;
  2. Forma e duração;
  3. Identificação do controlador;
  4. Contato do controlador;
  5. Informações se há uso compartilhado de dados e sua finalidade;
  6. Responsabilidade dos agentes que realizarão o tratamento;
  7. Menção explícita dos direitos do titular.

Como é feito o controle de ponto por biometria?

Antes de entendermos o impacto da LGPD no controle por biometria, vamos entender como ele é feito.

Nesse sentido, temos vários sistemas de biometria: impressão digital, reconhecimento facial e da íris. O que os sistemas eletrônicos fazem é pegar a imagem gerada pelo detector e criar um código criptográfico (“hash”, que garante autenticidade sem revelar os dados) que irá ser utilizado para o reconhecimento.

Portanto, o sistema poderá armazenar dois tipos de informações: a imagem e o código hash gerado.

Assim, cada sistema poderá gerar um hash diferente para a mesma impressão digital, por exemplo. Afinal, cada programa poderá utilizar um algoritmo diferente para as necessidades do equipamento.

Essas informações será importante para nós. Então, vamos agora entender os impactos da LGPD.

LGPD e o controle de ponto por biometria

Dados sensíveis
Freepik

Como sabemos, as biometrias são dados sensíveis. Tais dados precisam de um controle especial segundo a LGPD. Assim, para realizar o tratamento desse tipo de dados sensíveis será necessário mais atenção ao uso para finalidade específica e permitida, além da proteção dos dados.

Então, a LGPD permite o uso do controle de ponto por biometria? Sim!

A diferença agora é que o tratamento dos dados sensíveis precisa ser mais rigoroso. Assim como citado no começo, os dados sensíveis só podem ser tratados para finalidades específicas. 

Portanto, podemos dizer que o controle biométrico poderá se encaixar na hipótese de “prevenção à fraude”, tendo seu uso permitido. Ademais, é necessário que a informação biométrica não seja passível de tratamento posterior.

Isso significa que os sistemas não devem permitir que seja possível conseguir esses dados e fazer tratamento para outra finalidade. Em prática, isso quer dizer: não armazenar as imagens.

Pois, com as imagens a empresa poderá a qualquer momento realizar um novo tratamento e para outra finalidade não autorizada. Bem como, em caso de vazamento de dados, essas imagens poderão ser utilizadas pelos invasores. Enquanto isso, os dados sensíveis em hash não são úteis para invasores, pois apenas o sistema que gerou o código é que conseguirá interpretá-lo.

Então, como continuar utilizando essa tecnologia sem infringir o direito das pessoas?

Para tanto, listamos 5 critérios essenciais para o correto tratamento de dados sensíveis para o controle de ponto:

  1. Transparência: importante garantir que a pessoa tenha fácil acesso de suas informações, conforme o art. 9 que comentamos.
  2. Infraestrutura: uso de sistemas confiáveis, além de banco de dados com ótimos sistemas de seguranças;
  3. Finalidade: não permitir que os dados sensíveis das pessoas sejam utilizado para outra finalidade, afinal o dado biométrico para nós é apenas para o controle de ponto, buscando evitar fraudes.
  4. Gerador de hash: há diversos algoritmos que geram os “hash”, entretanto alguns deles são extremamente fracos para a tecnologia atual. Por isso, é preciso utilizar programas atualizados e que sigam as boas-práticas do mundo da segurança de dados.
  5. Armazenamento de hash: para evitar problemas com vazamentos ou uso mal intencionado, o armazenamento dos dados biométricos precisam ser apenas em código criptografado, assim se reduz os riscos.

Enfim, ao contratar um sistema de controle de ponto biométrico é preciso se atentar a esses cinco pontos do tratamento de dados sensíveis. Além de certificar-se que o fornecedor atende à todas exigências da LGPD.

Assim, sua empresa se protege dos riscos, garante um controle de jornada eficiente e garante que os dados sensíveis dos colaboradores estão seguros.

Ainda não conhece a vantagem de um controle de ponto por biometria facial? Temos um artigo aqui no blog para tirar suas dúvidas: confira!

Autor do conteúdo:

Edgar Henrique

Edgar Henrique

Chief Product Officer da TradingWorks e especialista em Gerenciamento de Projetos, BPM, Mapeamento de Processos, Scrum, PMP, Bizagi, CDIA+, Kofax, VB.NET, C#, VB6, SQL Server e MS Project.

Mais conteúdos do blog