A base legal para o tratamento de dados biométricos dos empregados à luz da LGPD

A Lei nº 13.709/2018 [1], conhecida como Lei Geral de Proteção de Dados (LGPD), após pressão política interna e, em especial, internacional, e diversos entraves no processo legislativo, foi publicada em agosto de 2018, tendo entrado em vigor em setembro de 2020. 

Isto é, o próprio artigo 1º da LGPD, ao estipular que possui por finalidade a proteção dos "direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural", não limita quais relações jurídicas estarão abarcadas pelo novo normativo, ostentando uma verdadeira transversalidade [2].

Assim, apesar de a LGPD, diferentemente da GDPR, que, em seu artigo 88, disciplina regras no tocante ao tratamento de dados pessoais no contexto laboral, não mencionar expressamente como será o tratamento de dados da seara das relações de trabalho, a sua incidência não pode ser afastada, devendo ser observada no cotidiano das rotinas trabalhistas. Desse modo, é capaz de impactar de forma substancial nessas relações, desde antes da sua constituição e até após o rompimento contratual.

Tal raciocínio não poderia ser diferente ao analisar o conceito de dado pessoal previsto no artigo 5º, I, da LGPD como sendo a "informação relacionada à pessoa natural identificada e identificável" e o de dado pessoal sensível, no inciso II de tal dispositivo, sendo o "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".

Nota-se, desse modo, que é natural que a empresa possua um grande banco de dados de seus empregados, tendo o, inclusive, aos classificados como sensíveis. Portanto, cabe à empresa se adequar à LGPD também na proteção deles.

Uma rotina trabalhista comum e determinada, inclusive, por imposição legal, é o registro de ponto pelo empregado quanto à sua jornada, nos termos do artigo 74 da CLT, que possibilita que ocorra de forma manual, mecânico ou eletrônico.   

O mais corriqueiro é que esse controle se dê através da impressão digital, possibilitado pela Portaria 1510/2009, do então Ministério do Trabalho. O objetivo dessa permissão refere-se justamente em conceder maior fidedignidade tanto quanto à realidade da jornada, quanto à veracidade daquele que a está marcando, buscando reduzir o uso das folhas de ponto manuais, íveis de insegurança, como a perda, o esquecimento e a marcação britânica. Além disso, possibilita garantir o real cumprimento da jornada, bem como de obrigações dela decorrentes, a exemplo da hora extra.  

Salienta-se que "biometria", determinada pela LGPD como dado sensível, não se refere apenas à impressão digital, vindo a incluir, inclusive, mecanismos que utilizam íris, face, voz e até mesmo maneira de caminhar de determinada pessoa. Contudo, são dados capazes de identificar com alto grau de precisão a pessoa e, quando associados a certos contextos, podem, em tese, gerar uma discriminação.

Nesse sentido, dentro do aspecto dos impactos da LGPD nos contratos laborais e o dever de proteção por parte do empregador dos dados de seus empregados, um tema que vem sido trazido à baila é, inicialmente, se o uso dos dados biométricos dos empregados seria compatível com a nova norma.

O questionamento é levantado, em um primeiro momento, ao analisar o princípio da necessidade ou minimização, previsto no artigo 6º, III, da LGPD. Pois, conforme exposto, há outros mecanismos menos invasivos capazes de controlar o registro da jornada do empregado, como as próprias folhas manuais e o cartão magnético.

Contudo, esses meios citados não são tão eficazes de assegurar a integridade dos horários lançados, bem como a autoria da marcação quanto o ponto eletrônico por biometria, o que faria com que a sua prática não fosse vedada pela LGPD.

Com essa compatibilidade, outro questionamento plausível de ser suscitado é qual a base legal que justificaria essa utilização, entrando no escopo se seria necessário que o empregador coletasse consentimento de cada empregado para que pudesse utilizar do dado biométrico para o fim exposto.

No entendimento dos professores Fabrício Silva, Iuri Pinheiro e Vólia Bonfim [3], é defensável a corrente de que não seria necessário o consentimento, pelo fato do controle da jornada pelo empregador decorrer de uma obrigação legal, conforme já exposto, o que estaria respaldado com base no artigo, 11, II, "a", da LGPD como cumprimento de obrigação legal.

No contexto das relações laborais, o uso de dado biométrico do empregado pode não se limitar apenas à questão de registro de jornada, sendo frequentemente utilizado para permitir o o à empresa e considerado um mecanismo de segurança do ambiente empresarial em que somente pessoas autorizadas poderiam adentrar ao local.

Nesse caso, há também o entendimento de que a base legal adequada tampouco seria o consentimento do empregado, uma vez que a legislação teria autorizado o uso do dado sensível sem autorização do seu titular para os casos de "garantia da prevenção à fraude e a segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos", nos termos do artigo 11, "g", da LGPD. 

Cabe ainda ressaltar que, em que pese se trate de dado sensível e que, à primeira vista, a análise poderia levar ao entendimento de que seria necessário o consentimento do empregado para o tratamento, o uso da biometria seja para registro de ponto ou para o à empresa garante direitos fundamentais, como o da própria integridade física, que irão se sobrepor em relação aos de caráter infraconstitucional.

Por fim, independentemente da base legal utilizada pelo empregador para coletar dados biométricos de seus empregados, é essencial que a utilização esteja restrita à finalidade da coleta e informação, bem como que sejam criados mecanismos eficazes de proteção desses dados, visto que a LGPD não busca burocratizar as rotinas empresariais, mas, sim, dar proteção aos dados pessoais. Cabe, assim, ao profissional responsável pela adequação da empresa a essas normas, ser capaz de alinhar a legalidade ao negócio empresarial.