A foto no crachá do colaborador. A gravação de voz na URA de atendimento. O sistema de reconhecimento facial para entrar no escritório. Onde o uso de imagem e voz se encaixa na LGPD (Lei Geral de Proteção de Dados)?
Muitas organizações ainda têm dúvidas sobre como classificar essas informações, um erro que pode levar à escolha de uma base legal incorreta e, consequentemente, a sérios problemas de conformidade.
Afinal, imagem e voz são dados pessoais comuns ou dados pessoais sensíveis? A resposta, segundo a lei, é: depende do contexto e da finalidade do tratamento.
Entender essa diferença é o primeiro passo para mitigar riscos regulatórios.
Imagem e Voz são Dados Pessoais?
Sem dúvida. A LGPD, em seu Art. 5º, inciso I, define dado pessoal como qualquer informação relacionada a uma pessoa natural “identificada ou identificável”.
Tanto a imagem (foto ou vídeo) quanto a voz de uma pessoa permitem sua identificação, enquadrando-se perfeitamente nesta definição. Sobre isso, não há debate. A verdadeira questão para o compliance está na classificação.
O Ponto Crítico: Comum vs. Sensível
A confusão surge ao tentar classificar imagem e voz como dados pessoais sensíveis. O inciso II do Art. 5º da LGPD define dados sensíveis, incluindo em sua lista o “dado biométrico”.
É aqui que a finalidade do tratamento se torna a chave para a classificação correta.
O Contexto é Tudo: A Diferença entre Identificar e Autenticar
A imagem e a voz de uma pessoa podem ser usadas como dados biométricos, mas nem sempre são tratadas como tal. O que define se um dado é sensível ou não é o propósito para o qual ele é coletado e processado.
Vamos usar os exemplos claros citados no artigo original:
- Exemplo 1: Dado Pessoal Comum (Identificação)
- Cenário: A empresa utiliza a foto do colaborador no seu crachá de identificação ou no perfil da intranet.
- Finalidade: Apenas identificar visualmente aquela pessoa.
- Classificação: Neste caso, a imagem é um dado pessoal comum, pois não está sendo usada para fins biométricos de autenticação.
- Exemplo 2: Dado Pessoal Sensível (Biometria/Autenticação)
- Cenário: A empresa usa a mesma foto para alimentar um sistema de reconhecimento facial que libera o acesso à portaria.
- Finalidade: Autenticar e validar a identidade daquela pessoa com base em suas características físicas únicas (biometria).
- Classificação: Agora, a imagem é um dado pessoal sensível.
O mesmo raciocínio se aplica à voz: uma gravação de atendimento é um dado pessoal comum; um sistema que usa a voz para autenticação bancária (biometria de voz) a trata como dado sensível.
O Impacto no Compliance: Por que a Classificação Importa?
Para o profissional de GRC, essa distinção é vital, pois o tratamento de dados pessoais sensíveis possui regras muito mais restritivas.
A consequência mais direta está na escolha da base legal.
De acordo com a LGPD, a base legal do “legítimo interesse” não pode ser utilizada para o tratamento de dados pessoais sensíveis.
Se a sua empresa usa reconhecimento facial ou biometria de voz (dados sensíveis), ela precisará se apoiar em outras bases legais, como:
- Consentimento específico e destacado do titular;
- Cumprimento de obrigação legal ou regulatória;
- Proteção da vida ou da incolumidade física do titular;
- Garantia da prevenção à fraude e à segurança do titular, em processos de identificação e autenticação.
Ação para o Compliance
Para garantir a conformidade, as empresas devem revisar seus processos internos (Data Mapping) e responder a estas perguntas:
- Onde estamos coletando imagem e voz?
- Qual é a finalidade exata desse tratamento? (É para identificar ou para autenticar?)
- Com base na finalidade, como o dado está classificado (comum ou sensível)?
- A base legal que estamos usando é adequada para essa classificação?
Responder a essas perguntas é o único caminho para garantir que o uso de imagem e voz na sua organização esteja, de fato, em conformidade com a LGPD.
