O Instituto Brasileiro de Defesa do Consumidor (IDEC) notificou cinco empresas devido à obrigatoriedade de uso da biometria facial para acesso aos serviços oferecidos em suas plataformas. Esse movimento acendeu um alerta às empresas que utilizam essa tecnologia, além de suscitar debates sobre privacidade e proteção de dados pessoais.

Em termos gerais, a biometria facial utiliza características faciais únicas de uma pessoa por meio do registro dos principais pontos de seu rosto e os codifica em uma sequência numérica para autenticar sua identidade. Essa técnica vem sendo cada vez mais adotada por empresas para simplificar processos de verificação de identidade e acesso a serviços, inclusive por estarem disponíveis diretamente por meio dos sistemas operacionais. No entanto, sua utilização tem gerado controvérsias, principalmente no que diz respeito à interseção entre a proteção de dados pessoais e a evolução das técnicas de fraudes utilizando essa tecnologia.

Primeiramente, é preciso destacar os principais aspectos relacionados ao uso obrigatório da biometria que motivaram a ação do IDEC, visto que a obrigatoriedade pode impactar nas estratégias das empresas que, por sua vez, podem optar por abordagens inovadoras como a identidade baseada em localização para endereçar o tema de segurança de usuários, contas e dados pessoais.

As notificações encaminhadas pelo IDEC não devem ser interpretadas como uma proibição ao uso de biometria facial pelas empresas. O intuito do IDEC é proteger o consumidor e direcionar as organizações ao uso consciente e ético da biometria. A lei não proíbe sua utilização, mas, por outro lado, impõe limites e medidas de segurança adicionais que devem ser aplicadas pelas empresas que optam por se utilizar desse tipo de dado.

Os dados biométricos são considerados pela Lei Geral de Proteção de Dados (LGPD) como dados pessoais sensíveis. As bases legais que autorizam seu uso são mais restritas e a coleta deve ocorrer apenas quando o tratamento, de fato, é essencial para se alcançar o objetivo almejado. Ou seja, se existirem outros meios menos invasivos, sem a coleta de dados sensíveis, a empresa deve optar por eles.

O avanço tecnológico tem permitido a reprodução e manipulação de dados biométricos que antes eram tidos praticamente como invioláveis, mas que hoje são utilizados para aplicação de fraudes por meio de técnicas como o uso de deepfakes, por exemplo. Essa vulnerabilidade tem levado as empresas a questionar a eficácia e a integridade desses métodos. O surgimento de ferramentas para a falsificação, aliado à preocupação crescente com a proteção dos dados, tem instigado uma reavaliação cautelosa por parte das organizações quanto ao uso da biometria como meio exclusivo de verificação de identidade. Esse cenário desafia as empresas a buscarem soluções inovadoras e complementares para proteger seus ativos e, ao mesmo tempo, a privacidade de seus usuários, reconhecendo que a confiança absoluta na biometria está cada vez mais vulnerável diante das evoluções na capacidade de manipulação e falsificação dessas informações.

Para reduzir riscos e realizar o uso ético e seguro dos dados biométricosuma estratégia que vem sendo utilizada por empresas já estabelecidas é valer-se da autenticação biométrica como um segundo fator de autenticação, aplicável apenas quando há dúvidas sobre a autenticidade dos usuários ou como autenticação adicional para os casos sinalizados como de alto risco.

Um exemplo disso é a identidade digital por localização, que coleta apenas dados que são de baixa criticidade, como dados do aparelho, aplicativo e identificadores, os quais, agregados a dados de localização exatos, permitem uma avaliação de risco assertiva quanto à probabilidade de um usuário ser legítimo, reforçando a estratégia de prevenção à fraude e gestão de risco de empresas de diversos setores.

Além dos fatores relacionados à segurança, a utilização de dados biométricos como método obrigatório e exclusivo de autenticação pode adicionar fricção aos usuários e ser, em grande medida, até mesmo excludente. Portanto, não é razoável exigir que, todas as vezes que um usuário for realizar login em sua conta, tenha que tirar uma selfie, por exemplo. Imagine o constrangimento desse tipo de situação em ambientes públicos ou formais ou em caso de dispositivos mais simples que não ofereçam essa funcionalidade de forma eficaz. Ou ainda, as complicações geradas para casos de usuários com maiores dificuldades, como pessoas idosas ou pessoas com deficiência, inclusive visual. Além de não ser o método mais adequado em termos de confiabilidade, também não é o mais conveniente e apropriado ao usuário.