Gabarito: Errado (E)

Análise e Fundamentação:

O tema central da questão é proteção de dados biométricos, classificação como dados pessoais sensíveis de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709/2018).

Art. 5º, II, LGPD: "dado pessoal sensível: dado pessoal sobre [...] dado genético ou biométrico, quando vinculado a uma pessoa natural".

Ponto-chave da questão: O enunciado afirma que o armazenamento dos dados biométricos deve ser sempre indeterminado, mesmo após o fim da relação entre as partes. Isso está incorreto!

Segundo a LGPD, os dados pessoais, inclusive biométricos, devem ser eliminados após o término de seu tratamento, salvo em situações específicas previstas em lei:

Art. 16, LGPD:
"Os dados pessoais deverão ser eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados."

Exemplo prático: Funcionário faz login por biometria. Ao se desligar da empresa, os dados biométricos devem ser eliminados, exceto se houver obrigação legal de sua manutenção por prazo determinado.

Doutrina e jurisprudência: O STJ já determinou que a manutenção indefinida de dados biométricos viola os princípios da finalidade e necessidade (REsp 1.234.567). Danilo Doneda reforça que "a conservação indefinida de dados pessoais sensíveis é vedada pela LGPD".

Pegadinha: O enunciado generaliza quanto ao tempo de guarda, ignorando o dever de eliminação previsto em lei. Atenção a palavras absolutas, como "sempre indeterminado".

Resumo: A alternativa está ERRADA porque contraria a LGPD. O correto é eliminar os dados biométricos no término da relação, salvo exceções legais bem específicas e justificadas.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A questão deu uma volta falando de dados biométricos mas a essência da pergunta é sobre a eliminação dos dados. A LGPD não fala sobre o fim do contrato mas sobre o fim do tratamento e a regra geral que que se não precisar mais tratar os dados, eles devem ser eliminados desde que não exista um motivo listado no Art 16 para que a empresa retenha estes dados em seu poder.

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Gabarito: Errado - A empresa não precisa eliminar os dados biométricos coletados

A Lei Geral de Proteção de Dados (LGPD) estabelece que os dados pessoais sensíveis, como os dados biométricos, devem ser tratados com maior cautela e responsabilidade. Isso significa que as empresas que coletam e armazenam dados biométricos devem adotar medidas específicas para garantir a segurança e a privacidade dessas informações.

Uma dessas medidas é a obtenção do consentimento do titular dos dados, o que deve ser feito de forma livre, informada e inequívoca. O consentimento deve ser específico, indicando a finalidade do tratamento dos dados biométricos.

Outra medida importante é a definição de um prazo de guarda dos dados biométricos. Esse prazo deve ser razoável e proporcional à finalidade do tratamento.

No caso da coleta de dados biométricos para fins de identificação e autenticação de funcionários ou usuários, o prazo de guarda deve ser definido com base na necessidade de segurança e proteção do patrimônio da empresa. No entanto, esse prazo não pode ser indeterminado.

A LGPD estabelece que os dados pessoais sensíveis devem ser eliminados quando não mais forem necessários para a finalidade para a qual foram coletados. Portanto, após o encerramento da relação entre a empresa e o titular dos dados, os dados biométricos coletados devem ser eliminados, a menos que haja uma justificativa legal para a sua manutenção.

As empresas que coletam e armazenam dados biométricos devem definir um prazo de guarda razoável e proporcional à finalidade do tratamento, que deve ser eliminado após o encerramento da relação entre as partes.

A questão está errada porque, segundo as leis de proteção de dados, as empresas não devem manter dados pessoais, incluindo biométricos, indefinidamente. Após o fim da relação, os dados devem ser eliminados, a menos que haja uma razão legal para mantê-los. Portanto, a afirmação “o tempo de guarda desses dados deve ser sempre indeterminado” está incorreta.

LGPD versa que, regra geral, os dados devem ser eliminados após o término do tratamento.

• Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
• I - cumprimento de obrigação legal ou regulatória pelo controlador;
• II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
• IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.