Proteger os dados dos membros do seu ginásio num mundo digital

A expressão "tecnologias biométricas" soa-lhe vagamente familiar? Se sim, pode imaginar a sociedade distópica do filme Blade Runner, em que os scanners de retina são utilizados para medir a empatia de uma pessoa, ou o sistema de reconhecimento facial da USS Enterprise em Star Trek que permite aos membros da tripulação aceder às áreas restritas da nave.

Mas a tecnologia biométrica não é ficção científica. Actualmente, os scanners faciais desbloqueiam iPhones, os scanners de retina acedem a contas bancárias e os scanners corporais são uma componente integral da segurança nos aeroportos.

Um inquérito encomendado pela Spiceworks, uma rede de profissionais de tecnologias da informação, revelou que 62% das empresas utilizam actualmente tecnologias de autenticação biométrica e que outros 24% planeiam implementá-las até 2020.

Por isso, não é surpreendente que os clubes da IHRSA tenham começado a implementar este tipo de tecnologia. Os scanners de reconhecimento facial e de impressões digitais recolhem dados sobre os sócios; os scanners biométricos registam as horas de trabalho dos funcionários; e os scanners corporais geram imagens 3D para verificar a perda de peso de um cliente e ajudá-lo a atingir os seus objectivos de musculação.

Embora este equipamento e as funções que facilita sejam valiosos, é importante notar que vários estados adoptaram leis para regular a utilização dos dados gerados e garantir a sua protecção. Compreender estas leis é crucial para desenvolver procedimentos para proteger o seu clube de potenciais litígios.

Definição de informação biométrica

Actualmente, os estatutos estatais são uniformes na definição de dados biométricos como informação produzida por identificadores biométricos - nomeadamente, impressões digitais; digitalizações da retina, da íris e da voz; e digitalizações da geografia do rosto e da mão de uma pessoa. Todos são únicos para cada pessoa, o que torna a capacidade de os recolher atractiva e, potencialmente, lucrativa para as empresas.

Embora as inúmeras aplicações e benefícios sejam óbvios, os potenciais riscos e responsabilidades também precisam de ser considerados.

A natureza muito específica e pessoal desses dados torna-os particularmente sensíveis. Por exemplo, se perder o seu cartão da Segurança Social, o governo pode emitir-lhe um novo. Mas não existe uma solução equivalente para a perda de informações biométricas, o que torna a sua apropriação indevida um assunto muito mais sério e, possivelmente, perigoso. Além disso, uma vez que muitos destes dados são visíveis e facilmente acedidos, tornam as pessoas susceptíveis de fraude de uma forma que os identificadores tradicionais não têm.

"As palavras-passe biométricas de um utilizador estão expostas ao público sempre que este sai de casa", afirma Jane Bambauer, professora associada de direito no James E. Rogers College of Law da Universidade do Arizona, em Tucson.

Esta vulnerabilidade coloca uma responsabilidade considerável nos operadores de clubes que optam por recolher e utilizar informações biométricas de empregados e clientes, obrigando-os a estabelecer procedimentos para as salvaguardar adequadamente.

O problema está no consentimento informado

Actualmente, apenas o Illinois, o Texas e Washington têm estatutos que regulam a utilização desses dados. O mais extenso é o Illinois Biometric Information Privacy Act (BIPA), que entrou em vigor em 2008.

Se os clubes do Illinois não tiverem cuidado, poderão ser considerados em violação da BIPA pelo simples facto de exigirem que os empregados digitalizem as suas impressões digitais para poderem marcar o ponto de entrada no trabalho. De facto, isso já aconteceu.

Numa situação, um empregado de um clube intentou uma acção colectiva contra o seu empregador por não ter obtido o consentimento do empregado antes de recolher os seus dados de impressões digitais.

Num caso semelhante, mas distinto, um membro intentou uma acção colectiva contra um clube porque este não confirmou o consentimento informado dos seus membros antes de lhes pedir que enviassem os seus dados de impressões digitais durante as sessões de treino pessoal; e não forneceu aos membros uma declaração de política que descrevesse os procedimentos de informação biométrica da empresa e o calendário de retenção.

Em ambos os casos, os clubes estavam a operar de boa fé, mas, tecnicamente, não estavam a cumprir a lei.

No entanto, numa decisão que aborda esta lacuna legal, um tribunal de recurso do Illinois decidiu a favor do Six Flags, depois de uma cliente ter alegado que a empresa tinha violado a BIPA por não ter informado o seu filho de que estava a recolher dados biométricos quando este digitalizou as suas impressões digitais para comprar um passe de época. O tribunal decidiu que "um queixoso que alega apenas uma violação técnica do estatuto sem alegar qualquer prejuízo ou efeito adverso não é uma pessoa lesada".

Os estatutos do Texas e de Washington que regulam a utilização comercial de informações biométricas não são tão rigorosos, mas contêm requisitos de consentimento e notificação semelhantes.

Mais leis estão a ser elaboradas

Oito outros estados propuseram legislação semelhante, que ainda não se tornou lei. No entanto, estas questões não vão desaparecer, pelo que os clubes devem estar preparados para as enfrentar.

Felizmente, existem orientações disponíveis para as empresas que recolhem informações biométricas que estão de acordo com a legislação actual e também antecipam a legislação futura. As medidas recomendadas dividem-se em duas categorias principais: desenvolver proactivamente procedimentos de segurança que mantenham a integridade das informações sensíveis e formar o pessoal para implementar esses procedimentos com conhecimento de causa e explicá-los eficazmente aos clientes.

Em conclusão, as tecnologias biométricas podem permitir que os clubes melhorem a experiência de fitness tanto para os funcionários como para os clientes. Manter-se a par das leis actuais - e desenvolver procedimentos que antecipem as tendências futuras - é essencial para todos os clubes da IHRSA que esperam operar com sucesso no século XXI.