Aproveitar a revolução biométrica num cenário em mudança

Se está a pensar em incorporar informações biométricas no seu health club, há quatro princípios que deve ter em conta para se proteger.

Há já algum tempo que a IHRSA tem vindo a analisar os vários aspectos da revolução biométrica, destacando a forma como os clubes podem tirar partido da procura de dados sobre saúde e fitness por parte dos consumidores para criar iniciativas de sucesso que aumentem os resultados e a retenção. Os dados biométricos podem fazer muito mais do que ajudar com a procura dos consumidores e aumentar o envolvimento com os seus membros. Podem conduzir a uma maior eficiência nas operações do clube, melhorando a tomada de decisões e resultando em poupanças de custos.

A biometria é o novo e excitante brinquedo que abre possibilidades aos operadores de clubes para adaptarem habilmente os treinos dos membros e demonstrarem resultados tangíveis. Com ferramentas como:

  • digitalização de impressões digitais,
  • exames de composição corporal,
  • Teste VO2 max,
  • scans da íris e reconhecimento facial.
Revolução biométrica numa paisagem em mutação Imagem da coluna do olho

Qual é o "mas"?

Os dados biométricos podem ser o próximo passo na era dos grandes volumes de dados, mas também são informações sensíveis sobre os seus membros ou empregados e precisam de ser devidamente protegidos. Parece simples, mas pode não ser suficiente apenas proteger os seus dados. Já para não falar que o que é considerado protecção pode estar a mudar.

Tal como está interessado nos dados biométricos e no que eles podem significar para a sua empresa, os legisladores estão cada vez mais interessados nos dados biométricos e no que eles significam para a privacidade das pessoas. A utilização de dados biométricos preocupa algumas pessoas quanto à erosão da privacidade e a potenciais problemas de direitos civis.

O que é que isto significa?

Significa que esta revolução biométrica explosiva - da qual as empresas, os consumidores e partes do governo querem tirar partido - está actualmente a funcionar sobre uma base construída em grande parte de areia. Com os legisladores a procurarem activamente regulamentar a recolha e a utilização de dados biométricos, o panorama jurídico e regulamentar dos dados biométricos está em mutação e é provável que assim permaneça durante os próximos anos.

No momento em que escrevemos este artigo, 12 estados estão a considerar propostas que restringem a utilização de dados biométricos, e o Congresso também já apresentou uma proposta relativa à tecnologia de reconhecimento facial. A forma como as próximas leis sobre dados biométricos forem redigidas e interpretadas determinará o valor que os dados biométricos terão para os health clubs e outras empresas.

Estados com e a considerar leis sobre dados biométricos 2019 largura da coluna

Os 12 estados estão a considerar propostas que restringem a utilização de dados biométricos (AZ, CA, CT, FL, IL, MA, MT, NH, NJ, NY, OR e RI).

Como tirar partido desta tecnologia interessante num panorama jurídico incerto e em constante mudança?

Não tenho uma bola de cristal, mas se olharmos para os Estados com leis que restringem os dados biométricos e para as propostas nos Estados que estão a pensar fazê-lo, podemos identificar tendências e princípios que nos ajudarão a planear o futuro panorama biométrico.

Actualmente, apenas Illinois, Texas e Washington têm leis de privacidade que regulam a recolha e utilização de dados biométricos. Embora cada estado defina os dados biométricos de forma diferente, existem semelhanças nos requisitos para a recolha e tratamento de dados biométricos. Olhando para os estados que estão actualmente a considerar leis sobre dados biométricos, muitos aplicam os mesmos princípios gerais que Illinois, Texas e Washington. Eis os cinco princípios gerais que emergem da minha análise das propostas sobre biometria:

  1. Aviso: Informe os seus membros/funcionários de que os seus dados biométricos estão a ser recolhidos, porque estão a ser recolhidos e como podem ser utilizados.
  2. Consentimento: Obtenha o consentimento dos seus membros/funcionários para recolher e utilizar os seus dados biométricos.
  3. Retenção: Estabelecer um calendário para a duração do armazenamento das informações biométricas dos membros/funcionários
  4. Segurança: Assegurar um nível de segurança para os dados biométricos pelo menos igual, se não superior, ao que oferece para outras informações confidenciais ou pessoais.
  5. Objectivo: Articular uma justificação para a recolha de dados biométricos e certificar-se de que está em conformidade com a legislação aplicável. Está a tentar reforçar a segurança do seu clube? Proporcionar mais benefícios aos seus membros? Deverá saber porque é que a recolha de dados biométricos irá melhorar o seu negócio.

Estes princípios estão em linha com uma mudança mais ampla na forma como a sociedade e os reguladores encaram a privacidade dos dados. Tal como salientado no CBI The Data Privacy Priority de Maio, o advento do Regulamento Geral de Protecção de Dados (GDPR) na Europa e a Lei de Privacidade do Consumidor da Califórnia (CCPA) assinalaram um movimento no sentido de uma maior transparência e controlo do consumidor sobre a recolha e utilização de dados pessoais. Se estiver a recolher dados biométricos - ou a considerar fazê-lo - deve pensar seriamente em incorporar estes princípios nos seus processos empresariais.

Algumas sugestões sobre como começar a operacionalizar estes princípios:

  • Escreva-o por escrito: Crie um formulário escrito que possa entregar aos membros/funcionários explicando as suas práticas de recolha de dados biométricos.
  • Menos é mais: Recolha e armazene apenas os dados biométricos de que necessita. Minimizar a recolha reduz o risco.
  • Obtenha-o por escrito: Obter o consentimento escrito dos membros/funcionários autorizando a recolha dos seus dados biométricos e manter o consentimento em arquivo.
  • Cronogramas de retenção: Crie um calendário de retenção e directrizes para destruir permanentemente as informações biométricas quando já não houver necessidade comercial ou legal de as manter. Partilhe o calendário de retenção com os seus membros/funcionários. Além disso, não se esqueça de consultar as leis de retenção de registos do seu estado para garantir que está em conformidade.
  • Anonimizar, se possível: Se possível, torne os dados anónimos, para que não possam ser associados a uma pessoa específica. Existem diferentes formas de o conseguir, dependendo da tecnologia que estiver a utilizar.

Tomar medidas agora para incorporar os princípios de aviso, consentimento, retenção e segurança pode pagar dividendos reais ao minimizar a interrupção do negócio quando as novas leis biométricas entrarem em vigor. Por exemplo, a Biometric Information Privacy Act (BIPA) do Illinois contém um direito de acção privada. Este direito de acção significa que as empresas privadas consideradas culpadas de violar a BIPA são responsáveis pela indemnização dos queixosos:

  • $1.000 ou danos reais (o que for maior) se for considerado negligente,
  • $5.000 ou danos reais (o que for maior) se for considerado que violou a lei de forma intencional ou imprudente.

Numa decisão recente, Rosenbach v. Six Flags Entertainment, o Supremo Tribunal do Illinois determinou que uma empresa pode ser processada por violar a BIPA, mesmo que a sua recolha de informações biométricas não tenha resultado em qualquer dano para o queixoso. Por outras palavras, se recolher dados biométricos no Illinois e falhar uma caixa na lista de verificação da BIPA, é responsável.

"Os dados biométricos podem ser o próximo passo na era dos grandes volumes de dados, mas são também informações sensíveis sobre os seus membros ou empregados e têm de ser devidamente protegidos."

As acções judiciais já começaram e só vão aumentar a partir daqui. A Flórida, Nova Iorque e Rhode Island estão a considerar projectos de lei sobre biometria que são substancialmente semelhantes à BIPA do Illinois - incluindo o direito de acção privada - pelo que os riscos de participar na revolução biométrica podem ser elevados!

Qual é o consenso sobre a regulamentação dos dados biométricos?

Não há nenhuma. No entanto, existem pontos comuns suficientes entre as leis existentes e as leis propostas que nos permitem ver como os legisladores estão a abordar a questão. Como em qualquer avaliação, há casos isolados que não se enquadram nas tendências. O projecto de lei 284 do Senado do Oregon, por exemplo, proibiria directamente os empregadores de recolherem dados biométricos dos empregados. Já o projecto de lei 536 da Câmara de New Hampshire considera uma violação da lei de protecção do consumidor de New Hampshire o facto de uma empresa recolher, utilizar, divulgar ou armazenar informações biométricas para "qualquer fim diferente daquele que o indivíduo razoavelmente espera". Se juntarmos a isto uma definição muito ampla de informação biométrica, o projecto de lei torna-se tão vago que é difícil compreender como seria aplicado.

Agora é uma óptima altura para começar a avaliar a forma como recolhe dados biométricos e considerar os quatro princípios de aviso, consentimento, retenção e segurança. Se ainda não se juntou à revolução biométrica, mas está a pensar nisso, considere a possibilidade de integrar estes princípios no seu programa biométrico e ajude a proteger-se da mudança do panorama dos dados biométricos.

Artigos e publicações relacionados

Avatar do autor

Jeff Perkins

Jeff Perkins foi anteriormente Vice-Presidente de Governação e Assuntos Públicos da IHRSA - um cargo que se centrava na monitorização e influência da legislação a nível estatal e federal para proteger os modelos de negócio e as operações dos clubes e ajudar a promover os benefícios do exercício para a saúde.