As tecnologias de biometria e reconhecimento facial têm se tornado ferramentas poderosas no setor privado, proporcionando maior eficiência e segurança em processos que vão desde controle de acesso até a personalização da experiência do cliente.
No entanto, essas inovações também trazem desafios significativos no que se refere à privacidade e à proteção de dados pessoais, conforme as diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD)[1] e da Autoridade Nacional de Proteção de Dados (ANPD)[2].
1. Dados Biométricos e Reconhecimento Facial: Definições e Aplicações
De acordo com a ANPD, a biometria refere-se à análise de características físicas ou comportamentais de uma pessoa, como impressões digitais, face ou íris, enquanto o reconhecimento facial utiliza algoritmos e câmeras para identificar indivíduos com base em suas características faciais. Essas tecnologias são amplamente aplicadas no setor privado para controle de acesso, segurança, marketing direcionado, autenticação em transações e pagamentos.
Apesar das vantagens, o uso desses dados impõe obrigações rigorosas às empresas, uma vez que dados biométricos são classificados como dados sensíveis pela LGPD. Portanto, seu tratamento exige um maior cuidado, transparência e segurança.
2. LGPD e Bases Legais para o Tratamento de Dados Biométricos
A LGPD define que o tratamento de dados biométricos, por serem sensíveis, só pode ocorrer com uma base legal clara, sendo a principal delas o consentimento explícito do titular. Para as empresas, é imprescindível que o consentimento seja informado, destacado e específico para cada finalidade. Por exemplo, o uso de reconhecimento facial em um sistema de segurança deve ter o consentimento específico para esse propósito, e não pode ser reutilizado para outras finalidades, como marketing, sem nova autorização.
Outras bases legais previstas pela LGPD incluem a execução de contrato ou o cumprimento de obrigação legal, mas estas devem ser avaliadas com cautela e aplicadas somente quando justificadas.
3. Transparência e Finalidade: Princípios Essenciais
Um dos pilares da LGPD é o princípio da finalidade, que determina que os dados pessoais só podem ser coletados e tratados para finalidades legítimas, específicas e informadas ao titular. Consequentemente, as empresas devem ser claras ao informar seus clientes e colaboradores sobre o motivo da coleta de dados biométricos, como serão usados e por quanto tempo serão mantidos.
Além disso, é crucial observar o princípio da minimização de dados, que exige que as empresas coletem apenas as informações estritamente necessárias para alcançar a finalidade desejada. Isso significa que se uma empresa precisa de dados biométricos apenas para controle de acesso, por exemplo, ela não deve coletar informações adicionais que não sejam necessárias para esse fim.
4. Segurança no Tratamento de Dados Biométricos
Devido à natureza sensível dos dados biométricos, a LGPD impõe que as empresas adotem medidas técnicas e administrativas rigorosas para garantir a segurança dos dados. Isso inclui a implementação de criptografia, controles de acesso robustos e políticas de gestão de dados. As empresas devem realizar auditorias periódicas para garantir que os sistemas utilizados para armazenar e processar esses dados estejam protegidos contra vazamentos e ataques cibernéticos.
A falha em garantir a segurança adequada dos dados biométricos pode resultar em sanções severas, incluindo multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração[3], além de danos reputacionais significativos.
5. Orientações Práticas
Desta forma, ao utilizar essas tecnologias, é essencial estar atento à conformidade com a LGPD para evitar problemas futuros. Primeiramente, para garantir que o consentimento dos titulares seja obtido de maneira clara e explícita. Além disso, ser transparente ao informar a finalidade da coleta dessas informações, o tempo que elas serão armazenadas e as medidas de segurança adotadas. Outro ponto importante é implementar robustas medidas de proteção, como o uso de criptografia e controle rigoroso de acessos, garantindo que os dados biométricos estejam sempre seguros. Ou seja, embora essas tecnologias ofereçam benefícios para as empresas, é imprescindível que seu uso seja feito com responsabilidade e em conformidade com as leis de proteção de dados, com isso vem a importância de uma equipe especializada assessorando e orientando a realização deste tipo de ação por parte da empresa controladora dos dados.
Escrito por:
Luiz Phillip Moreira
Coordenador – Integrante do Setor Societário
Maria Giulia Furlan
Acadêmica – Direito
[1] Lei Nº 13.709, de 14 de agosto de 2018;
[2] ANPD. Biometria e Reconhecimento Facial- Estudos Preliminares; 1a edição Publicação digital – PDF. Radar Tecnológico, Número 2, JUN 2024 Brasília, DF. 2024;
[3] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; […]