Dados Biométricos: Tratamento e Proteção Jurídica

O que são dados biométricos e por que merecem proteção especial

Dados biométricos são informações de natureza física, fisiológica ou comportamental que permitem identificar uma pessoa de forma única e inequívoca. Impressões digitais, reconhecimento facial, geometria da mão, padrão de íris, voz e até a forma como alguém digita em um teclado são exemplos de características que se enquadram nessa categoria.

Diferentemente de um nome, endereço ou número de telefone, os dados biométricos possuem uma característica que os torna especialmente sensíveis: eles são permanentes e intransferíveis. Uma senha comprometida pode ser trocada. Um número de documento pode ser reemitido. Uma impressão digital ou o mapa da íris de alguém, no entanto, não podem ser alterados. Essa permanência é exatamente o que eleva o risco quando esses dados são tratados de forma inadequada ou sofrem vazamentos.

A Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), conhecida como LGPD, reconhece expressamente essa sensibilidade. Em seu artigo 5.º, inciso II, a lei define dados pessoais sensíveis como aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Essa classificação como dado sensível não é mero detalhe técnico. Ela implica um regime jurídico mais restritivo, com bases legais específicas, exigências reforçadas de consentimento e responsabilidade agravada para os agentes de tratamento.

As bases legais para o tratamento de dados biométricos

Para que uma empresa, órgão público ou qualquer agente de tratamento possa coletar e utilizar dados biométricos de forma lícita, é necessário que essa atividade se ampare em uma das hipóteses previstas na LGPD. No caso específico dos dados sensíveis, as bases legais são mais restritas do que aquelas aplicáveis a dados comuns.

O artigo 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes situações, entre outras:

O consentimento do titular é a base mais conhecida. Ele deve ser fornecido de forma específica e destacada, para finalidades determinadas. Não basta um consentimento genérico escondido em meio a uma política de privacidade extensa. A LGPD exige que o titular saiba exatamente para que seus dados biométricos serão usados e concorde com isso de maneira informada e livre.

O cumprimento de obrigação legal ou regulatória pelo controlador é outra hipótese. Órgãos de segurança pública, por exemplo, podem ter obrigações legais que justificam o tratamento de dados biométricos sem necessidade de consentimento individual. Essa base, porém, exige previsão legal expressa e não pode ser invocada de forma genérica.

A proteção da vida ou da incolumidade física do titular ou de terceiros também autoriza o tratamento, assim como a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

A prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação cadastral em sistemas eletrônicos, é outra base relevante para o uso empresarial de biometria.

Importante destacar que a ausência de uma dessas bases torna o tratamento irregular, sujeitando o controlador às sanções previstas na LGPD e à responsabilização civil pelos danos causados aos titulares.

Obrigações dos agentes de tratamento e direitos dos titulares

A LGPD impõe um conjunto robusto de obrigações a quem trata dados biométricos. Essas obrigações existem em paralelo com os direitos que os titulares podem exercer a qualquer momento.

Do lado dos agentes de tratamento, as principais obrigações incluem a adoção de medidas de segurança técnicas e administrativas para proteger os dados de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Isso abrange desde a criptografia das bases de dados até controles de acesso internos, auditorias periódicas e planos de resposta a incidentes.

A nomeação de um Encarregado de Proteção de Dados (DPO, na sigla em inglês) é obrigatória para controladores e operadores que realizam tratamento em larga escala de dados sensíveis. Esse profissional atua como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é outro instrumento relevante. Embora a LGPD não o exija em todos os casos, a ANPD pode determiná-lo quando o tratamento envolver dados sensíveis ou operações de alto risco. O RIPD documenta os riscos à privacidade e as medidas mitigadoras adotadas pelo controlador.

Do lado dos titulares, a LGPD garante um amplo catálogo de direitos. O titular de dados biométricos pode, a qualquer momento, confirmar a existência de tratamento, acessar seus dados, corrigir informações incompletas ou inexatas, solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, revogar o consentimento previamente dado e se opor a tratamentos realizados em desconformidade com a lei.

O exercício desses direitos deve ser facilitado pelo controlador, sem qualquer custo para o titular e dentro dos prazos estabelecidos. O descumprimento pode gerar reclamações perante a ANPD e ações judiciais individuais ou coletivas.

Aplicações práticas, riscos emergentes e o papel do direito na era da biometria

O uso de dados biométricos está presente em contextos cada vez mais variados do cotidiano brasileiro. Bancos e fintechs utilizam reconhecimento facial para autenticação em aplicativos e aprovação de operações financeiras. Empresas usam leitores biométricos para controle de ponto dos funcionários. Aeroportos adotam sistemas de reconhecimento facial para embarque. Condomínios substituem chaveiros físicos por leitores de impressão digital. Redes varejistas testam câmeras inteligentes capazes de identificar clientes conhecidos.

Cada uma dessas aplicações carrega riscos específicos que o direito precisa endereçar. No ambiente de trabalho, por exemplo, o uso de biometria para controle de jornada é admitido pela legislação trabalhista, mas o empregador deve garantir que os dados coletados sejam usados exclusivamente para essa finalidade, sem cruzamento com outras bases de dados ou uso para monitoramento amplo do comportamento dos trabalhadores.

No setor financeiro, o uso de reconhecimento facial para autenticação de transações levanta questões sobre responsabilidade em caso de fraudes decorrentes de falhas tecnológicas ou ataques de injeção de imagem. A jurisprudência brasileira ainda está construindo seus precedentes nessa área, mas a tendência é de responsabilização objetiva das instituições financeiras pelos danos causados a seus clientes.

O reconhecimento facial em espaços públicos é talvez o tema mais controverso. Câmeras instaladas em vias públicas, estádios e centros comerciais que identificam pessoas sem seu conhecimento prévio desafiam princípios fundamentais da LGPD, como a finalidade, a necessidade e a transparência. A ANPD já sinalizou preocupações com essas práticas, e o debate sobre regulação específica está em andamento.

O deepfake biométrico é uma ameaça emergente que merece atenção. Tecnologias capazes de criar rostos sintéticos convincentes ou simular vozes reais são usadas para contornar sistemas de autenticação biométrica, o que coloca em xeque a premissa de que biometria é uma forma segura de identificação. O direito ainda busca formas eficazes de responsabilizar criadores e distribuidores de deepfakes maliciosos.

A ANPD, criada pela LGPD e estruturada como autarquia federal, é o órgão responsável por fiscalizar o cumprimento da lei, editar normas complementares e aplicar sanções. Suas resoluções e guias orientativos têm progressivamente detalhado as obrigações dos agentes de tratamento, inclusive em relação a dados biométricos. Acompanhar as publicações da ANPD é indispensável para organizações que lidam com esse tipo de dado.

As sanções previstas na LGPD para o tratamento irregular de dados pessoais, incluindo dados biométricos, vão desde advertências e determinações de adequação até multas de até 2% do faturamento da empresa no Brasil no seu último exercício, limitadas a R$ 50 milhões por infração. A publicização da infração, a suspensão parcial do funcionamento e a proibição do tratamento são outras penalidades possíveis.

Além das sanções administrativas, o tratamento irregular de dados biométricos pode gerar responsabilidade civil por danos morais e materiais aos titulares afetados. Os tribunais brasileiros têm reconhecido a existência de danos morais mesmo sem a comprovação de prejuízo material concreto, considerando que a violação da privacidade é, em si, uma lesão à personalidade do indivíduo.

Para organizações que coletam e tratam dados biométricos, a recomendação é clara: investir em uma estrutura robusta de governança de dados, realizar auditorias periódicas, treinar equipes e buscar orientação jurídica especializada antes de implementar novas tecnologias. Tratar privacidade como uma função estratégica e não apenas como um custo de conformidade é o caminho mais seguro em um ambiente regulatório que tende a se tornar cada vez mais exigente.