BLOCO I - DEFINIÇÕES E PRINCÍPIOS  

O tratamento de dados biométricos impõe a observância rigorosa dos princípios gerais de proteção estabelecidos na Lei Geral de Proteção de Dados Pessoais (LGPD), especialmente os constantes em seu art. 6º. Por serem considerados dados pessoais sensíveis, os dados biométricos requerem uma abordagem cautelosa, baseada em fundamentos legais claros e em finalidades legítimas.

A LGPD não define diretamente o termo “dados biométricos”, mas a doutrina e o próprio Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), que inspirou a legislação brasileira, descrevem dados biométricos como dados pessoais resultantes de tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa natural, que permitam ou confirmem a identificação única dessa pessoa. Exemplos incluem impressões digitais, reconhecimento facial, íris, geometria da mão, padrões de voz e até comportamentos como modo de digitar ou caminhar.  

É imprescindível que os agentes de tratamento compreendam com precisão o conceito de dados biométricos e sua distinção em relação a outros dados, sensíveis ou não. Além disso, a operação de sistemas biométricos - que podem incluir sensores, câmeras, softwares de reconhecimento e algoritmos — deve ser avaliada à luz dos princípios da LGPD, como a finalidade, a necessidade, a transparência, a prevenção, a segurança e a não discriminação.  

Diante desse contexto, pergunta-se:  

1.      Quais critérios objetivos devem ser observados para caracterizar um dado como biométrico nos termos da LGPD?

3. De que forma a biometria comportamental (por exemplo, reconhecimento de voz, padrões de digitação, movimento ocular) deveria ser tratada em comparação à biometria tradicional (digital, íris, face)? Existem obrigações específicas que podem derivar dessas novas tecnologias, detidamente especial observância aos princípios da qualidade dos dados e da segurança?

2. Quais práticas de transparência ativa podem ser exigidas dos controladores que realizam tratamento de dados biométricos, para permitir que titulares tenham informações claras sobre o tratamento antes de fornecerem seus dados?

3. De que forma a biometria comportamental (por exemplo, reconhecimento de voz, padrões de digitação, movimento ocular) deveria ser tratada em comparação à biometria tradicional (digital, íris, face)? Existem obrigações específicas que podem derivar dessas novas tecnologias, detidamente especial observância aos princípios da qualidade dos dados e da segurança?

BLOCO II – HIPÓTESES LEGAIS

As hipóteses legais para o tratamento de dados biométricos, assim como para o tratamento de quaisquer dados sensíveis, estão previstas no art. 11 da LGPD. A partir da biometria é possível identificar, de forma única, o indivíduo. Por essa razão, trata-se de uma tecnologia sensível que levanta questões complexas sobre privacidade, legalidade, proporcionalidade e segurança.
Assim, é fundamental que o agente de tratamento justifique a necessidade e a razoabilidade do tratamento desses dados, garantindo que seu uso seja proporcional e alinhado aos princípios gerais de proteção e aos direitos dos titulares.
O rol de hipóteses legais discriminado no art. 11 exige que o agente de tratamento fundamente a operação de dados biométricos em critérios objetivos e verificáveis, como consentimento específico e destacado, prevenção à fraude, ou finalidades de pesquisa, execução de políticas públicas, proteção da vida etc., garantindo respeito à proporcionalidade, necessidade e à autodeterminação informativa.

Diante disso, questiona-se:

4. Como garantir que o consentimento para o tratamento de dados biométricos seja livre, específico, destacado, informado e inequívoco, conforme exigido pela LGPD? Em quais contextos o consentimento não deve ser considerado uma hipótese legal adequada para o tratamento desses dados?

5. Quais critérios devem ser observados para a adequada aplicação da hipótese legal de “garantia da prevenção à fraude” (art. 11, II, “g”, LGPD) nos casos de tratamento de dados biométricos? De que maneira é possível compatibilizar o princípio da necessidade do tratamento de dados biométricos, com a finalidade de prover a segurança das informações e o acesso a soluções bancárias e financeiras, por exemplo? Quais salvaguardas podem ser implementadas para mitigar os riscos às liberdades e aos direitos fundamentais?

6. Em determinadas ocasiões, o tratamento de dados biométricos pode ser realizado para o “cumprimento de obrigação legal ou regulatória” (art. 11, II, “a”, LGPD). Quais critérios e salvaguardas devem ser observadas nestes casos pelos controladores, especialmente entidades e órgãos públicos, visando à mitigação de riscos e garantia de direitos dos titulares?

7. Quais os limites do tratamento de dados biométricos para a realização de estudos por órgãos de pesquisa (art. 11, II, “c”, LGPD), mesmo nos casos em que há a anonimização dos dados, considerando o cruzamento de bases de dados e a eventual possibilidade de reidentificação posterior? Quais salvaguardas adicionais seriam eventualmente necessárias a fim de salvaguardar os interesses e direitos dos titulares nesses casos?

BLOCO III – TECNOLOGIAS DE RECONHECIMENTO FACIAL (FRTS) E APLICAÇÃO DE TECNOLOGIAS EMERGENTES E INOVADORAS NO TRATAMENTO DE DADOS BIOMÉTRICOS

A utilização das tecnologias de reconhecimento facial (Facial Recognition Technologies, ou FRTs) se destaca por sua aplicação em segurança pública, controle de acesso e autenticação digital, além de outros contextos que demandam identificação automatizada. A utilização de tecnologias emergentes, como alguns sistemas de inteligência artificial (IA), por exemplo, tem ampliado significativamente o uso de sistemas de reconhecimento facial em diversos setores da sociedade. Esses sistemas, ao capturar, processar e comparar características faciais únicas de indivíduos, realizam o tratamento de dados biométricos. Por conseguinte, a integração da IA nesses sistemas permite uma capacidade aprimorada de detecção, identificação e classificação de rostos em tempo real.
O tratamento de dados biométricos por meio de reconhecimento facial, especialmente se realizado de forma automatizada, levanta importantes preocupações jurídicas, éticas e sociais. Por um lado, a promessa de maior eficiência, segurança e personalização é atrativa; por outro, os riscos associados à vigilância em massa, reidentificação indevida e impactos desiguais sobre grupos vulneráveis tornam evidente a necessidade de salvaguardas robustas.
As tecnologias de reconhecimento facial, portanto, detêm alcance considerável, com a possibilidade de uma coleta massiva de dados biométricos, muitas vezes ultrapassando a quantidade de dados necessários à finalidade do tratamento.
Assim, é importante que a utilização das FRTs seja pautada pelos princípios e diretrizes da LGPD, como necessidade, proporcionalidade, transparência, prevenção e não discriminação, além de exigir justificativas claras para a sua adoção, especialmente quando há outras soluções menos intrusivas disponíveis, a fim de mitigar riscos ou ameaças aos direitos dos titulares de dados pessoais.

Nesse contexto, indaga-se:

8. Como garantir que o uso de tecnologias de reconhecimento facial, ainda que amparado por uma hipótese legal da LGPD, observe os princípios da necessidade, proporcionalidade, transparência e de forma a evitar discriminação ilícita ou abusiva sobre determinados grupos sociais? Quais salvaguardas técnicas, jurídicas e institucionais devem ser implementadas para mitigar esses riscos?

9. Como os sistemas de reconhecimento facial podem ser projetados desde sua concepção e implementados de modo a garantir alta eficácia e confiabilidade, minimizando erros de identificação, como falsos positivos e negativos? Quais mecanismos devem ser adotados para corrigir tempestivamente essas falhas, em especial quando o tratamento de dados pessoais por reconhecimento facial é utilizado por tecnologias de tratamento automatizado?

10. É possível identificar contextos e situações concretas em que o uso de tecnologias de reconhecimento facial não é recomendado? Se sim, quais e por quê? Quais tecnologias alternativas podem ser utilizadas por controladores, de forma eficaz, em substituição ao reconhecimento facial, visando à garantia de maior segurança em suas operações e com menor impacto sobre a proteção de dados de titulares?

BLOCO IV – SEGURANÇA, GOVERNANÇA E BOAS PRÁTICAS
O tratamento de dados biométricos exige uma abordagem cautelosa e estruturada, considerando seu alto grau de sensibilidade e o potencial de identificação única dos indivíduos. A adoção de boas práticas e programas de governança voltados especificamente para esse tipo de dado é essencial para assegurar a conformidade com a LGPD e promover a proteção dos direitos fundamentais dos titulares.
O art. 46 da LGPD estabelece a obrigação de aplicação de medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas, o que se mostra ainda mais relevante quando se trata de dados que não podem ser alterados ou substituídos, como as características biométricas.
O art. 50 da LGPD, por sua vez, incentiva os agentes de tratamento a formularem regras próprias de boas práticas e de governança, incluindo diretrizes claras sobre responsabilidades, segurança da informação, gestão de riscos, mecanismos de resposta a incidentes e processos de atendimento aos direitos dos titulares. No caso dos dados biométricos, é especialmente recomendável que esses instrumentos também contemplem critérios rigorosos para coleta, armazenamento e uso, além de políticas internas que orientem avaliações constantes de proporcionalidade e riscos.
Nesse sentido, medidas de segurança, boas práticas e programas de governança no tratamento de dados biométricos devem estar alinhados aos valores da LGPD, incorporando uma lógica preventiva e transparente, garantindo, assim, o tratamento responsável por parte dos agentes.
Esse bloco visa identificar medidas técnicas e administrativas que devem ser implementadas para garantir a proteção integral dos dados biométricos, bem como os programas de governança em privacidade e boas práticas que devem ser adotados pelas organizações que tratam tais dados.

Com base nisso, questiona-se:

11. Dado o impacto significativo de uma violação de dados biométricos, como roubo de identidade, quais medidas de segurança técnicas e administrativas devem ser consideradas indispensáveis para mitigar esses riscos? Além disso, quais parâmetros mínimos de avaliação de riscos e monitoramento devem ser exigidos das organizações para garantir a conformidade com a LGPD e a proteção integral desses dados sensíveis?

12. Considerando que há serviços não essenciais cujas funcionalidades específicas podem depender tecnicamente da autenticação biométrica, quais boas práticas devem ser observadas para garantir que essa limitação não configure discriminação ilícita ou abusiva? Em que contextos a negativa do titular ao fornecimento de seus dados biométricos, especialmente quando o tratamento se baseia no consentimento, pode justificar, de forma proporcional e transparente, a restrição ao uso de determinadas funcionalidades?

13. Quais seriam as boas práticas específicas a serem adotadas pelos controladores para conferir uma proteção eficaz no tratamento de dados biométricos? Como garantir que os dados biométricos coletados sejam utilizados de forma transparente e responsável, evitando, por exemplo, a discriminação ilícita e abusiva em face dos usuários?

14. Como os controladores podem assegurar o respeito à autodeterminação informativa dos titulares em contextos de tratamento contínuo e massivo de dados biométricos – como em iniciativas de cidades inteligentes (smart cities), monitoramento de grandes multidões, como em estádios e espaços públicos? Quais medidas concretas devem ser adotadas para garantir que os titulares sejam devidamente informados, tenham controle sobre seus dados e possam exercer seus direitos, mesmo em situações de difícil transparência?

BLOCO V - DIREITOS DOS TITULARES E GRUPOS VULNERÁVEIS
O tratamento de dados biométricos envolve riscos elevados à privacidade e à autodeterminação informativa, podendo afetar diretamente direitos previstos na LGPD, como o direito à informação clara e adequada (art. 6º, VI e art. 9º), o direito ao acesso aos dados (art. 18, II), o direito à correção (art. 18, III), o direito à eliminação de dados (art. 18, VI) e o direito de revisão a decisões automatizadas (art. 20).
As preocupações tornam-se ainda mais significativas quando os dados biométricos tratados se referem a grupos vulneráveis, como é o caso de crianças e adolescentes. A proteção dos dados biométricos desses indivíduos é de extrema importância, uma vez que tais grupos vulneráveis podem não possuir a plena capacidade de compreender as implicações nas quais estão expostos ao fornecerem ou terem seus dados biométricos coletados, estando suscetíveis a riscos, abusos e violações dos seus direitos.
Isso posto, a proteção de dados de crianças e adolescentes, assim como a proteção dos idosos na LGPD, é uma prioridade que reflete a responsabilidade de proteger os indivíduos mais vulneráveis na sociedade. A legislação estabelece uma base sólida para garantir que esses grupos tenham seus direitos respeitados e suas informações tratadas de maneira ética e segura. As organizações devem estar atentas a essas diretrizes e adotar práticas que assegurem a privacidade e a integridade de dados pessoais, promovendo um ambiente digital mais seguro e inclusivo para todos, especialmente para tais grupos.

Com base nessas questões, pergunta-se:

15. De que forma os agentes de tratamento podem garantir o respeito aos direitos dos titulares, em especial o direito à informação clara, o direito ao acesso e à correção de dados e o direito à revogação do consentimento, como, por exemplo, em contextos de tratamento automatizado de dados biométricos?

16. Diante da sensibilidade dos dados biométricos de crianças e adolescentes, especialmente em contextos como escolas e espaços recreativos, como garantir a participação informada dos pais ou responsáveis e em quais hipóteses legais esse tipo de tratamento seria admissível? Quais condições devem ser observadas para que esse tratamento esteja alinhado ao princípio do melhor interesse, nos termos do art. 14 da LGPD?

17. Em quais hipóteses legais esse tipo de tratamento seria admissível, e como garantir a participação informada dos pais ou responsáveis, além da adoção de medidas técnicas e organizacionais eficazes para evitar abusos, vazamentos ou acessos indevidos?

18. Em casos de verificação ou estimação de idade por meio de fornecimento de dados biométricos para acesso a plataformas digitais e jogos, por exemplo, quais critérios devem ser observados no tratamento dos dados de crianças e adolescentes? Como compatibilizar tal prática com o princípio da necessidade e do melhor interesse?