Os dados pessoais sensíveis foram disciplinados na LGPD de forma especial. Tal proteção foi vislumbrada pelo legislador levando em consideração as características de maior perigo e vulnerabilidade aos direitos do titular ou dos princípios norteadores da legislação, em caso de tratamento ilegal ou vazamento de dados.
O artigo 5º, inciso II, definiu o rol de dados pessoais sensíveis, os quais analisando seu teor, podemos perceber a preocupação do legislador com aqueles dados que podem de alguma forma trazer ao titular uma exposição maior de sua privacidade e constrangimento. Assim, seu uso incorreto poderia ferir os fundamentos descritos no artigo 2º da Lei nº 13.709/2018, bem como os princípios constitucionais, principalmente a dignidade da pessoa humana.
Entre os dados pessoais sensíveis, encontramos os dados biométricos. Dado biométrico é todo dado “resultante de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa que permitam ou confirmem a identificação única dessa pessoa, notadamente imagens faciais ou dados dactiloscópicos” [1], ou seja, dados que permitem uma identificação precisa do titular.
Dados biométricos garantem segurança
A utilização de dados biométricos traz a certeza quase inequívoca da identificação do titular. Seu uso iniciado principalmente pelas instituições bancárias e prestadores de serviços de saúde tem a intenção legítima de segurança. No caso dos bancos, o uso para segurança, em benefício do próprio titular, que se justifica com o avanço do uso de meios digitais dos serviços financeiros, trouxe maior proteção às finanças do titular.
Afinal, hoje pouco se usa agências, e as transações bancárias são efetuadas na grande maioria por aplicativos que, sem a segurança robusta correta, podem ser acessados por qualquer um. Assim, o uso de dados biométricos nessas situações traz maior proteção ao titular.
Ainda, esses serviços contam com um arcabouço de segurança cibernética em geral mais robusto e, mesmo assim, não estão isentos de violações de segurança.
Uso indiscriminado de dados biométricos
Porém, o que temos visto é a utilização indiscriminada dos dados biométricos, principalmente para serviços, os quais não se justifica o uso de um dado pessoal sensível e tão importante como o biométrico. Com o avanço da tecnologia, a maioria dos aplicativos de qualquer ordem, serviços de cadastros e inscrições tem utilizado esses dados, com a justificativa de maior segurança.
A LGPD deixa muito claro que o tratamento de dados pessoais deve sempre ter uma finalidade vinculada. Dessa forma, ao ponderarmos a utilização de dados pessoais sensíveis com a finalidade de qualquer tipo de acesso, cadastro ou autenticação, estamos com um lado da balança muito mais pesado.
Os titulares têm sido compelidos a entregarem um dado pessoal precioso, em troca de bens e serviços que muitas vezes não precisariam desse nível de segurança, com uma séria violação aos limites da finalidade do tratamento.
Violação também do princípio da autodeterminação informativa e ao campo da autonomia da vontade, pois muitas vezes o titular não tem sequer escolha sobre o fornecimento desses dados.
Alerta da ANPD
Dessa forma, o uso indiscriminado dos dados biométricos já tem acendido, não de hoje, um alerta da Agência Nacional de Proteção de Dados (ANPD) e outras entidades que têm como função a garantia do cumprimento da legislação, como o próprio Ministério Público.
A ANPD, em 2024, já demonstrou sua preocupação com esse tema no Radar Tecnológico nº 2 “Biometria e reconhecimento facial — estudos preliminares” e no segundo encontro de encarregados de dados promovido pela agência [2]. Um dos painéis foi sobre os “desafios na proteção de dados biométricos”, sinalizando novamente a crescente preocupação sobre o tema.
Nessa esteira, em maio de 2025, foi proposto o PL nº 2.379/2025 para regulamentar com mais profundidade os limites da utilização dos dados biométricos, exigidos para que o titular tenha acesso a bens e serviços.
O PL em sua justificativa, fundamenta a alteração nessa linha de entendimento do excesso de uso dos dados biométricos e a insegurança do titular.
A proposição, caso aprovada, alterará o artigo 20 da Lei nº 13.709/2018, incluindo a letra A, com seguinte redação:
“Art. 20-A. O titular dos dados pessoais tem direito a que lhe seja oferecida, em qualquer processo de identificação ou autenticação, presencial ou digital, pelo menos uma alternativa que não envolva a coleta ou o tratamento de dados biométricos faciais, salvo se houver expressa exigência legal em sentido contrário.
§ 1º A negativa do titular em fornecer dados pessoais sensíveis, especialmente biométricos faciais, não poderá ser utilizada como motivo para impedir, restringir ou dificultar seu acesso a serviços, ambientes físicos ou digitais, desde que o titular se disponha a realizar sua identificação por meio das alternativas não biométricas obrigatoriamente disponibilizadas.
§ 2º Os agentes de tratamento deverão informar, de forma clara, objetiva e acessível, as opções disponíveis para identificação, assegurando que a recusa ao fornecimento de dados sensíveis não implique prejuízo ao titular, sempre que houver método alternativo viável e proporcional.
§ 3º No caso de plataformas digitais de serviços, a alternativa ao uso de dados biométricos deverá ser apresentada de forma explícita e visível no momento do cadastro e em todos os fluxos de autenticação que envolvam tratamento de dados sensíveis.
§ 4º É vedado condicionar o fornecimento de bens, serviços ou acesso a ambientes físicos ou digitais à coleta compulsória de dados sensíveis, especialmente aqueles relacionados à imagem e características faciais, sendo obrigatória a disponibilização de alternativa de identificação que não envolva dados biométricos faciais.” (NR)
Podemos resumir em duas alterações importantes:
Deve ser garantido ao titular outra forma de autenticação não biométrica sem prejuízo ao titular, exceto nos casos que consistem em obrigação legal, sendo sempre informado de forma clara e acessível.
O titular pode recusar o fornecimento dos dados biométricos, desde que aceite outra forma de autenticação, sem ser restringido seu acesso à bens, serviços ou ambientes, inclusive digitais.
Lei atenderia melhor à proteção de dados
Sob o olhar da proteção dos direitos dos titulares e dos fundamentos descritos no artigo 2º da LGPD, sendo aprovado este projeto de lei, haverá um melhor atendimento à proteção que a Lei nº 13.709/2018 buscou ao trazer os dados pessoais sensíveis como uma categoria especial de dados pessoais.
Do ponto de vista do agente de tratamento, esses deverão buscar mais cautela ao requerer os dados biométricos, oportunizando rever seus programas de privacidade e a real finalidade de tratamentos efetuados com dados. Muitas vezes, o agente de tratamento terá que fazer o exercício de análise da necessidade dessa camada de proteção e perguntar se ela tem finalidade para seu negócio.
Muito embora seja mais uma adequação necessária para a área de negócio, os agentes deverão adequar-se com um olhar de atender melhor o titular, que em geral é seu cliente.
Hoje, no mercado competitivo, a reputação viabiliza ou inviabiliza a área de negócio, e as empresas, ao reavaliarem coletas desnecessárias de dados e por vezes sem finalidade, eliminam um passivo em caso de qualquer vulnerabilidade de seus sistemas, protegendo o titular e por consequência sua reputação.
Em alguns segmentos, talvez a maior segurança cibernética seja o aculturamento de coletar e tratar menos dados.
A área de negócio precisa perguntar-se: realmente preciso desse dado para minha atividade ou posso avançar sem ele com outra estratégia? Um dado biométrico é mesmo necessário para meu negócio? Isso me trará segurança na operação ou um passivo do ponto de vista da proteção de dados? Por que eu exijo esse dado biométrico? Posso substituí-lo em minha operação e respeitar o campo de autonomia da vontade do titular?
Independente da aprovação do PL 2.379/2025, essas reflexões devem ser feitas pelos agentes de tratamento de dados em sua operação para garantir a confiança do titular e, sendo aprovado o referido projeto de lei, essas adequações serão obrigatórias para cumprimento da legislação.
[1] MALDONADO, Viviane Nóbrega, BLUM, Renato Opice, coordenadores. LGPD: Lei Geral de Proteção de Dados Comentada, São Paulo, Thomson Reuters Brasil, 2019, página 95.
[2] A Autoridade Nacional de Proteção de dados foi alçada a categoria de Agência Reguladora em setembro de 2025, por meio da publicação da MP nº 1.317/2025
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login