top of page

LGPD - Dados Biométricos

  • Foto do escritor: Rogerio Meceni
    Rogerio Meceni
  • há 7 dias
  • 4 min de leitura

A Responsabilidade Civil dos Agentes de Tratamento à luz da LGPD ante a coleta e tratamento de dados biométricos


1º de abril de 2025.


Antes de adentrarmos ao ponto central da discussão, ou seja, a responsabilidade civil do Controlador de Dados ante a coleta e tratamento de dados biométricos, importante fazer uma breve digressão sobre o que são considerados dados

biométricos pela LGPD e o sistema de responsabilidade em nosso ordenamento jurídico.

De antemão, dados biométricos se enquadram na categoria de dados sensíveis, conforme expressamente previsto no rol taxativo do artigo 5º inciso II da LGPD¹ .

A LGPD confere tratamento especial aos dados considerados sensíveis, não só no tocante a segurança e proteção dessas espécies de dados, mas também quanto a prevenção à fraude por parte daqueles Controladores de Dados que optem pela coleta e tratamento desses dados.

Tanto é verdade que o artigo 11 da LGPD² dispõe expressamente sobre em que hipóteses poderá ocorrer o tratamento de dados pessoais sensíveis.

A primeira hipótese prevista no do artigo 11 da LGPD, dispõe que os dados sensíveis somente poderão ser tratados mediante consentimento do titular, contudo, no segundo inciso do mesmo artigo, há hipóteses em que o consentimento do titular pode ser dispensado, mas devemos observar que o legislador optou por destacar que a dispensa do consentimento está condicionada à indispensabilidade do tratamento desses dados por parte dos Controladores de Dados.

O termo indispensável fará toda a diferença quando analisarmos as hipóteses específicas da responsabilidade civil do Controlador de Dados quando do tratamento de dados sensíveis, em especial a biometria.

Ainda sobre o artigo 11, devemos destacar e observar que o legislador também optou por deixar de fora as bases legais da execução de contrato (art. 7º inciso V), legítimo interesse (art. 7º inciso IX) e proteção ao crédito (art. 7º inciso X), quando for dispensado o consentimento do titular, isso quer dizer que, se o Controlador de Dados optar pelo tratamento de dados biométricos com as bases legais de execução de contrato, legítimo interesse e proteção ao crédito, deve, obrigatoriamente, coletar o consentimento do titular.

Essas hipóteses têm aplicação direta e requerem muita atenção, ante as fraudes que estão sendo perpetradas, quando determinados Controladores de Dados exigem do titular, por exemplo, autorretrato (as famosas selfies) para celebração de contratos, ou ainda, para identificação de um titular em determinadas situações.

O consentimento nessas hipóteses é mandatório e não podemos deixar de ressaltar que este deve ser prévio (antecipado), livre (sem vício de vontade), informado (saber o que vai ser feito), inequívoco (explicito), claro e de fácil leitura

e compreensão por parte do titular, e, por fim para a(s) finalidade(s) específica(s).

Por consentimento informado devemos ter em mente que este é um requisito de validade da declaração de vontade do titular, onde ele concorda expressamente, sendo um ato típico de manifestação de vontade e não uma mera “ciência” do que vai ser feito com aquele dado sensível biométrico, não basta o titular ter ciência, mas sim consentir e concordar expressamente, após ser previamente informado.

A atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento, isto é, se controlador ou operador, conforme o disposto nos artigos 42 / 45

da LGPD.

O artigo 42 da LGPD dispõe que é obrigação tanto do Controlador como do Operador de dados reparar os danos em decorrência do exercício da atividade de tratamento que vier causar dano patrimonial, moral, individual o u coletivo, em violação à legislação de proteção de dados. Para alguns estudiosos neste artigo reside a responsabilidade objetiva.

Por outro lado, o artigo 45 da LGPD dispõe que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, e, para alguns estudiosos, aqui reside a responsabilidade subjetiva.

Já o artigo 44 discorre sobre quando e de que forma o tratamento de dados pessoais se torna irregular, reportando em seu parágrafo único o artigo 46 que dispõe sobre a obrigatoriedade dos agentes de tratamento (controlador e operador) em adotar as medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais.

Para o Prof. Nelson Rosevald a solução está em um meio termo, ou seja, a adoção de uma “responsabilidade especial” qualificada por um ilícito, esclarecendo que o cerne dessa responsabilidade é o não cumprimento de um dever imposto pela LGPD.

Portanto, o nexo de imputação dessa responsabilidade é a violação de um DEVER DE SEGURANÇA pelo agente de tratamento, independentemente de qualquer discussão de culpa. Em outras palavras, nós temos um ilícito, que é uma violação de um dever, mas é um ilícito objetivo, que independe de aferição de negligência, e o que importa é uma análise externa das práticas do agente de tratamento, se a sua conduta está em conformidade com standards de conduta, com critérios objetivos que não foram atendidos, com base em uma legítima expectativa de proteção do cidadão.

Assim sendo, levando em consideração a sensibilidade dos dados biométricos, que, como dito, necessitam de uma proteção qualificada não só no tocante a segurança, mas também quanto a prevenção à fraude, se os agentes de tratamento optarem pela coleta desses dados sensíveis, no âmbito da responsabilização e prestação de contas,

deverão demonstrar a adoção das medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, o que inclui a eficácia dessas medidas. Isto é um dever, imposto pela Lei, e se for descumprido, ocorrendo um dano, a reparação será devida independente da análise de culpa.


¹Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

² Art. 11. O tratamento de dados pessoais sensíveis SOMENTE PODERÁ ocorrer nas seguintes hipóteses:


 


Autor: Leonardo Perseu
Autor: Leonardo Perseu

Advogado, Professor, Palestrante, Articulista, Consultor em LGPD e Gestor de Privacidade.

Sócio fundador do escritório Araújo Willeman, Vieira e Perseu Advogados e PRS Consultoria.

LLM em Proteção de Dados e Privacidade LGPD & GDPR pela FMP/RS e Faculdade de

Direito da Universidade de Lisboa.

Conselheiro Titular do CMPDPP (Conselho Municipal de Proteção e Privacidade do Rio de

Janeiro).

Membro da Comissão de Proteção de Dados da OAB/RJ.

Membro do Comitê de Proteção de Dados do IBCTD - Instituto Brasileiro de Consumidores e

Titulares de Dados.

Comments

bottom of page