akva
Segurança·10 min de leitura

Reconhecimento facial e LGPD: o que gestores precisam saber

Marco regulatório, bases legais possíveis e requisitos técnicos para implantar reconhecimento facial em espaços públicos sem expor o município a sanções.

·por Equipe Akva

Reconhecimento facial deixou de ser tecnologia experimental e virou ferramenta de uso corrente em segurança pública. Junto com a maturidade técnica, veio uma regulação cada vez mais densa e uma jurisprudência que está consolidando limites claros.

Este artigo explica o que um gestor público precisa entender para decidir, especificar e contratar reconhecimento facial sem expor o município a sanções da ANPD ou questionamento judicial.

1. O que é, tecnicamente

Reconhecimento facial é a comparação automática entre uma imagem de face e uma base de referência. Tecnicamente, opera em duas modalidades distintas.

  • 1:1 (verificação): confirma se a face capturada corresponde a uma identidade declarada. Caso de uso típico: controle de acesso. Risco baixo, base legal frequentemente é o consentimento ou interesse legítimo do empregador.
  • 1:N (identificação): compara a face capturada contra uma base de muitas identidades. Caso de uso típico: vigilância e investigação. Risco alto, exige base legal mais robusta e governança maior.

Quase toda controvérsia está no uso 1:N em espaço público, principalmente quando aplicado a multidões sem alvo definido.

2. Base legal: o ponto que define tudo

A LGPD, em seu artigo 11, classifica dado biométrico como dado pessoal sensível. O tratamento exige uma das hipóteses específicas previstas no §1º do mesmo artigo. Para segurança pública, as duas mais relevantes são:

  • Garantia da prevenção à fraude e à segurança do titular (art. 11, §1º, II, g) — base limitada e específica
  • Exercício regular de direitos em contrato ou processo administrativo (art. 11, §1º, II, c)

Para vigilância em via pública, interesse público genérico não é base legal suficiente. A ANPD e o Judiciário têm sido consistentes nesse ponto: precisa haver finalidade específica, proporcionalidade, e — quando possível — alvo previamente determinado (lista de procurados, busca por pessoa desaparecida, controle de acesso a área restrita).

Casos recentes em capitais brasileiras mostram o padrão: implantações sem DPIA prévia, sem lista controlada, sem critério de minimização foram suspensas ou modificadas por decisão judicial.

3. Avaliação de Impacto à Proteção de Dados (DPIA)

A ANPD, em sua Resolução CD/ANPD nº 4/2023, deixou claro que tratamento de dados sensíveis em larga escala exige DPIA. Para reconhecimento facial em espaço público, é praticamente obrigatório.

A DPIA precisa documentar:

  • Finalidade específica do tratamento
  • Necessidade e proporcionalidade da medida
  • Mapeamento de risco aos direitos dos titulares
  • Medidas técnicas e organizacionais de mitigação
  • Plano de revisão periódica (recomendado a cada 12 meses ou em mudança relevante)

Implantar sem DPIA é deixar a porta aberta para responsabilização individual do gestor.

4. Boas práticas técnicas

Conformidade com LGPD se traduz em decisões técnicas específicas:

  • Lista controlada (watchlist): o sistema só dispara alerta quando a face capturada corresponde a uma identidade pré-cadastrada com base legal documentada (procurado pela Justiça, desaparecido, autorizado a área restrita). Sem lista, vira vigilância massiva.
  • Descarte imediato de templates negativos: face que não bateu com a lista não fica armazenada. Só ficam registros das ocorrências válidas.
  • Threshold ajustável: parâmetro de confiança da comparação deve ser configurável e auditado. Threshold baixo gera falso positivo; alto pode gerar falso negativo. Calibração é decisão operacional consciente.
  • Criptografia em repouso e em trânsito: AES-256 no mínimo, TLS 1.3 nas comunicações.
  • Log imutável de auditoria: cada consulta, cada alerta, cada acesso registrado, com retenção mínima de cinco anos para fins de fiscalização.
  • Segregação de funções: quem opera, quem configura e quem audita são pessoas distintas.

5. Falsos positivos: o risco operacional mais importante

Toda tecnologia de reconhecimento facial tem taxa de falso positivo. Mesmo sistemas estado da arte operam na casa de 0,01 a 0,1% em condições controladas. Em via pública, com iluminação variada e ângulos não ideais, a taxa real costuma ser maior.

Em uma cidade com 50 câmeras processando 1.000 faces por hora, mesmo 0,05% de falso positivo significa 600 alertas falsos por dia. Sem protocolo de validação humana, o sistema gera abordagens equivocadas — e a próxima manchete.

Protocolo mínimo que evita esse cenário:

  • Alerta nunca dispara ação automática
  • Operador valida antes de qualquer comunicação ao agente em campo
  • Treinamento documentado sobre vieses raciais conhecidos (sistemas tendem a errar mais em peles escuras)
  • Auditoria mensal de falsos positivos confirmados

6. Casos de uso aceitos e contestados

Com base na jurisprudência e nos pareceres da ANPD, podem ser considerados de baixo risco regulatório:

  • Busca por pessoas desaparecidas (idosos com demência, crianças, adultos vulneráveis)
  • Identificação de procurados pela Justiça com mandado vigente, em lista atualizada
  • Controle de acesso a área restrita (prefeitura, unidade de saúde, escola) com consentimento ou base contratual
  • Investigação criminal retroativa, com requisição formal e ordem judicial quando aplicável

Caem na zona de risco alto:

  • Identificação massiva sem alvo (varredura indiscriminada de multidão)
  • Cruzamento automático com bases de dados sem base legal específica
  • Compartilhamento com terceiros sem contrato de operador formalizado
  • Retenção indefinida de templates biométricos

7. Cláusulas contratuais críticas

No contrato com o fornecedor de tecnologia (operador, no vocabulário LGPD), três cláusulas são determinantes:

  • Definição clara do papel de operador, com obrigação de seguir instruções do controlador
  • Vedação ao uso secundário dos dados (fornecedor não pode usar para treinar modelo próprio, por exemplo)
  • Auditoria assegurada, com direito do controlador inspecionar processos e logs

Sem essas cláusulas, a prefeitura fica exposta a uso indevido dos dados pelo próprio fornecedor.

8. Caminho prático para gestores

Para quem está avaliando implantação:

  1. Comece pelo caso de uso mais restrito (busca por desaparecidos, por exemplo). É o que tem menor risco regulatório e maior aceitação social.
  2. Faça a DPIA antes de qualquer especificação técnica. O processo costuma redesenhar o projeto inteiro.
  3. Estabeleça o protocolo operacional (quem opera, quem valida, quem audita) antes de licitar.
  4. Treine a equipe antes da go-live. Falso positivo mal tratado é o que vira incidente.
  5. Implante em escopo controlado, avalie, expanda. Não tente cobertura total na primeira fase.

A tecnologia funciona. A diferença entre projetos que operam por anos sem incidente e os que viram crise está na engenharia de governança que vem antes da câmera.

Perguntas frequentes

Reconhecimento facial em via pública é permitido pela LGPD?

Sim, mas com restrições. O uso precisa ter base legal específica (não genérica), finalidade clara, proporcionalidade, retenção mínima e DPIA documentada. Vigilância massiva sem critério tem sido contestada com sucesso. Uso seletivo (lista de procurados, busca por desaparecidos, acesso a área restrita) é o caminho aceito.

Quem é o responsável legal pelo tratamento dos dados?

A prefeitura ou órgão público que opera o sistema. O fornecedor de tecnologia é operador, não controlador. Essa diferenciação importa porque o controlador responde diretamente pela conformidade. Contrato de operador precisa estar formalizado conforme art. 39 da LGPD.

Quanto tempo posso armazenar imagens biométricas?

O mínimo necessário para a finalidade. Para reconhecimento ativo (alerta em tempo real), o template pode ser descartado após a comparação. Para investigação retroativa, retenção de 30 a 90 dias costuma ser justificável. Armazenar indefinidamente é desproporcional e indefensável.