Toda vez que você desbloqueia o celular com o rosto, autentica uma transferência bancária por reconhecimento facial ou registra o ponto no trabalho com a digital, você entrega a uma empresa o que há de mais íntimo e permanente em sua identidade: seus dados biométricos. Diferente de uma senha, que pode ser trocada em segundos após um vazamento, o seu rosto, sua íris e sua impressão digital são imutáveis. Uma vez expostos, expostos permanecem. Não há como “trocar” o próprio rosto.
É por isso que o vazamento ou o uso não autorizado de dados biométricos é uma das violações mais graves previstas na legislação brasileira. Casos recentes noticiados na imprensa expuseram a fragilidade da governança desses dados no país, com suspeitas de que informações faciais de milhões de brasileiros teriam sido acessadas sem a devida autorização. Situações assim deixam de ser hipótese acadêmica e passam a ser risco concreto na vida de qualquer pessoa que usa serviços digitais, o que hoje significa praticamente todo mundo.
Neste artigo, o Dr. Cláudio Boriola explica o que são dados biométricos aos olhos da lei, por que a LGPD lhes dá proteção reforçada, o que a jurisprudência do STJ já decidiu sobre indenização por vazamento de dados sensíveis, e quais são os direitos concretos do titular quando seu rosto, sua digital ou sua íris são tratados de forma indevida.
O Que São Dados Biométricos aos Olhos da Lei
A Lei Geral de Proteção de Dados, a Lei 13.709/2018, faz uma distinção fundamental entre dois tipos de dado pessoal. De um lado estão os dados pessoais comuns, como nome, CPF, endereço e telefone. De outro, uma categoria especialmente protegida: os dados pessoais sensíveis.
O art. 5º, inciso II, da LGPD define como sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e, expressamente, o dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado biométrico é toda informação relacionada às características físicas ou comportamentais que identificam unicamente uma pessoa: impressão digital, reconhecimento facial, leitura de íris, geometria da mão, padrão de voz. O que os torna especiais é uma combinação de dois fatores. Primeiro, identificam o indivíduo de forma praticamente inequívoca. Segundo, e mais grave, são imutáveis. Uma senha vazada se troca. Um cartão clonado se cancela. Um rosto mapeado e exposto acompanha a pessoa para sempre.
Por essa razão, a LGPD dedica aos dados sensíveis um regime jurídico agravado, mais rígido do que o aplicável aos dados comuns.
Por Que a LGPD Protege a Biometria com Rigor Reforçado
A proteção especial não é capricho legislativo. Ela responde a um risco real: dados sensíveis expostos podem gerar discriminação, estigmatização e prejuízos irreversíveis à dignidade do titular. Com a biometria, soma-se o risco de fraude de identidade que a vítima não tem como reverter.
O tratamento de dados biométricos está sujeito ao art. 11 da LGPD, e não ao art. 7º que regula os dados comuns. Confundir os dois regimes é um dos erros de conformidade mais frequentes. O art. 11 estabelece que dados sensíveis só podem ser tratados em hipóteses restritas:
- Quando o titular consentir de forma específica e destacada, para finalidades específicas. Não vale um consentimento genérico escondido em termos de uso extensos.
- Sem consentimento, apenas nas hipóteses taxativas do inciso II, como cumprimento de obrigação legal, execução de políticas públicas, exercício regular de direitos em processo, proteção da vida ou tutela da saúde.
O §1º do art. 11 reforça a proteção ao aplicar essas regras a qualquer tratamento que revele dado sensível e possa causar dano ao titular. E o §3º prevê que a comunicação ou o uso compartilhado de dados sensíveis entre empresas, com objetivo de vantagem econômica, pode ser vedado ou regulado pela Autoridade Nacional de Proteção de Dados.
Esse último ponto é decisivo. A lei antecipou exatamente o cenário mais perigoso: empresas trocando ou acessando dados sensíveis de terceiros para ganho comercial, sem que o titular saiba ou autorize.
As Obrigações de Quem Coleta e Guarda Sua Biometria
Quem coleta e trata dados biométricos assume o que a doutrina chama de dever de guarda qualificado. Não basta uma proteção mediana. A empresa precisa adotar medidas técnicas e administrativas robustas, na forma dos arts. 46 e 47 da LGPD, e essas medidas devem ser preventivas, não apenas reativas.
Isso significa que a empresa não pode se defender alegando que “corrigiu depois”. A jurisprudência é clara: reação posterior ao incidente não afasta a responsabilidade, porque o dever era proteger antes que o dano ocorresse.
Entre as obrigações centrais:
- Base legal adequada para a coleta, com consentimento específico quando exigido
- Medidas de segurança reforçadas contra acesso não autorizado
- Uso restrito à finalidade declarada ao titular, sem desvio de propósito
- Avaliação de impacto à proteção de dados (o chamado RIPD ou DPIA), especialmente recomendada e por vezes exigida pela ANPD para tratamento de biometria em larga escala
- Comunicação de incidentes de segurança à ANPD e aos titulares afetados, no prazo da Resolução CD/ANPD nº 15/2024
O desvio de finalidade merece destaque. Coletar biometria para uma finalidade específica, por exemplo autenticação em um banco, e depois usá-la para outra, como alimentar bases comerciais próprias ou aprimorar sistemas de terceiros, é violação autônoma, independentemente de ter havido “vazamento” no sentido clássico.
O Que o STJ Já Decidiu Sobre Indenização por Vazamento
Aqui está o ponto que mais interessa a quem foi vítima. A jurisprudência brasileira construiu uma distinção técnica que muda completamente a posição do titular conforme a natureza do dado exposto.
Para dados comuns: é preciso comprovar o dano
Quando o vazamento envolve apenas dados pessoais comuns (nome, CPF, endereço), o STJ tem entendido que o dano moral não é presumido. O titular precisa comprovar um prejuízo concreto decorrente da exposição. No AREsp 2.130.619, a Corte firmou que o vazamento de dados pessoais comuns, por si só, não gera automaticamente o dever de indenizar, sendo necessária a demonstração de dano efetivo, como uma fraude ou constrangimento específico que tenha resultado da exposição.
Para dados sensíveis: o dano moral é presumido
A lógica se inverte quando o dado exposto é sensível, categoria que inclui expressamente a biometria. Em decisão de grande relevância, no REsp 2.121.904, julgado em fevereiro de 2025, o STJ reconheceu o dano moral presumido (in re ipsa) em caso de vazamento de dados sensíveis, dispensando a necessidade de comprovação de prejuízo concreto.
No voto condutor, a relatora, ministra Nancy Andrighi, assentou que o vazamento de dados pessoais sensíveis, por si só, submete o titular a riscos em diversos aspectos de sua vida, como a honra, a imagem, a intimidade, o patrimônio, a integridade física e a segurança pessoal. Ou seja, a própria exposição do dado sensível já é o dano, porque viola diretamente direitos fundamentais e da personalidade.
Embora o caso concreto tratasse de dados de saúde e financeiros no contexto de um seguro, o entendimento tem impacto transversal e alcança todas as empresas que tratam dados sensíveis, incluindo os biométricos. A tese consolida um cenário de maior responsabilização e amplia as possibilidades de indenização ao titular.
Um exemplo concreto de como o dano se materializa
Para entender como essa proteção funciona na prática, considere uma situação real, que chegou ao nosso conhecimento profissional e ilustra com precisão o problema. Um golpista, sob pretexto qualquer, convence a vítima a participar de uma chamada de vídeo. Durante a conversa, captura a imagem do rosto dela. De posse dessa biometria facial, o criminoso passa pela verificação de identidade dos sistemas financeiros, a chamada prova de vida por reconhecimento facial, e contrata em nome da vítima empréstimos consignados que ela jamais solicitou. Quando a fraude é descoberta, o dinheiro já foi liberado e as parcelas começam a ser descontadas de seus rendimentos.
Esse caso expõe a face mais perversa do uso indevido de dado biométrico, e revela por que a lei o protege com tanto rigor. A vítima não perdeu apenas dinheiro, que em muitos casos é recuperável. Ela teve o próprio rosto transformado em chave de acesso nas mãos de um terceiro, e o mecanismo de segurança concebido para protegê-la, o reconhecimento facial, foi exatamente o instrumento usado para fraudá-la. Pior: diferentemente de uma senha comprometida, o rosto não pode ser trocado. A vulnerabilidade é permanente. É precisamente o tipo de violação que a jurisprudência do STJ enquadra como geradora de dano moral, pela exposição do titular a riscos concretos à sua segurança, ao seu patrimônio e à sua tranquilidade, independentemente de o prejuízo financeiro vir a ser revertido.
A responsabilidade é objetiva
Outro ponto essencial: a responsabilidade do agente que trata os dados é, em regra, objetiva. Isso significa que o titular não precisa provar culpa da empresa. Basta demonstrar o vazamento ou uso indevido, o dano (presumido, no caso de dado sensível) e o nexo causal entre um e outro. A empresa só se livra da responsabilidade em hipóteses muito estreitas, como culpa exclusiva da vítima ou de terceiro que rompa completamente o nexo causal.
E há um detalhe que costuma frustrar a defesa das empresas: a alegação de “ataque de hacker” ou de falha de um intermediário geralmente não afasta a responsabilidade. No contexto do Direito do Consumidor e da LGPD, esses eventos são tratados como fortuito interno, ou seja, risco inerente à própria atividade de quem coleta e armazena dados. Quem lucra com o tratamento de dados assume o risco de protegê-los.
Os Direitos Concretos do Titular
Diante do tratamento indevido de dados biométricos, o titular dispõe de um conjunto de direitos que podem ser exercidos de forma cumulativa.
Direito à informação e ao acesso. O titular pode exigir da empresa a confirmação da existência de tratamento e o acesso aos seus dados, na forma do art. 18 da LGPD, sabendo quais dados foram tratados, com que finalidade e com quem foram compartilhados.
Direito à eliminação. Pode requerer a exclusão dos dados tratados sem base legal adequada ou em desvio de finalidade.
Direito à indenização por danos morais. No caso de dado sensível como a biometria, com o dano moral presumido reconhecido pelo STJ, sem necessidade de comprovar prejuízo concreto.
Direito à indenização por danos materiais. Quando houver prejuízo econômico concreto, como fraude financeira decorrente do uso indevido da biometria.
Direito de peticionar à ANPD. O titular pode representar à Autoridade Nacional de Proteção de Dados, que tem competência para fiscalizar e aplicar sanções administrativas às empresas infratoras.
Vale registrar uma distinção importante: a esfera administrativa (ANPD) e a esfera civil (Justiça) são independentes. Uma empresa pode ser absolvida no processo administrativo e ainda assim ser condenada a indenizar na Justiça, e vice-versa. São dois vetores de responsabilização que correm em paralelo.
As Sanções que a Empresa Pode Sofrer
Para dimensionar a gravidade, vale conhecer o que a lei prevê contra quem trata dados de forma irregular. O art. 52 da LGPD estabelece sanções administrativas aplicáveis pela ANPD, entre elas advertência, multa de até 2% do faturamento da empresa (limitada a R$ 50 milhões por infração), bloqueio e eliminação dos dados envolvidos, e publicização da infração, o que gera dano reputacional relevante.
Além das sanções administrativas, há a responsabilidade civil perante cada titular afetado, individualmente ou por meio de ações coletivas. Vazamentos massivos, que atingem milhões de pessoas, podem gerar ações civis públicas e discussão de dano moral coletivo, elevando o risco financeiro das empresas a patamares expressivos.
A ANPD tem sinalizado que prioriza casos com potencial de dano massivo e que envolvam dados de maior sensibilidade, entre eles os dados biométricos, de saúde, de crédito e de crianças e adolescentes. Empresas que operam nesses segmentos estão no grupo de maior exposição regulatória.
Quando Procurar um Advogado?
A resposta tem duas dimensões. A primeira é de urgência probatória. Se você suspeita ou foi comunicado de que seus dados biométricos foram vazados ou usados sem autorização, a documentação do incidente é decisiva: a comunicação recebida da empresa, prints, protocolos, e-mails, notícias sobre o caso, tudo compõe a base de uma eventual ação. Quanto antes essa documentação for reunida e analisada, mais sólida será a posição do titular.
A segunda dimensão é de análise técnica. Nem todo incidente gera o mesmo direito. É preciso avaliar a natureza do dado (comum ou sensível), a existência de consentimento válido, o eventual desvio de finalidade, o nexo causal e a extensão do dano. Essa análise define a estratégia: ação individual, adesão a ação coletiva, representação à ANPD, ou uma combinação delas.
A Advocacia Boriola atua na defesa de titulares de dados vítimas de tratamento indevido, especialmente nos casos mais graves envolvendo dados sensíveis como a biometria. O escritório analisa a viabilidade da ação indenizatória, reúne a documentação do incidente, avalia a melhor via de responsabilização (civil, administrativa ou ambas) e conduz o processo em busca da reparação. Esse trabalho dialoga diretamente com a atuação do escritório em proteção de dados e reconhecimento facial em ambientes coletivos, tema de crescente relevância na vida digital do brasileiro.
Nota legal: Este artigo tem caráter meramente informativo e não substitui a consulta jurídica individualizada. Cada situação possui particularidades que devem ser analisadas por um advogado habilitado. As teses jurisprudenciais aqui mencionadas refletem o estado da discussão na data de publicação e podem evoluir.
Teve seus dados biométricos vazados ou usados sem autorização? Nossa equipe analisa sua situação sem compromisso.