A súbita empolgação parlamentar com a biometria facial, ora para impor, ora para vedar, revela mais desejo de aderir ao espetáculo tecnológico do que capacidade de compreendê-lo. Legisla-se por reflexo, sem domínio do objeto, como quem busca palco em meio ao ruído.
Os PLs 1.380/25 e 2.379/25, ambos de autoria de deputados catarinenses, partem de pontos ideológicos antagônicos, mas convergem no mesmo vício de origem: a ausência de racionalidade técnica e de coerência jurídica na formulação de políticas públicas de proteção de dados pessoais.
Enquanto o PL 1.380/251 de autoria do deputado Jorge Goetten (REPUBLIC/SC), busca combater a desinformação e a manipulação digital exigindo biometria facial obrigatória para cadastro e autenticação em redes sociais, o PL 2.379/252 proposto pelo deputado Fabio Schiochet (UNIÃO/SC), pretende o efeito oposto, banir o uso compulsório da biometria facial, impondo aos controladores a oferecerem “alternativas não biométricas”.
Apesar de premissas opostas, ambos projetos partilham a mesma falha estrutural: legislam sobre tecnologia e dados pessoais biométricos guiados em percepções superficiais de risco, alheios à lógica constitucional e aos princípios do núcleo da LGPD3.
O legislador insiste no binário entre proibir e permitir, fetiche que mascara a ausência de substância normativa. Em ambos os projetos, a dicotomia substitui a análise: ignora-se que a LGPD não tutela apenas dados, mas as pessoas a quem esses dados pessoais dizem respeito.
Ambos os projetos revelam uma falha estrutural que desconsidera os Arts. 2º, II e III, 6º, 7º e 11 da LGPD, afastando-se dos princípios da necessidade, finalidade, adequação e da proteção reforçada aos dados sensíveis.
Ao legislar sem referência à autodeterminação informativa, convertem o direito fundamental em técnica legislativa desorientada, desconectando o sistema normativo de seu sujeito, o titular.
Equivoca-se quem vê nesses projetos um avanço normativo. Longe de serem progressistas, são reativos, desconectados da lógica principiológica da proteção de dados pessoais e alheios aos fundamentos constitucionais que deveriam orientá-los.
O resultado é previsível: tratam os sintomas, ignoram as causas. Afinal, o Direito não pode ser reduzido a um conjunto de regras formais e vazias, mas deve expressar um projeto civilizatório capaz de mediar as transformações sociais com coerência e sentido, evitando que a lei se torne mera ficção normativa.
O PL 1.380/25 parte de um propósito legítimo, conter desinformação e abusos digitais, combatendo perfis falsos que praticam condutas digitais abusivas, tais como: disseminação de ódio, difamação, assédio, bullying virtual, fake news, bots e até a própria manipulação digital, mas converte o combate em vigilância.
Ao instituir reconhecimento facial compulsório para cadastro e autenticação, cria um sistema de rastreamento contínuo de identidades, ampliando o tratamento massivo de dados biométricos e tensionando os limites constitucionais da proteção à privacidade.
Sem distinguir adequadamente entre processos de verificação (1:1) e identificação (1:N), o projeto acaba legitimando práticas de vigilância privada sob o argumento de segurança digital, sem prever salvaguardas técnicas, parâmetros robustos de governança ou mecanismos de avaliação de impacto, contrariando diretrizes de órgãos especializados e expondo os dados pessoais a riscos ainda maiores.
É a institucionalização do panóptico digital, agora com selo de conformidade parlamentar.
A própria Agência Nacional de Proteção de Dados, em seu radar tecnológico 02, de 20244, reconhece que o uso de tecnologias de reconhecimento facial envolve riscos específicos à autodeterminação informativa, incluindo viés algorítmico, reidentificação indevida e ampliação desproporcional da vigilância.
Da leitura, é possível concluir os riscos associados a finalidade que se pressupõem, não são solucionados apenas pela oferta de alternativas formais ao uso dessas tecnologias de reconhecimento facial.
Pelo contrário, a efetiva mitigação dos riscos depende da implementação de sólidos mecanismos de governança, auditoria contínua dos algoritmos e da adoção rigorosa do princípio da minimização de dados pessoais.
Assim, tanto o relatório quanto o contexto normativo sublinham que é preciso ir além de opções superficiais, investindo em estruturas técnicas e regulatórias capazes de assegurar o controle, a transparência e a proteção dos dados pessoais, prevenindo violações e abusos decorrentes do uso indiscriminado de sistemas biométricos, que encontra-se em linha com as diretrizes 03/19 do Comitê Europeu de Proteção de Dados (EDPB)5.
O paradigma internacional reforça que a proporcionalidade é o filtro técnico-jurídico indispensável à legitimidade do tratamento de dados sensíveis, como condição prévia à adoção de tecnologias de alto risco, como a biometria facial.
No contexto brasileiro, essa interpretação é complementada pela resolução CD/ANPD 2, de 27 de janeiro de 20226, que define o tratamento de alto risco e impõe avaliação rigorosa de impacto e salvaguardas proporcionais sempre que o tratamento preencher ao menos um critério geral e um critério específico.
O PL 1.380/25 se enquadra perfeitamente nessa definição: há tratamento de dados pessoais em larga escala (Art. 4º, I, ‘a’) milhões de usuários em autenticações constantes, aliado à utilização de dados pessoais sensíveis (Art. 4º, II, ‘d’), em que essa conjugação caracteriza uma operação de tratamento de dados pessoais de alto risco.
No plano constitucional, a proteção foi expressamente incorporada pela EC 115/22, que introduziu o inciso LXXIX ao Art. 5º da Constituição Federal, garantindo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
Esse reconhecimento eleva a proteção de dados pessoais à condição de direito fundamental autônomo, impondo ao legislador o ônus de observar os princípios da proporcionalidade em seu sentido estrito, exigindo uma avaliação criteriosa entre finalidade, adequação, necessidade e ponderação dos meios empregados, constituindo critério paradigmático para a conformidade constitucional das normas.
Sob essa ótica, tanto a obrigatoriedade do reconhecimento facial proposta pelo PL 1.380/25 quanto a proibição genérica prevista no PL 2.379/25 carecem de fundamentação racional proporcional, posicionando-se fora do espectro da legitimidade constitucional.
O impacto prático é grave: sob o pretexto de proteger a identidade digital, o PL 1.380/25 estabelece um sistema nacional de rastreamento facial desprovido de mecanismos eficazes de controle, auditoria e proporcionalidade, um paradoxo inquietante entre segurança aparente e vulnerabilidade concreta.
Já o PL 2.379/25, embora pretenda corrigir tais excessos, reincide no mesmo equívoco estrutural. Ao impor que toda aplicação ofereça uma alternativa “não biométrica”, cria uma falsa sensação de escolha: o titular até pode optar, mas sem garantias efetivas de segurança, rastreabilidade ou proporcionalidade. Métodos como PIN, senha ou QR Code não são intrinsecamente mais seguros e, quando mal implementados, podem ampliar o risco de fraudes e vazamentos.
É a ilusão da escolha: o titular aparenta decidir, mas apenas alterna formas de exposição. O Estado apresenta alternativas como garantia de autonomia, quando, na prática, delega ao cidadão a responsabilidade por uma vulnerabilidade que não controla.
O PL 2..379/25 também presume que o consentimento seria a hipótese legal adequada ao tratamento de dados pessoais biométricos, justamente o que a ANPD questionou em sua Tomada de Subsídios sobre Dados Biométricos7, Bloco II, ao reconhecer que essa hipótese carece de efetividade diante da assimetria de poder informacional entre titulares e controladores.
Em contextos de dependência tecnológica e serviços essenciais, o consentimento é viciado pela assimetria informacional, tornando-se mais formalidade que expressão de vontade.
A lei só cumpre sua função social quando ultrapassa o formalismo e dialoga com as dinâmicas sociais e tecnológicas que pretende regular. Reduzida a um ritual burocrático, perde seu propósito, deixa de promover equilíbrio e passa a reproduzir, ou até agravar, as assimetrias que deveria corrigir.
Ambos os projetos, portanto, ignoram a função teleológica do consentimento e suas limitações práticas, reduzindo a autodeterminação informativa, essência da LGPD, a um ato simbólico, incapaz de equilibrar poder e vulnerabilidade entre o titular e o controlador.
Partindo da mesma lógica superficial, o Estado legisla para aparentar prudência: um pela imposição, outro pela precaução. Contudo, ambos violam o princípio da proporcionalidade, previsto no Art. 6º, III, da LGPD, que impõe adequação e necessidade entre o meio técnico e a finalidade legítima. A imposição ou a proibição absoluta da biometria facial, assim, afronta diretamente esse núcleo axiológico fundamental.
A doutrina econômica chama de excesso regulatório o fenômeno em que a lei cria mais riscos do que resolve.
Estudos do NBER, Harvard e do IPEA demonstram que legislações hiperativas reduzem inovação, elevam custos regulatórios e incentivam fugas normativas, zonas cinzentas onde a inovação se refugia para sobreviver.
Por outro lado, o cenário oposto é o “freezing effect” regulatório: a paralisia causada por normas que sufocam o desenvolvimento tecnológico sem promover ganhos reais em segurança ou proteção efetiva.
Enquanto isso, a OACI (ONU) avança para o uso do rosto como passaporte digital seguro8, o Brasil hesita entre banir ou impor o reconhecimento facial, sem discutir o essencial: governança, segurança e proporcionalidade.
Nota-se que a proteção de dados pessoais deveria ser entendida como instrumento de controle social do poder informacional, e não mera prerrogativa individual, assim, ao legislar sobre tecnologia sem compreender essa dimensão estrutural, o legislador converte a tutela do titular em formalidade procedimental.
De um lado, o temor irracional diante da tecnologia. Do outro, a confiança acrítica nela. E no centro, o vazio da inteligência regulatória. Esses projetos, em última análise, não tratam apenas de biometria facial, tratam de confiança institucional, da capacidade do Direito de responder com lucidez às transformações tecnológicas, sem abdicar da racionalidade.
A proteção de dados pessoais, enquanto expressão da autodeterminação informativa prevista no Art. 2º, II, da LGPD, não se coaduna com soluções binárias nem com respostas legislativas reativas. O verdadeiro desafio regulatório não é legislar mais, mas legislar melhor.
O Brasil corre o risco de permanecer como uma nação que legisla sob o manto da ilusão de segurança, alimentando a cultura do medo, da proibição e da imposição, em vez de investir em educação ética, técnica e racional sobre o uso da tecnologia.
Entre o fetichismo tecnológico, o pânico moral e os extremos, o Direito precisa romper com soluções simplistas que apenas disfarçam a complexidade dos desafios contemporâneos. É imperativo reafirmar a razão crítica, reconhecendo a proteção de dados pessoais não como um entrave ao progresso, mas como alicerce de um projeto civilizatório que exige menos leis superficiais e mais lucidez normativa.
O que se vê é a repetição de um vício histórico em que a crença de que a mera edição normativa, performática e simbólica, resolve problemas complexos. O discurso da segurança é o novo manto da regulação irracional.
O Direito deve ser a arquitetura racional da convivência democrática, instrumento de mediação entre o novo e o antigo, risco e liberdade. Não pode sucumbir ao formalismo vazio ou às emoções reativas, mas exercer ponderação constante, comprometido com dignidade, justiça social e autonomia.
Somente nesse patamar a proteção de dados pessoais se consolidará como fundamento indispensável para um futuro tecnológico verdadeiramente ético, que respeita a autonomia do cidadão e fortalece a confiança institucional.
_______
1 https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2511288
2 https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2492028
3 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
4 https://www.gov.br/anpd/pt-br/centrais-de-conteudo/documentos-tecnicos-orientativos/radar-tecnologico-biometria-anpd-1.pdf
5 https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_pt.pdf
6 https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022
7 https://www.gov.br/participamaisbrasil/ts-dados-biometricos
8 https://olhardigital.com.br/2025/04/27/pro/no-futuro-seu-rosto-pode-ser-sua-passagem-aerea/