Biometria na UE: Navegando pelo GDPR e pela Lei de IA
A tecnologia de biometria tem sido amplamente utilizada para identificar indivíduos, principalmente em contextos de segurança e aplicação da lei. No entanto, seu uso está se expandindo rapidamente para novos domínios. Impulsionadas por avanços em inteligência artificial, as tecnologias biométricas agora afirmam ser capazes de inferir emoções, traços de personalidade e outras características baseadas apenas em características físicas.
Essas ferramentas são cada vez mais utilizadas em diversos ambientes: empresas analisam expressões faciais para avaliar o sentimento do cliente e candidatos a emprego, empregadores utilizam ferramentas de monitoramento para medir o foco dos colaboradores, e plataformas online empregam software biométrico para aplicar restrições etárias.
Regulamentações Europeias
As regulamentações europeias evoluíram em resposta a esse cenário em mudança. Desde 2018, o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE rege o processamento de dados biométricos como uma forma de dados pessoais e, quando utilizados para identificar indivíduos de forma única, como dado de categoria especial. O processamento de dados de categoria especial é geralmente proibido, a menos que o indivíduo forneça consentimento explícito ou outra condição sob o Artigo 9(2) se aplique.
A Lei de IA
Baseando-se nessa fundação, a Lei de IA da UE introduz uma nova camada de regulamentação que visa quatro tipos de biometria e os classifica por risco — variando de proibido a alto risco e risco limitado — com base em seu propósito e contexto de uso.
Identificação Biométrica Remota
Sistemas de identificação biométrica remota são sistemas de IA projetados para identificar indivíduos sem seu envolvimento ativo, geralmente à distância. Um exemplo comum é o software de reconhecimento facial que analisa imagens de câmeras de segurança para identificar pessoas em tempo real ou retrospectivamente, comparando imagens com um banco de dados biométrico. Essa definição, no entanto, exclui ferramentas de verificação e autenticação biométrica que exigem a participação ativa do indivíduo.
De acordo com a Lei de IA, o uso de sistemas de identificação biométrica remota em tempo real — que capturam e analisam dados biométricos simultaneamente — é proibido para fins de aplicação da lei, exceto em circunstâncias estritamente definidas. Todas as outras utilizações de sistemas de identificação biométrica remota, incluindo sistemas pós-remotos, são permitidas, mas classificadas como de alto risco.
Categorização Biométrica
Sistemas de categorização biométrica são sistemas de IA que atribuem indivíduos a categorias específicas com base em seus dados biométricos. Essas categorias podem se referir a traços relativamente inócuos, como idade ou cor dos olhos, ou a atributos mais sensíveis e controversos, como sexo, etnia, traços de personalidade e afiliações pessoais. No entanto, a definição exclui a categorização biométrica que é puramente acessória a serviços comerciais.
Segundo a Lei de IA, sistemas de categorização biométrica que categorizam indivíduos de acordo com características proibidas — incluindo raça, opiniões políticas, membresia em sindicatos, religião e orientação sexual — são banidos, com exceções limitadas para rotulagem ou filtragem de conjuntos de dados biométricos e certos usos médicos, de segurança e de aplicação da lei.
Reconhecimento de Emoções
Sistemas de reconhecimento de emoções são projetados para identificar ou inferir as emoções ou intenções de um indivíduo com base em seus dados biométricos. A Lei de IA distingue entre inferência de emoções — regulada — e a detecção de expressões ou estados físicos evidentes — não regulada. Por exemplo, um sistema que identifica se alguém está sorrindo ou cansado não é considerado um sistema de reconhecimento de emoções, enquanto um sistema que interpreta expressões faciais para concluir que a pessoa está feliz, triste ou divertida se enquadra na definição.
A Lei de IA proíbe sistemas de reconhecimento de emoções em ambientes de trabalho e educacionais, exceto quando estritamente necessário para fins médicos ou de segurança. Em outros contextos, eles são classificados como de alto risco e sujeitos a extensos requisitos de conformidade.
Bancos de Dados de Reconhecimento Facial
Finalmente, a Lei de IA proíbe o desenvolvimento ou expansão de bancos de dados de reconhecimento facial por meio da coleta indiscriminada de imagens faciais da internet ou de filmagens de câmeras de segurança. Esta proibição é absoluta e não há exceções. No entanto, aplica-se especificamente a imagens faciais e não se estende a bancos de dados biométricos construídos com outros tipos de dados biométricos, como gravações de voz.
Navegando pela Sobreposição
A interseção do GDPR e da Lei de IA cria uma estrutura regulatória em camadas para tecnologias biométricas na UE. Embora as proibições da Lei de IA tenham entrado em vigor em fevereiro de 2025, as regras para sistemas de alto risco e risco limitado não se aplicarão até agosto de 2026. Nesse ínterim, as organizações enfrentam obrigações sobrepostas que apresentam desafios significativos de conformidade para aqueles que desenvolvem e utilizam essas tecnologias.
Navegar pela sobreposição entre o GDPR e a Lei de IA exige um mapeamento cuidadoso de papéis e responsabilidades em ambas as estruturas. Uma empresa que utiliza uma ferramenta biométrica internamente pode agir simultaneamente como controladora sob o GDPR e como implantadora sob a Lei de IA, acionando obrigações de conformidade distintas.
Os desafios representados por essas regulamentações marcam uma mudança do modelo de conformidade do GDPR, que se baseia em aviso e consentimento, para um que exige uma governança proativa baseada em riscos ao longo do ciclo de vida. Para os profissionais jurídicos, a conformidade eficaz requer não apenas uma forte compreensão do quadro legal, mas também um entendimento profundo da tecnologia subjacente, seu uso pretendido e o papel da organização na cadeia de suprimentos da IA.
