O uso de reconhecimento facial para controle de acesso em condomínios residenciais tem se tornado uma prática amplamente adotada no Brasil, mas sua implementação tem ocorrido sem o devido cuidado com os direitos dos titulares e com pouca ou nenhuma transparência no tratamento dos dados coletados. Estimativas apontam para a existência de aproximadamente um milhão de condomínios utilizando essa tecnologia, abrangendo inclusive dados de crianças, sem garantias adequadas de segurança, controle e fiscalização.
A coleta de dados como imagem do rosto, CPF, unidade residencial e registros de acesso diário configura um tratamento de dados pessoais sensíveis, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD). Apesar disso, o que se observa é uma informalidade generalizada: em muitos casos, o envio das imagens ocorre por aplicativos de mensagens, sem qualquer protocolo seguro, e os pedidos de exclusão de dados são tratados de forma verbal ou por simples mensagens eletrônicas, sem registros formais que comprovem o cumprimento da solicitação.
A responsabilidade legal sobre esse tratamento recai sobre os próprios condomínios, na figura do síndico, que, por vezes, delega à empresa fornecedora do sistema a guarda e o controle das informações sem qualquer supervisão adequada. Não é raro que as empresas mantenham os dados mesmo após a saída do morador, em desconformidade com os princípios da finalidade, necessidade e segurança previstos na LGPD.
A ausência de regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD) agrava a situação. Ainda que o órgão reconheça os desafios desse tipo de uso, não há até o momento regras claras sobre tempo de armazenamento, exigências técnicas de segurança ou medidas mínimas de transparência que os condomínios e prestadoras devam seguir. A fiscalização, por ora, depende exclusivamente de denúncias formais, sem atuação proativa por parte da Autoridade.
Essa lacuna regulatória se reflete diretamente no risco de exposição de dados pessoais. Há registros de vazamentos que envolvem dados completos de moradores, incluindo suas imagens faciais, divulgados em fóruns clandestinos da internet. Há também relatos de fraudes envolvendo o uso indevido de biometrias faciais para acesso a sistemas governamentais e obtenção de crédito fraudulento.
O reconhecimento facial, ao transformar o rosto em uma “chave” biométrica, exige um nível elevado de segurança, pois, diferentemente de uma senha, essa informação não pode ser modificada em caso de violação. Mesmo assim, muitos sistemas instalados em condomínios operam com o nível de segurança mais básico, propensos a falsos positivos e vulnerabilidades, o que compromete não apenas a eficácia do controle de acesso, mas também a integridade do tratamento dos dados.
A cadeia de responsabilidades entre o condomínio, as empresas que fornecem os equipamentos e aquelas que armazenam os dados é, em geral, mal definida. Em muitos contratos, não há exigência de relatórios técnicos, protocolos de exclusão de dados ou auditorias regulares. Esse vazio contratual e técnico abre espaço para práticas arriscadas e, muitas vezes, contrárias à lei.
Diante disso, algumas associações têm orientado síndicos a incluir nos contratos cláusulas que obriguem a apresentação periódica de relatórios sobre a gestão dos dados, contendo o fluxo de tratamento, medidas de segurança, histórico de acessos e incidentes, além de delimitar o tempo de guarda das informações. Essa prática, aprovada em assembleia, pode ser um primeiro passo em direção a uma governança mais responsável.
A situação atual exige que os condomínios e os profissionais envolvidos comecem a tratar a biometria facial com a seriedade que o tema exige. A proteção da identidade biométrica não pode ser baseada apenas na confiança informal entre síndico e prestadora de serviço, mas em protocolos claros, medidas de segurança auditáveis e, sobretudo, no respeito à legislação vigente.
