Dados Biométricos na Era da IA: O Próximo Campo Minado Regulatório que Executivos Não Podem Ignorar
A Illinois Biometric Information Privacy Act (BIPA) gerou mais de US$ 2,5 bilhões em acordos desde 2008 e continua produzindo litígios recordes. Em 2025, Texas e Washington expandiram legislações equivalentes. Na Europa, o AI Act classifica sistemas biométricos de identificação remota como alto risco. A proliferação de câmeras com reconhecimento facial e autenticação por voz no ambiente corporativo expõe empresas a risco jurídico crescente.
O reconhecimento facial na catraca, a autenticação por voz no call center, a análise de expressões em videoentrevistas de candidatos. Tecnologias biométricas estão penetrando o ambiente corporativo a uma velocidade que supera o desenvolvimento de frameworks regulatórios e políticas internas de governança. O resultado é exposição jurídica crescente que já custou bilhões de dólares em acordos e deve se intensificar em 2026.
O Precedente Americano: BIPA como Modelo
A Illinois Biometric Information Privacy Act, em vigor desde 2008, é a lei de privacidade biométrica mais litigada dos Estados Unidos. Ela exige consentimento informado antes da coleta de dados biométricos, proíbe a venda ou transferência de dados sem consentimento, e impõe retenção mínima de dados, com destruição obrigatória quando a finalidade original for atingida.
A consequência financeira é expressiva. A BIPA gerou mais de US$ 2,5 bilhões em acordos coletivos desde sua promulgação, incluindo US$ 650 milhões pagos pelo Facebook em 2021 pelo uso de reconhecimento facial para marcação de fotos sem consentimento, e US$ 228 milhões pagos pela BNSF Railway por leituras biométricas de motoristas de caminhão sem as devidas autorizações.
Em 2025, Texas e Washington aprovaram expansões em suas legislações de privacidade biométrica, ampliando o escopo das obrigações para empresas de qualquer porte que coletem esses dados de residentes nesses estados.
O Framework Europeu
O EU AI Act classifica sistemas de identificação biométrica remota em espaços públicos como de "alto risco" e proíbe, com exceções estreitas, o uso de sistemas de identificação biométrica em tempo real por autoridades policiais. Para uso corporativo, qualquer sistema que use biometria para tomada de decisões que afetam indivíduos, como seleção de candidatos ou monitoramento de desempenho, está sujeito às obrigações de alto risco do AI Act.
O GDPR já proibia o tratamento de dados biométricos sem base jurídica específica. A intersecção com o AI Act cria uma dupla camada de conformidade que afeta diretamente sistemas de autenticação corporativa, controle de acesso físico e ferramentas de recursos humanos que incorporam análise biométrica.
O Risco Específico de RH e Contratação
Uma categoria de risco particularmente subestimada é o uso de IA em processos de seleção e avaliação de candidatos. Diversas jurisdições, incluindo Maryland (EUA) e a UE sob o AI Act, exigem que candidatos sejam informados quando IA for usada em entrevistas e que possam solicitar revisão humana da decisão. O uso de análise de microexpressões ou tom de voz como critério de seleção sem as devidas divulgações e bases jurídicas já gerou litígios em ambos os lados do Atlântico.
Para o CHRO e o General Counsel em conjunto, a agenda de 2026 inclui auditoria de todos os pontos de coleta biométrica na organização, revisão de contratos com fornecedores de HR tech que incorporam análise de comportamento ou expressão, e desenvolvimento de políticas de retenção e destruição de dados biométricos que sejam auditáveis.