A discussão sobre o uso de tecnologias de reconhecimento facial no ambiente de trabalho acaba de ganhar um marco relevante na Justiça do Trabalho. No processo nº 0001492-25.2025.5.10.0009, em trâmite perante a 9ª Vara do Trabalho de Brasília/DF (TRT da 10ª Região), o Judiciário determinou a suspensão imediata da implantação de ponto eletrônico por reconhecimento facial, evidenciando que inovação sem governança jurídica e técnica adequada gera risco real, e não apenas teórico, para as empresas.
O caso: tecnologia imposta sem governança
A controvérsia teve início quando a empresa anunciou a substituição dos sistemas tradicionais de controle de jornada e acesso por reconhecimento
facial, exigindo o cadastramento obrigatório da face dos trabalhadores como
condição de ingresso no local de trabalho.
Segundo os autos, a medida foi implementada sem diálogo prévio com o sindicato, sem apresentação de estudos técnicos, sem política clara de privacidade e sem informação adequada aos empregados sobre finalidade, retenção, segurança e descarte dos dados biométricos.
O sindicato sustentou, e o Juízo acolheu em cognição sumária, que se tratava de tratamento de dado pessoal sensível, realizado de forma desproporcional,
compulsória e sem base legal claramente demonstrada, em violação à
LGPD e a direitos fundamentais dos trabalhadores.
A decisão: tutela de urgência e princípio da precaução
Ao analisar o pedido, o magistrado reconheceu a presença dos requisitos
do art. 300 do CPC e concedeu tutela de urgência, determinando que
a empresa:
- suspendesse imediatamente a implantação do ponto por
reconhecimento facial; - mantivesse os sistemas já existentes ou oferecesse meios alternativos
menos intrusivos, como crachá, senha ou cartão magnético; - se abstivesse de punir empregados que se recusassem ao
cadastramento facial.
O ponto central da decisão não foi a rejeição da tecnologia, mas a ausência de
governança jurídica e técnica demonstrável. O Juízo foi explícito ao afirmar
que menções genéricas à LGPD não substituem a análise concreta dos riscos
envolvidos no tratamento de dados biométricos faciais, cujo impacto é
potencialmente irreversível em caso de incidente de segurança.
Um passo além: exigência de esclarecimentos
técnicos (quase uma perícia)
O processo avançou para um patamar ainda mais relevante para o mercado.
Em despacho posterior, o Juízo determinou que a empresa indique
profissional da área de informática habilitado para esclarecer, em audiência,
uma série de pontos técnicos, entre eles:
- se os dados biométricos são criptografados em repouso e em trânsito;
- quais algoritmos e tamanhos de chave são utilizados (HSM, hash, etc.);
- segregação entre dados, chaves e informações pessoais;
- se são armazenadas imagens ou apenas templates biométricos;
- níveis de acesso, logs e monitoramento de intrusão;
- existência de programa de governança em privacidade (art. 50 da LGPD);
- fornecimento de informações claras aos empregados;
- parecer jurídico indicando a base legal do art. 11 da LGPD;
- política de retenção e eliminação dos dados;
- avaliação prévia de segurança do software.
Na prática, o Judiciário deixou um recado inequívoco: não basta dizer que o
sistema é seguro, é preciso provar.
O alerta estratégico para empresas
Esse caso demonstra que a adoção de reconhecimento facial no ambiente
de trabalho, quando feita sem planejamento estruturado, não se limita a
risco regulatório.
Ela pode gerar passivo trabalhista estrutural, com efeitos financeiros,
operacionais e reputacionais.
Para evitar consequências semelhantes, as empresas devem, antes de qualquer
implementação:
- Realizar due diligence rigorosa de fornecedores
Avaliar não apenas o preço ou a funcionalidade, mas a capacidade técnica,
financeira e de resposta a incidentes, além de exigir garantias contratuais claras
sobre segurança da informação e proteção de dados. - Definir e documentar a base legal adequada
No contexto laboral, o consentimento é excepcional. A empresa deve justificar
juridicamente o tratamento de dados biométricos à luz do art. 11 da LGPD,
considerando a assimetria da relação de emprego. - Informar os colaboradores de forma clara e transparente
É indispensável explicar quais dados serão coletados, por quê, para qual
finalidade, onde serão armazenados, por quanto tempo e quando serão
descartados, preferencialmente por meio de política específica e acessível. - Elaborar os documentos exigidos pela LGPD
Projetos de alto risco exigem ROPA e, especialmente, RIPD, com análise real de
riscos, impactos e medidas de mitigação. - Implementar governança em privacidade e segurança
Controles de acesso, logs, auditorias, políticas internas, treinamento e regras de
boas práticas não são opcionais — são elementos centrais da conformidade. - Manter canal de comunicação com os titulares
Os empregados devem ter meios efetivos para exercer direitos, esclarecer
dúvidas e registrar solicitações, conforme os arts. 9º e 18 da LGPD. - Manter canal de comunicação com os titulares
Os empregados devem ter meios efetivos para exercer direitos, esclarecer
dúvidas e registrar solicitações, conforme os arts. 9º e 18 da LGPD.
Conclusão
O que o processo nº 0001492-25.2025.5.10.0009, da 9ª Vara do Trabalho de
Brasília/DF, deixa claro é que eficiência operacional não pode se sobrepor à
proteção de direitos fundamentais.
Quando envolve dados biométricos, especialmente no ambiente de trabalho,
a tecnologia precisa vir depois, e não antes, da arquitetura jurídica, técnica e
organizacional.
Empresas que compreendem a LGPD como estratégia de gestão de risco e
sustentabilidade, e não como mera formalidade documental, conseguem
inovar com segurança. As demais tendem a descobrir, no Judiciário, que
tecnologia sem governança custa caro.
Manuela Cotulio
Advogada Especialista em Proteção de dados e Segurança da informação
