Reconhecimento facial em estádios e a experiência regulatória brasileira

Ainda que a Copa do Mundo de 2026 seja realizada fora do território brasileiro, a experiência regulatória nacional em torno do reconhecimento facial em estádios oferece lições relevantes para empresas e operadores que atuam nesse ecossistema, como a Copa do Mundo Feminina de 2027.

A utilização de sistemas de reconhecimento facial em estádios esportivos tem se expandido de forma acelerada no Brasil, impulsionada não apenas por objetivos de segurança e eficiência operacional, mas também pela Lei nº 14.597/2023, a Lei Geral do Esporte (LGE), que entrou em vigor em 2025. Seus arts. 148 e 158, XII, determinam que recintos esportivos com capacidade superior a 20 mil pessoas adotem sistemas de identificação biométrica dos espectadores e que o cadastramento biométrico seja condição de acesso para maiores de 16 anos.

A implementação dessa tecnologia envolve características que tornam o tratamento de dados pessoais particularmente complexo. Primeiro, há uma multiplicidade de agentes de tratamento: clubes, federações, empresas especializadas na comercialização de ingressos (ticketeiras), administradores de estádios e órgãos públicos de segurança, cada qual com papéis distintos na cadeia de coleta e processamento dos dados. Conforme identificado pela Coordenação-Geral de Fiscalização (CGF) da Agência Nacional de Proteção de Dados (ANPD) na Nota Técnica nº 5/2025/FIS/CGF/ANPD, em diversos casos não é possível identificar de forma clara o papel desempenhado por cada agente, nem as respectivas responsabilidades, o que compromete a cadeia de accountability. Além disso, o volume de tratamento é expressivo: no Campeonato Brasileiro da Série A de 2025, por exemplo, a média de público foi de 25.531 pagantes por partida, e cada verificação biométrica nas catracas de maiores de 16 anos constitui uma nova operação de tratamento de dados pessoais. Por fim, do ponto de vista jurídico, o reconhecimento facial depende do tratamento de dados biométricos – classificados como dados pessoais sensíveis pelo art. 5º, II, da Lei Geral de Proteção de Dados (LGPD) – cuja eventual utilização inadequada pode gerar riscos ou vulnerabilidades potencialmente mais gravosas para os titulares.

Sendo dados sensíveis, o tratamento biométrico de torcedores somente pode ser realizado com amparo em uma das hipóteses do art. 11 da LGPD.  A CGF concluiu, na mesma Nota Técnica, que o cadastramento e a verificação biométrica nas catracas dos estádios de futebol encontram respaldo na base legal do cumprimento de obrigação legal ou regulatória, uma vez que decorrem das obrigações impostas aos clubes pelos arts. 144, 148 e 158, XII, da LGE.

Por essa razão, a coleta de consentimento do torcedor cuja necessidade de tratamento dos dados se enquadre nos critérios obrigatórios da LGE seria, a rigor, desnecessária e juridicamente equivocada, pois o consentimento não pode ser considerado “livre”. A CGF alertou que a utilização simultânea de bases legais distintas – como a obrigação legal e o consentimento – para o mesmo tratamento compromete a legítima expectativa do titular e pode ser considerada prática irregular, em especial se o consentimento for utilizado para desvirtuar a finalidade regulatória originária, como seria o caso de utilização para campanhas de publicidade. Essa conclusão merece atenção dos agentes de tratamento na estruturação de seus programas de conformidade. A reflexão é útil para qualquer cenário de eventos esportivos de grande porte nos quais o cadastramento em massa possa gerar tensões entre a operacionalização do sistema e a autonomia dos titulares.

Embora o tratamento biométrico para fins de cumprimento da LGE esteja, em princípio, amparado pela LGPD, o uso do reconhecimento facial em estádios enseja riscos jurídicos que merecem atenção. A ANPD, em seu Radar Tecnológico sobre Biometria e Reconhecimento Facial (2024), destacou que os vieses e normas culturais e sociais dos responsáveis pelo tratamento de dados biométricos podem se refletir nos algoritmos e modelos de aprendizagem, levando a efeitos discriminatórios de ordem racial, social, étnica e de gênero.

A acurácia dos sistemas de reconhecimento facial pode variar conforme o método utilizado, a diversidade da população e as condições de captura de imagem, o que amplia os riscos de abordagens indevidas ou restrições injustificadas de acesso a pessoas que estejam em pleno exercício de seus direitos. Trata-se, portanto, de um problema documentado pela própria Agência, que registrou a inexistência de protocolo nacional orientando a ação das forças de segurança em casos de identificações positivas pelo sistema, especialmente diante de eventuais falhas que possam reforçar vieses discriminatórios. Vale ressaltar que, se por um lado, a LGE autoriza a coleta da biometria facial, de outro a LGPD não se aplica para fins de segurança pública, o que pode representar uma tensão normativa em algumas situações.

A atuação fiscalizatória da ANPD no setor esportivo confirma que essas preocupações não são meramente teóricas. Em fevereiro de 2025, a CGF instaurou processos de fiscalização contra 23 clubes de futebol brasileiros, após identificar indícios de irregularidades relacionados ao cumprimento de obrigações de transparência e à adequação do tratamento de dados de crianças e adolescentes. Foi expedida medida preventiva determinando que os clubes publicassem nas plataformas de venda de ingressos informações adequadas sobre os procedimentos de cadastramento e identificação biométrica. Além disso, foi determinada a apresentação dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) referentes a essas atividades e a justificação de como o tratamento biométrico de crianças e adolescentes atenderia ao melhor interesse desse grupo vulnerável.

A investigação revelou a necessidade de que clubes disponibilizem informações claras, destacadas e específicas sobre o tratamento de dados biométricos nos ambientes de compra de ingressos, apresentando elementos essenciais como finalidades específicas da coleta, prazo de retenção, possibilidade de compartilhamento com terceiros e identificação dos agentes de tratamento envolvidos.

Esse precedente regulatório merece consideração por todos os agentes envolvidos na cadeia de fornecimento de tecnologias de reconhecimento facial para eventos esportivos de grande porte no Brasil. A CGF concluiu que as atividades de cadastramento biométrico e de identificação por reconhecimento facial constituem atividades de tratamento de dados pessoais de alto risco, sobretudo se imaginarmos os potenciais riscos de fraude financeira em incidentes de segurança com dados biométricos de autenticação. Em consequência, a elaboração prévia de RIPD foi considerada medida preventiva necessária para assegurar a conformidade do tratamento. A ANPD determinou que os relatórios contemplem, no mínimo, a indicação e a descrição das operações de tratamento, os riscos de violação aos princípios da LGPD, as consequências para os titulares, os níveis de risco inicial e residual e as medidas de mitigação adotadas ou a implementar. Para além do RIPD, a Agência exigiu a publicação de informações específicas nos ambientes de compra de ingresso.

Um ponto de atenção adicional, e de especial complexidade para organizadores de eventos de escala global, refere-se ao compartilhamento de dados biométricos com órgãos de segurança pública. O Projeto Estádio Seguro, firmado em 2023 entre o Ministério da Justiça e Segurança Pública (MJSP) e a Confederação Brasileira de Futebol (CBF), com prazo de vigência de 5 anos, prevê o compartilhamento de dados para facilitar o cruzamento de informações e ampliar a segurança nos estádios esportivos.

A CGF se manifestou sobre o tema nas Notas Técnicas nº 175/2023 e nº 29/2024, concluindo que o compartilhamento de dados pelos clubes com o MJSP não pode ser fundamentado na base legal de cumprimento de obrigação legal da LGE, cabendo ao órgão de segurança pública assegurar que os clubes indiquem a hipótese legal específica que autoriza essa operação. Ademais, a CGF consignou que o acúmulo preventivo e generalizado de dados sobre a população não se justifica, devendo a medida ser aplicada apenas a grupos específicos que demandem atenção diferenciada.

A experiência regulatória brasileira acumulada nos últimos anos demonstra que a conformidade nessa área exige uma abordagem jurídica estruturada e proativa, que integre proteção de dados pessoais, segurança da informação e governança corporativa. Para empresas envolvidas no desenvolvimento, fornecimento ou operação dessas tecnologias em eventos esportivos de grande porte, as lições extraídas da fiscalização da ANPD sobre os clubes de futebol oferecem um benchmark concreto: a definição clara da base legal aplicável; a transparência efetiva perante os titulares; a elaboração prévia de RIPD; a delimitação precisa dos papéis de cada agente na cadeia de tratamento; e o estabelecimento de limites claros e fundamentados para o compartilhamento de dados com terceiros e órgãos públicos. A consideração antecipada desses aspectos tende a mitigar riscos regulatórios que incluem processos de fiscalização, sanções administrativas e impactos reputacionais.

Para mais informações sobre esportes e tecnologia, acompanhe o Campo Jurídico, a série especial do Mattos Filho sobre a Copa do Mundo e esteja à vontade para contatar os nossos times de Tecnologia, Proteção de Dados e Cybersecurity.