Novo relatório jurídico da AEPD sobre a utilização da biometria no controlo de acessos

Informes29 de julho de 2025
A AEPD marca uma viragem nos seus critérios e admite, pela primeira vez, a possibilidade de utilizar sistemas biométricos de controlo de acesso em condições de segurança rigorosas.

Controlo de acesso biométrico? A AEPD parte do princípio de que é viável.

Até agora, a AEPD tinha sido relutante em aceitar a utilização da biometria para o controlo de acesso, partindo do princípio de que, como existiam métodos menos intrusivos, esta modalidade não passava no triplo teste de adequação, necessidade e proporcionalidade. A mensagem era clara: Biometria para controlo de acesso: tratamento altamente intrusivo + existência de meios menos intrusivos = possível infração.

No entanto, em 18 de julho de 2025, a AEPD publicou um relatório jurídico sobre um sistema de controlo de acesso às instalações da Guarda Civil baseado na autenticação biométrica, que, para além de um claro apelo ao legislador, lança luz sobre possíveis contextos em que se pode justificar a utilização desta tecnologia. É feita referência expressa a medidas técnicas e organizativas cuja adoção contribui significativamente para minimizar o impacto nos direitos e liberdades das pessoas em causa, reduzindo assim o grau de intrusividade associado ao tratamento.

Embora não se possa esquecer que o presente relatório se refere a um caso concreto e com um contexto normativo específico, também não se pode ignorar a relevante alteração da abordagem da AEPD, na medida em que abre a porta à possibilidade de, em determinados contextos e sob condições específicas, a autenticação biométrica poder ser considerada uma opção adequada para o controlo de acessos.


1. O consentimento como base válida de legitimação?

Embora neste caso o tratamento de dados biométricos encontre vários apoios regulamentares sobre a conveniência da adoção de medidas de segurança suficientes, por exemplo Lei Orgânica 7/2021, de 26 de maio, relativa à proteção dos dados pessoais tratados para efeitos de prevenção, deteção, investigação e repressão de infracções penais e execução de sanções penais, aplicável a este caso, bem como a Diretiva (UE) 2022/2551 do Parlamento Europeu e do Conselho, de 26 de maio, relativa à proteção dos dados pessoais tratados para efeitos de prevenção, deteção, investigação e repressão de infracções penais e execução de sanções penais.A Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho, que se encontra em fase de transposição para a ordem jurídica interna através de um anteprojeto de lei, o que realmente salta à vista é a viragem dada pela AEPD ao contemplar, pela primeira vez de forma clara, o consentimento como fundamento válido de legitimação para este tipo de tratamento. Este reconhecimento não é de somenos importância, já que até agora se questionava a suficiência do consentimento para levantar a proibição, por se tratar de um tratamento de alto risco que não cumpria o requisito da necessidade.

Embora não implique uma mudança generalizada de critério, esta nova interpretação poderá ter implicações práticas muito relevantes, abrindo a porta à utilização de sistemas biométricos para o controlo de acessos em ambientes não regulamentados, desde que estejam reunidas as garantias e medidas necessárias e se passe o teste da proporcionalidade.


2. Determinar o contexto e a forma de mitigar os riscos associados.

Igualmente relevante é o facto de, neste relatório, a AEPD reconhecer repetidamente que o controlo de acessos através da biometria é mais eficaz do que a utilização de cartões, palavras-passe ou registos manuais, uma vez que permite uma verificação mais fiável de quem acede aos espaços protegidos, evitando a usurpação de identidade e permitindo restringir o acesso não autorizado.

Em todo o caso, qualquer responsável pelo tratamento de dados que pretenda implementar este tipo de sistema deve efetuar uma avaliação de impacto e analisar detalhadamente a adequação, a necessidade e a proporcionalidade do tratamento.

Por esta razão, a AEPD estabelece que é necessário determinar o perímetro e o tipo de sistema a implementar, uma vez que implementar um sistema biométrico para controlar o acesso às instalações de entidades críticas não é o mesmo que utilizá-lo em ambientes menos sensíveis, uma vez que o nível de risco e as garantias exigidas variam significativamente.

Para além do contexto em que é implementado, o tipo de sistema utilizado também influencia o nível de risco. A AEPD esclarece que a autenticação ou verificação de um para um (1:1), que responde à pergunta "é quem diz ser?", apresenta menos riscos do que a identificação (1:N), que responde à pergunta "quem é você de entre todas as pessoas possíveis", ao passo que a primeira opção tem menos impacto nos direitos das pessoas em causa, uma vez que envolve um tratamento mais limitado.

Assim, as autoridades e os tribunais europeus consideraram que a aplicação de tais medidas deve ser limitada ao estritamente necessário. Por outras palavras, só devem ser aplicadas quando os objectivos não puderem ser razoavelmente alcançados com a mesma eficácia através de alternativas menos intrusivas.

Por conseguinte, quando existem várias opções tecnicamente eficazes, o decisor deve optar pela mais adequada ao objetivo prosseguido, desde que respeite o princípio da proporcionalidade e minimize o impacto nos direitos e liberdades das pessoas em causa.

A questão que se coloca inevitavelmente é a seguinte: como reduzir o impacto de tais tratamentos nos direitos das pessoas? A este respeito, a AEPD admite que, no caso analisado, a adoção de medidas técnicas e organizativas adequadas contribui significativamente para atenuar o impacto e reforçar as garantias de proteção de dados.

Una serie de estructuras verticales en tonos oscuros y claros que se elevan hacia el cielo.

3. Deveres do legislador e roteiro para os responsáveis pelo tratamento de dados.

Através do relatório, a AEPD exige ainda que o legislador desempenhe um papel ativo, propondo a elaboração de um regulamento específico que incorpore garantias adequadas na utilização de tecnologias biométricas no âmbito da questão levantada, bem como em diferentes modelos regulatórios já em desenvolvimento que contemplem a instalação de sistemas de reconhecimento biométrico, propondo um conjunto de recomendações específicas que poderão ser incorporadas num futuro regulamento.

Não obstante, as orientações dadas pela AEPD ao legislador podem ser tomadas como um roteiro que permite aos responsáveis pelo tratamento de dados ponderar as medidas técnicas e organizativas propostas previamente à implementação destes sistemas. Destacam-se as seguintes:

  • Recolha assistida de dados: os dados biométricos devem ser recolhidos com a intervenção de pessoal qualificado.
  • Dever de informação: as pessoas em causa devem ser informadas de forma clara e completa sobre o tratamento, as alternativas disponíveis e os riscos do tratamento.
  • Controlo exclusivo pela pessoa em causa: os dados devem ser mantidos sob o controlo exclusivo da pessoa em causa.
  • Proteção contra terceiros.
  • Proibição de armazenamento centralizado: os identificadores biométricos não devem ser armazenados em repositórios centralizados.
  • Geração local e isolada: os dados devem ser gerados em sistemas locais, não ligados a redes.
  • Não interoperabilidade: o sistema não deve ser interoperável com outros sistemas ou bases de dados.
  • Identificadores renováveis e com prazo de validade: devem ser utilizados identificadores que possam ser regenerados e que tenham uma validade limitada.
  • Procedimentos de destruição: deve existir um protocolo definido para a destruição segura dos dados.
  • Conservação limitada dos dados associados: os dados pessoais não biométricos ligados ao sistema devem ser conservados por um período máximo de 30 dias antes de serem bloqueados.
  • Princípio da minimização: o sistema não deve armazenar informações para além do estritamente necessário para cada autenticação.
  • Proibição de transmissão: não deve ser permitida a transferência de dados para fora do sistema.
  • Infraestrutura controlada: os dispositivos biométricos devem ser instalados em locais fisicamente seguros e controlados.
  • Avaliações de impacto: As avaliações de impacto devem ser realizadas antes da implementação do sistema e devem ser actualizadas de quatro em quatro anos.
  • Conformidade com o ENS de alto nível: conformidade com o alto nível do Sistema Nacional de Segurança, incluindo auditorias periódicas.

Nota informativa redigida pela área de Proteção de Dados da ECIJA Madrid.

Sócios relacionados

ATUALIDADE #ECIJA