LGPD em Sistemas AV: Gravacao, Biometria, Camera e Como Adequar Salas e Plenarios

Quando a LGPD entrou em vigor em 2020, a maior parte dos órgãos públicos federais correu para adequar bancos de dados, sistemas de RH e portais de transparência. Sistemas audiovisuais ficaram, na quase totalidade, fora do escopo inicial — embora capturem rotineiramente dado pessoal (imagem, voz) e, em vários cenários, dado pessoal sensível (biometria facial, voz tratada para identificação). Essa lacuna virou risco de conformidade conforme a ANPD (Autoridade Nacional de Proteção de Dados) começou a fiscalizar de forma estruturada e o TCU passou a cobrar adequação como item de auditoria.

Na Netfocus, apoiamos órgãos da administração federal direta e autárquica na adequação de seus sistemas AV à LGPD — diagnóstico de risco, definição de base legal, desenho de retenção, especificação de controles técnicos e elaboração de RIPD. Este artigo consolida o que aprendemos sobre o que é cosmético e o que é estrutural.

Por que sistemas AV entram no escopo da LGPD

A confusão começa em uma leitura superficial: "isso é equipamento, não banco de dados". A LGPD, porém, define tratamento de dados pessoais de forma deliberadamente ampla — inclui coleta, armazenamento, classificação, transmissão, modificação e eliminação. Toda câmera que registra imagem em arquivo está coletando e armazenando dado pessoal. Todo microfone que grava voz, idem. Todo sistema biométrico, com o agravante de tratar dado pessoal sensível (art. 5º, inciso II).

Imagem é dado pessoal

Imagem que permite identificar pessoa natural é, sem ambiguidade, dado pessoal. Câmera de plenário que mostra parlamentares, câmera de sala de reunião, câmera de auditório com plateia, câmera PTZ que faz tracking individual — todas tratam dado pessoal e disparam o regime da LGPD. A discussão sobre publicidade da sessão (que veremos adiante) muda a base legal, não o fato de haver tratamento.

Voz é dado pessoal

Voz humana que permite identificar a pessoa também é dado pessoal. Microfone de mesa em reunião gravada, microfone de plenário, microfone ambient em sala de crise — todos capturam dado pessoal. Voz processada para reconhecimento de locutor (speaker identification) sobe um degrau e vira sensível.

Biometria é dado pessoal sensível

Biometria facial, vocal, de íris ou digital é, por definição legal, dado pessoal sensível (art. 5º, II). Reconhecimento facial em sala de controle, biometria de acesso a área restrita, biometria vocal para autenticação — todos exigem tratamento qualificado, com base legal específica do art. 11 e, em geral, RIPD.

Bases legais aplicáveis em órgão público

Aqui está a maior fonte de confusão em projetos AV: assumir que consentimento é a base legal padrão. No setor privado, frequentemente é. Em órgão público, raramente. A LGPD oferece dez bases legais para dados não sensíveis (art. 7º) e oito para dados sensíveis (art. 11) — e o consentimento é apenas uma delas, com requisitos exigentes (livre, informado, inequívoco) que dificilmente se satisfazem em ambiente institucional.

Execução de políticas públicas (art. 7º, III e art. 23)

É a base mais comum em órgãos públicos. Captação de plenário para transmissão pública, registro de sessão deliberativa, gravação de audiência pública — tudo isso pode se enquadrar como tratamento necessário à execução de políticas públicas previstas em lei, regulamento ou regimento. O órgão deve documentar a finalidade e o respaldo normativo.

Cumprimento de obrigação legal ou regulatória (art. 7º, II)

Quando lei orgânica, regimento interno ou ato normativo determina a gravação ou captação — por exemplo, registro audiovisual obrigatório de sessões legislativas, audiências judiciais ou pregões eletrônicos —, a base legal é cumprimento de obrigação legal. Essa base costuma ser a mais sólida juridicamente, porque o tratamento decorre de norma vinculante.

Exercício regular de direitos (art. 7º, VI)

Aplicável a gravações cuja finalidade é instruir processo administrativo, defesa em juízo ou produção de prova. CFTV de área comum em órgão público, gravação de atendimento ao cidadão para fins de auditoria de qualidade — entram nesta hipótese, com retenção limitada à finalidade.

Tutela da saúde (art. 11, II, "f")

Para dado sensível em contexto de saúde — telemedicina em órgão público de saúde, gravação de atendimento clínico —, há base específica no art. 11.

Quando consentimento ainda faz sentido

Consentimento permanece útil em cenários estritamente voluntários — gravação de webinar opcional, biometria facultativa para conveniência do servidor (acesso "express lane" voluntário). Sempre que a participação é compulsória ou o órgão tem hierarquia sobre o titular, consentimento é base legal frágil e a ANPD tende a recaracterizar.

Os 6 cenários AV mais sensíveis em órgão público

A análise de risco LGPD em parque AV deve começar pelos cenários de maior exposição. Esses seis concentram a quase totalidade dos achados em diagnósticos que fazemos.

Cenário 1 — Gravação de plenário público

Sessão deliberativa, audiência pública, julgamento aberto. Base legal: cumprimento de obrigação legal ou execução de política pública. O princípio constitucional da publicidade (art. 37, CF) sustenta o tratamento primário. O risco está em uso secundário: alimentar IA generativa, treinar modelo de reconhecimento de voz, reaproveitar para campanha de comunicação. Cada uso secundário exige análise de base legal própria.

Cenário 2 — Videoconferência interna

Reunião gravada de equipe, comitê interno, treinamento corporativo. Base legal típica: execução de política pública ou exercício regular de direitos. Exige aviso prévio claro na convocação e na própria sala virtual ("esta reunião está sendo gravada"). Retenção deve estar definida — gravar e guardar indefinidamente sem finalidade é violação direta do princípio da necessidade.

Cenário 3 — Reconhecimento facial em sala de controle

Centros de operação que usam IA para identificar pessoas em câmeras públicas. Tratamento de dado sensível em alta escala — exige RIPD obrigatório, base legal robusta no art. 11, controles técnicos fortes (criptografia, segregação) e revisão periódica. É o cenário com maior probabilidade de fiscalização da ANPD.

Cenário 4 — Biometria de acesso

Catraca biométrica, leitor digital em sala restrita, reconhecimento facial em entrada de prédio. Dado sensível, base legal usualmente em proteção da vida ou segurança pública (art. 11, II, "g") ou exercício regular de direitos. RIPD recomendado quando há grande volume ou área de alta sensibilidade.

Cenário 5 — Microfone ambient sempre ligado

Sala de crise, sala de operações 24x7, sala de reunião com captação contínua. Cenário de alto risco: tratamento sem evento de início claro, sem indicador para o titular, frequentemente sem retenção definida. Mesmo com base legal de execução de política, exige indicador físico de gravação, segregação de armazenamento e política de retenção curta.

Cenário 6 — Câmeras PTZ com tracking automatizado

Câmeras motorizadas que seguem o orador em plenário ou auditório. O tracking em si não é necessariamente sensível — captura imagem de pessoa identificável, dado pessoal comum. Mas se o tracking usa reconhecimento facial individual (e não detecção genérica de movimento ou figura humana), passa a tratar dado sensível e exige RIPD.

Plenário público — princípio da publicidade vs LGPD

Um dos pontos mais discutidos no setor é a tensão aparente entre o princípio constitucional da publicidade (art. 37, CF) e a LGPD. A boa notícia é que não há antinomia real — há complementaridade, desde que se entenda o desenho jurídico.

A sessão pública é, por definição, tratamento legítimo. A imagem e a voz dos parlamentares, autoridades e cidadãos que participam ativamente da sessão são tratadas com base legal sólida (cumprimento de obrigação legal e execução de política pública). Não é necessário consentimento individual — seria, aliás, juridicamente incoerente exigi-lo de quem exerce mandato público.

Onde mora o risco

O risco aparece quando a gravação primária é reutilizada para finalidade diversa daquela que justificou a captação. Três exemplos práticos:

• Treinamento de modelo de IA — usar gravações de plenário para treinar reconhecimento de voz ou modelo de linguagem exige base legal própria, distinta da captação original;
• Marketing institucional — usar trecho da sessão em peça publicitária do órgão é finalidade nova e demanda análise específica;
• Compartilhamento com terceiros — disponibilizar arquivo bruto para empresa privada (mesmo prestadora de serviço) exige instrumento jurídico (contrato com cláusulas LGPD) e operadora deve ter compromissos de proteção equivalentes aos do órgão.

O recorte prático para o gestor: captar e transmitir é tranquilo; reutilizar é o terreno onde a adequação se prova.

Para a infraestrutura técnica que sustenta a transmissão — câmeras PTZ, encoders, switchers, sistema de legenda automática — vale conhecer o desenho típico em infraestrutura de TV Câmara.

Videoconferência interna — quando gravar é OK

Reunião interna de equipe é o cenário mais cotidiano e o que mais erra na adequação. O padrão recomendado tem cinco elementos.

Aviso prévio explícito

A convocação da reunião deve indicar que haverá gravação e qual a finalidade. Não vale aviso genérico em política institucional; tem que estar no convite específico.

Indicador visual durante a sessão

O sistema de videoconferência deve exibir indicador claro de que está gravando — todas as plataformas profissionais (Teams, Zoom, Meet, Webex) oferecem isso nativamente. Não desligar o indicador.

Finalidade documentada

Por que está gravando? Memória institucional, ata audiovisual, treinamento posterior, instrução de processo. A finalidade documentada determina a retenção.

Retenção definida e mínima

Reunião operacional: 30 a 90 dias. Reunião deliberativa com decisão registrada em ata: o tempo necessário para a finalidade (frequentemente até a homologação ou execução da decisão). Retenção indefinida sem justificativa é violação do princípio da necessidade.

Eliminação verificável

Ao final do prazo, a gravação deve ser eliminada — e a eliminação deve ser auditável (log de exclusão, política de retenção automatizada na ferramenta). "Achei que tinha apagado" não passa em auditoria.

Quando a videoconferência ocorre em sala híbrida com participantes presenciais, o desenho técnico precisa contemplar microfones, câmeras e gravação local — abordamos isso em salas híbridas em 2026.

Reconhecimento facial — alta sensibilidade exige RIPD

Reconhecimento facial é o tratamento AV com maior risco regulatório no momento. A ANPD publicou orientações específicas, há decisões judiciais limitando uso em espaços públicos, e o STF tem provocações sobre o tema. Em órgão público, a régua é alta.

Quando usar é defensável

• Sala de controle com perímetro restrito e finalidade específica (segurança nacional, controle aéreo, monitoramento crítico);
• Acesso a área de alta sensibilidade onde método alternativo seria insuficiente;
• Investigação criminal com base legal específica e ordem judicial.

Quando é frágil

• "Conveniência" para servidores em entrada comum — biometria facultativa pode até funcionar como base, mas dado sensível e fricção alta com ANPD;
• Análise comportamental em espaço público sem finalidade específica e proporcional;
• Reconhecimento facial em câmeras de espaço público abertas ao cidadão sem RIPD e sem norma autorizativa.

RIPD — Relatório de Impacto à Proteção de Dados

Para reconhecimento facial em órgão público, RIPD não é apenas recomendado — é praticamente obrigatório. O documento descreve: finalidade, base legal, escopo do tratamento, fluxo de dados, riscos identificados, medidas mitigadoras, avaliação de proporcionalidade. É a peça que sustenta a defesa do órgão se houver fiscalização ou ação judicial. O encarregado (DPO) deve aprovar; a alta administração deve homologar.

Retenção e descarte — prazos por categoria

Retenção é o ponto onde mais se acumula passivo de não conformidade. A regra geral da LGPD: dado pessoal só pode ser mantido pelo tempo necessário à finalidade que justificou seu tratamento. Em sistemas AV, isso vira tabela de retenção por categoria.

O ponto crítico não é o número exato — é a existência da política, a verificabilidade da eliminação e a coerência com a finalidade declarada. Auditoria ANPD ou TCU vai pedir: qual o prazo, onde está documentado, como vocês comprovam eliminação? Se o órgão não tem resposta para as três, está em risco.

Controles técnicos exigidos

A LGPD não traz catálogo prescritivo de controles técnicos — adotou abordagem baseada em risco. Mas a ANPD, em suas orientações, e o mercado convergem em um conjunto mínimo para sistemas AV com tratamento sensível ou volumoso.

Controle técnico é metade da equação; a outra metade é gestão de identidade, gestão de chaves criptográficas e disciplina de operação. Implementar criptografia em repouso sem custódia adequada da chave é teatro. Para o desenho de segurança em fluxos audiovisuais sobre IP, vale ver nosso guia sobre cibersegurança em AV-over-IP.

Direitos dos titulares e como atender

A LGPD dá ao titular um conjunto de direitos (art. 18) que se aplicam integralmente a sistemas AV. Em órgão público, alguns desses direitos têm operacionalização específica.

Acesso aos próprios dados

O titular pode pedir cópia das gravações em que apareça, com prazo de resposta da LGPD (15 dias). O órgão deve ter processo para localizar a gravação, isolar o trecho relevante e entregar — frequentemente após anonimização de terceiros que aparecem na mesma cena.

Anonimização de imagem ou voz

Aplicável quando o titular pede que sua imagem seja desfocada ou voz alterada em material que será publicado. Em sessão pública de plenário com parlamentar, o pedido é juridicamente frágil — princípio da publicidade prevalece. Em reunião interna de equipe disponibilizada institucionalmente, o pedido é defensável.

Eliminação

Em gravações sob base legal de consentimento, a eliminação por pedido do titular é direito imediato. Em gravações sob obrigação legal ou execução de política pública (a maioria dos casos AV em órgão), a eliminação só ocorre ao fim do prazo de retenção previsto. O órgão deve responder ao pedido explicando a base legal que sustenta a manutenção.

Implicação operacional em arquivo de plenário

Plenários públicos típicos têm acervo histórico de décadas. Pedidos de eliminação por ex-parlamentares, por exemplo, esbarram em finalidade arquivística e princípio da publicidade — base legal sólida para manutenção. Mas o órgão deve responder formalmente, fundamentadamente, e dentro do prazo. Resposta automática "não" sem fundamentação é o que gera notificação da ANPD.

Como referenciar LGPD em termo de referência AV

Se o seu órgão vai contratar projeto, integração ou operação AV, o termo de referência é onde a adequação à LGPD deixa de ser intenção e vira obrigação contratual. Cláusulas mínimas que recomendamos:

Identificação de papéis

Definir explicitamente que o órgão é controlador dos dados pessoais tratados pelo sistema, e o contratado é operador (no sentido da LGPD), com obrigações de seguir as instruções do controlador e adotar medidas de proteção.

Responsabilidade compartilhada de controles

Operador (integrador, prestador de NOC, prestador de manutenção) responde por controles técnicos sob sua gestão — credenciais de equipamento, criptografia configurada, log de acesso da plataforma. Controlador responde por base legal, retenção e atendimento aos titulares. Cláusula deve mapear quem responde pelo quê.

Requisitos de controles obrigatórios

Especificar no edital os controles técnicos exigidos (criptografia em repouso, TLS, RBAC, log auditável) com nível de exigência claro. Evitar redação genérica tipo "segurança adequada" — vira terreno para discussão.

Notificação de incidente

Cláusula que obrigue o operador a notificar o controlador em prazo definido (típico: 24 horas) em caso de incidente de segurança que possa gerar risco aos titulares. A LGPD obriga o controlador a notificar a ANPD em prazo razoável; sem cláusula com prazo curto no contrato, o controlador não consegue cumprir.

Auditabilidade

Direito do controlador de auditar (diretamente ou via terceiro) os controles do operador, com periodicidade definida. Em contratos de NOC AV, essa cláusula viabiliza a fiscalização técnica do contrato.

Devolução / eliminação ao fim do contrato

Definir o destino dos dados ao fim da vigência: devolução em formato auditável e eliminação verificável dos sistemas do operador, com declaração formal.

Para o desenho completo do termo de referência em integração AV, com cláusulas técnicas e administrativas estruturadas, ver nosso guia sobre como elaborar termo de referência de integração audiovisual. Para fiscalização do contrato em si, especialmente SLA e métricas, ver SLA e garantia em contratos AV para governo.

Erros comuns na adequação LGPD de parque AV

Confundir consentimento com base legal padrão

Em órgão público, consentimento raramente cabe — a relação institucional retira a "liberdade" exigida pela LGPD. Forçar consentimento gera adequação cosmética que não resiste a fiscalização.

Retenção indefinida por padrão

Sistema AV que grava e armazena indefinidamente sem política viola o princípio da necessidade. A definição de retenção por categoria é controle nuclear.

Falta de RIPD em cenário sensível

Reconhecimento facial, biometria volumosa, microfone ambient sempre ligado — todos demandam RIPD. Operar sem o documento é exposição direta.

Encarregado (DPO) ausente do projeto AV

O DPO costuma ser convocado ao final, quando o sistema já está implantado. Boa prática: envolver o DPO desde o termo de referência, na definição da base legal e na revisão da retenção.

Operador sem cláusulas LGPD no contrato

Contrato antigo de manutenção AV, herdado de antes de 2020, raramente tem cláusulas LGPD. Aditivar é mais barato que tratar incidente sem instrumento jurídico claro.

Sem registro de operações de tratamento

A LGPD obriga (art. 37) que controlador e operador mantenham registro das operações de tratamento. Para parque AV, isso significa: inventário de sistemas com captura, finalidade, base legal, retenção e categoria de titular. Sem esse documento, a fiscalização para no primeiro pedido.

Roteiro mínimo de adequação para parque AV existente

Para órgãos que estão começando agora a tratar LGPD em seu parque AV, o caminho com melhor relação esforço/retorno tem cinco passos:

1. Inventário — mapear todos os sistemas que capturam imagem, voz ou biometria; identificar volume, criticidade e categoria de titular;
2. Análise de base legal — para cada sistema, definir base legal aplicável e documentar a justificativa em registro de operações;
3. Política de retenção — definir prazo por categoria, com mecanismo de eliminação verificável;
4. Controles técnicos — implementar o conjunto mínimo (criptografia, log, RBAC, segregação) priorizando sistemas sensíveis;
5. RIPD onde aplicável — biometria, reconhecimento facial, microfone ambient permanente — produzir RIPD com aprovação do encarregado e homologação da alta administração;
6. Cláusulas em contratos de operadores — aditivar contratos vigentes e estruturar editais futuros com cláusulas LGPD claras.

Esse roteiro, quando executado com disciplina, reduz materialmente o risco regulatório do órgão e profissionaliza a operação AV. Para órgãos com parque distribuído e operação contínua, casa naturalmente com a estrutura de NOC e fiscalização baseada em métricas — quem já tem governança operacional madura tem o terreno semipronto para a adequação LGPD. Quem não tem, ganha duas frentes ao começar: governança da operação e governança dos dados.

O ponto que insistimos com gestores: adequação LGPD em parque AV não é projeto único — é regime permanente. Inventário muda com novas salas, base legal precisa de revisão quando finalidade evolui, retenção precisa de auditoria periódica, RIPD pede atualização. Tratar como entregável fechado é a receita para a não conformidade voltar pela porta dos fundos. Para uma visão da camada operacional do parque, ver integração audiovisual e como o desenho técnico já incorpora privacidade desde o projeto, e votação eletrônica em plenárias para o caso particular de tratamento de dados de votação nominal.