A falsa novidade e o verdadeiro problema
A implementação obrigatória da Ficha Nacional de Registro de Hóspedes digital (FNRH Digital), a partir de 20 de abril de 2026, reacendeu um debate relevante no campo do direito digital e da proteção de dados pessoais. À primeira vista, o governo apresentou a medida como um avanço tecnológico voltado à modernização do setor de turismo, com promessas de eficiência operacional, redução de fraudes e melhoria na produção de estatísticas públicas. No entanto, uma análise mais detida mostra que a questão central não está na inovação tecnológica em si. Em vez disso, ela está, sobretudo, na forma como essa inovação reconfigura a relação entre o cidadão e o Estado. Nesse sentido, essa mudança afeta diretamente o tratamento de dados pessoais.
É fundamental destacar, que não se trata da criação de uma nova obrigação jurídica. O registro de hóspedes já é exigido há quase duas décadas no ordenamento jurídico brasileiro. O que se observa, na realidade, é uma mudança qualitativa: a migração de um modelo descentralizado, físico e limitado para uma estrutura digital, integrada e potencialmente permanente. Além disso, essa transformação altera não apenas a forma, mas também a natureza do tratamento de dados.
Como resultado, ela amplia sua escala, sua capacidade de cruzamento e seu potencial de uso.
Definição da FNRH e sua natureza jurídica multifacetada
A Ficha Nacional de Registro de Hóspedes, conhecida como FNRH, é o instrumento oficial obrigatório utilizado pelos meios de hospedagem para registrar informações dos hóspedes no momento de sua entrada. Além disso, mais do que um simples formulário administrativo, a FNRH desempenha múltiplas funções dentro do ordenamento jurídico brasileiro, como, por exemplo:
- a natureza contratual, uma vez que o seu preenchimento integra o próprio contrato de hospedagem;
- o caráter administrativo, ao permitir que o Estado acompanhe o fluxo turístico e produza dados estatísticos sobre o setor;
- servir de instrumento de coleta de dados pessoais, inserindo-se diretamente no campo de incidência da legislação de proteção de dados.
Essa natureza híbrida exige uma leitura sistemática das normas que a regulam. Não se trata apenas de um mecanismo operacional do setor privado, mas de um ponto de interseção entre atividade econômica, função estatal e direitos fundamentais.
Fundamento legal: da Lei Geral do Turismo ao contrato de hospedagem
A obrigatoriedade da FNRH encontra seu fundamento principal na Lei nº 11.771/2008, que institui a Lei Geral do Turismo e estabelece diretrizes para o funcionamento dos meios de hospedagem no Brasil. Essa norma foi posteriormente regulamentada pelo Decreto nº 7.381/2010, que detalha os procedimentos operacionais do setor.
O decreto é explícito ao estabelecer que o preenchimento da ficha de registro integra o contrato de hospedagem. Esse ponto é juridicamente relevante, pois transforma o fornecimento de dados pessoais em elemento essencial para a formação do vínculo contratual entre hóspede e estabelecimento.
Nesse contexto, não se pode afirmar que o fornecimento de dados é meramente facultativo. Ele constitui um dever jurídico instrumental, necessário para a execução regular da atividade econômica de hospedagem. Há, portanto, uma convergência entre interesse privado (formalização do contrato) e interesse público (registro e controle da atividade turística).
A virada de 2026: da ficha em papel à infraestrutura digital estatal
A verdadeira ruptura ocorre com a edição da Portaria MTur nº 41/2025, posteriormente atualizada pela Portaria MTur nº 4/2026, que institui a obrigatoriedade da FNRH Digital. A partir de 20 de abril de 2026, o Brasil substituiu definitivamente o modelo físico por uma plataforma digital nacional.
Essa plataforma, desenvolvida pelo Ministério do Turismo em parceria com o Serpro, não se limita a digitalizar um procedimento previamente existente. Ela inaugura uma nova lógica de funcionamento, baseada na centralização, na integração e na capacidade de processamento em larga escala.
Os dados que antes eram coletados localmente, armazenados em papel e com baixa capacidade de utilização passam a integrar um ambiente digital estruturado, com potencial de cruzamento com outras fontes de dados governamentais. Essa mudança altera profundamente o risco associado ao tratamento de dados pessoais, especialmente no que se refere à privacidade, à segurança da informação, à possibilidade de uso secundário e à ampliação do ciclo de vida dos dados.
Integração com Gov.br: identidade digital e interoperabilidade
A integração com o Gov.br representa um dos elementos que mais chama atenção e também um dos mais sensíveis, dessa nova arquitetura. A autenticação por meio dessa plataforma permite que os dados do hóspede sejam automaticamente preenchidos e validados.
Sob a perspectiva operacional, trata-se de um avanço significativo. Contudo, do ponto de vista da privacidade e da proteção de dados pessoais, essa integração sinaliza algo mais profundo: a consolidação de uma identidade digital estatal única, capaz de ser utilizada em múltiplos contextos.
Esse cenário configura uma hipótese de uso compartilhado de dados pessoais no âmbito do Poder Público. A interoperabilidade entre sistemas, embora desejável para a melhoria dos serviços públicos, exige um rigoroso controle de finalidade e de acesso. A ausência de delimitações claras pode resultar na expansão indevida do uso dos dados, extrapolando os limites originalmente estabelecidos.
A LGPD: hipóteses legais e limites materiais do tratamento
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), estabelece o regime jurídico aplicável ao tratamento de dados pessoais no Brasil. No caso da FNRH Digital, o tratamento pode encontrar respaldo em hipóteses legais específicas previstas no artigo 7º, especialmente o cumprimento de obrigação legal ou regulatória e a execução de políticas públicas.
Embora essas hipóteses possam conferir legitimidade formal ao tratamento, a LGPD não se limita à autorização abstrata. Ela impõe limites materiais, por meio dos princípios previstos no artigo 6º, que devem ser observados em todas as etapas do tratamento.
Dentre esses princípios, destacam-se a finalidade, que exige a vinculação a objetivos específicos e legítimos; a adequação, que demanda compatibilidade entre o tratamento e sua finalidade; e a necessidade, que restringe o tratamento ao mínimo indispensável. Esses elementos funcionam como parâmetros de controle, evitando que a legitimidade formal se transforme em autorização irrestrita.
Minimização de dados: o desafio da necessidade
A aplicação concreta do princípio da necessidade revela pontos de tensão relevantes. O tratamento de dados pessoais, incluindo a coleta de identificação, como:
- Nome completo;
- CPF ou passaporte;
- Data de nascimento;
- Nacionalidade;
- Endereço;
- Dados da viagem (motivo, transporte etc.).
O sistema envia os dados eletronicamente ao governo para fins estatísticos e de controle do setor.
Se a finalidade declarada é estatística, deve-se avaliar se a coleta de tais dados é realmente indispensável ou se poderia ser realizada de forma menos invasiva. A anonimização, por exemplo, surge como alternativa técnica capaz de reduzir riscos sem comprometer a utilidade dos dados. Ou seja, se é para a estatística, não bastariam dados anonimizados, utilizados para análises quantitativas? A exigência de informações adicionais, como o motivo da viagem, suscita questionamentos legítimos.
A ausência dessa análise pode configurar excesso no tratamento, o que compromete a conformidade com a LGPD e, potencialmente, a própria legitimidade da política pública.
Governança, segurança e responsabilidade dos agentes
A nova arquitetura digital impõe desafios relevantes de governança, privacidade e proteção de dados pessoais. O artigo 46 da LGPD estabelece que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e incidentes de segurança.
No caso da FNRH Digital, a escala nacional e a integração com sistemas estruturantes do Estado aumentam significativamente a complexidade dessa proteção. Torna-se recomendável, nesse contexto, a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no artigo 38, como instrumento de avaliação e mitigação de riscos.
Adicionalmente, a figura do Encarregado pelo Tratamento de Dados Pessoais, prevista no artigo 41, assume papel central na governança, atuando como elo entre o controlador, os titulares e a Agência Nacional de Proteção de Dados (ANPD).
No plano operacional, os meios de hospedagem permanecem responsáveis pela coleta, envio e veracidade das informações, estando sujeitos a sanções administrativas no âmbito do Cadastur. Essa dupla camada de responsabilidade, estatal e privada, reforça a necessidade de alinhamento entre governança pública e conformidade empresarial.
Dimensão constitucional: proteção de dados como direito fundamental
A análise da FNRH Digital não pode prescindir de sua dimensão constitucional. A Emenda Constitucional nº 115/2022 elevou a proteção de dados pessoais ao status de direito fundamental, ao incluí-la no artigo 5º, inciso LXXIX, da Constituição Federal.
Essa mudança altera significativamente o parâmetro de análise. O tratamento de dados deixa de ser apenas uma questão administrativa ou regulatória e passa a ser matéria de direitos fundamentais, sujeita a controle de proporcionalidade, necessidade e adequação.
Nesse contexto, qualquer política pública que envolva coleta e tratamento de dados deve ser estruturada de forma a respeitar esses limites, sob pena de violação constitucional.
Conclusão: legalidade não encerra o debate
A FNRH Digital não representa a criação de uma nova obrigação, mas a transformação de uma obrigação já existente em uma infraestrutura digital integrada, centralizada e de larga escala.
A sua legalidade formal, baseada na Lei Geral do Turismo e nas hipóteses legais da LGPD, é evidente. No entanto, isso não esgota a análise.
O verdadeiro debate reside na compatibilidade material dessa estrutura com os princípios da proteção de dados e com as garantias constitucionais. Trata-se de avaliar não apenas se o Estado pode coletar esses dados pessoais desta maneira, mas como, em que medida e sob quais salvaguardas esse tratamento deve ocorrer.
Agora vem o ponto central: mesmo com a LGPD em pleno vigor… não parece ter havido um verdadeiro equilíbrio entre proteção de dados e essa nova arquitetura. Porque existe um princípio fundamental: autodeterminação informativa. Ou seja, os dados pertencem ao cidadão e o Estado tem apenas a tutela e a governança, não a propriedade. E isso já foi reconhecido no Brasil. A Medida Provisória 954 de 2020 foi revogada pelo STF exatamente por uso desproporcional de dados pessoais.
Mais do que um tema setorial, a FNRH Digital se insere em uma discussão mais ampla sobre os limites da atuação estatal em um contexto de transformação digital e de crescente centralidade dos dados na governança pública.