Os problemas do reconhecimento facial em investigações policiais

Anteprojeto sobre uso de dados pessoais na área criminal - LGPD Penal - prevê relatório de impacto à proteção de dados sensíveis

Author Photo
11:43 am - 09 de junho de 2021
reconhecimento facial

Do mesmo modo como ocorreu recentemente com a Autoridade Canadense, a Autoridade Nacional de Proteção de Dados da Suécia (IMY) apurou que a Polícia Sueca realizava o tratamento de dados pessoais em desconformidade com a legislação daquele país sobre o tema no âmbito criminal, em razão do uso da tecnologia de reconhecimento facial da empresa americana Clearview AI. No Canadá, o cerne da irregularidade da atividade da empresa foi a coleta de dados biométricos altamente sensíveis sem qualquer conhecimento e consentimento de seus titulares.

A IMY concluiu que a Polícia Sueca não cumpria suas obrigações como controladora de dados em relação ao uso da tecnologia da Clearview AI, especialmente no que diz respeito ao tratamento de dados biométricos para reconhecimento facial, realizado pela Polícia sem a implementação do data protection impact assessment (relatório de impacto à proteção de dados pessoais) – relatório do controlador com a descrição dos processos de tratamento de dados pessoais capazes de gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Tendo em vista a não observância da legislação sueca aplicável ao tratamento de dados realizado para fins investigatórios, a IMY impôs uma multa administrativa de aproximadamente 250 mil euros, além de determinar que a Polícia conduza treinamentos de seus funcionários a fim de evitar qualquer tratamento de dados pessoais futuros em desrespeito às normas de proteção de dados pessoais. Além disso, a Polícia foi condenada a informar os titulares cujos dados foram divulgados para a Clearview AI e a garantir que quaisquer dados pessoais transferidos à empresa sejam eliminados.

No cenário brasileiro, o anteprojeto sobre tratamento de dados pessoais na área criminal (LGPD Penal) foi entregue à Presidência da Câmara dos Deputados em novembro de 2020. Assim como a legislação sueca, a LGPD Penal prevê a obrigatoriedade de elaboração do relatório de impacto à proteção de dados pessoais para tratamento de dados pessoais sensíveis, sigilosos, ou em operações que apresentem elevado risco aos direitos fundamentais, liberdades e garantias individuais dos titulares de dados. Cabe destacar ainda que a requisição deste relatório pode ser feita pelo Conselho Nacional de Justiça, Ministério Público e Defensoria Pública.

Nos termos da Exposição de Motivos do Anteprojeto da LGPD Penal, a utilização de dados pessoais para fins de segurança pública e persecução penal demanda um regime jurídico diferenciado diante dos interesses conflitantes a serem equalizados: por um lado, é preciso harmonizar os deveres do Estado na prevenção e na repressão de crimes, protegendo a ordem pública; por outro, é preciso assegurar a observância das garantias processuais e das prerrogativas fundamentais dos cidadãos submetidos a investigações criminais.

Nessa perspectiva, imprescindível referido relatório de impacto, na medida em que a LGPD Penal não pode jamais perder de vista a necessidade de harmonizar os princípios aplicáveis à proteção de dados pessoais, como os da proporcionalidade e da necessidade, às atividades persecutórias do Estado, preservando acima de tudo direitos fundamentais.

* Marcela Ejnisman e Carla Couto são sócias da TozziniFreire Advogados nas áreas de Cybersecurity & Data Privacy; e Isadora Fingermann é sócia na área de Penal Empresarial

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.