LGPD e reconhecimento facial: o lado mais polêmico da proteção de dados
Sistemas de biometria facial são positivos para diminuir fraudes e aumentar a segurança pública – mas área ainda é cinzenta para LGPD
Nessa sábado (28) é comemorado o Dia Internacional da Proteção de Dados. O assunto, vasto e cada vez mais em evidência na sociedade, ainda tem zonas cinzentas e de difícil entendimento para a sociedade e para as empresas. É o caso da utilização de sistemas de reconhecimento facial.
Enquanto a tecnologia parece se tornar parte do dia a dia dos usuários – que podem até desbloquear seus celulares apenas com o rosto – deputados fazem projetos de lei pedindo que o reconhecimento facial só seja aplicado em última instância.
O Projeto de Lei 2392/22, do deputado Guiga Peixoto (PSC-SP), por exemplo, proíbe o uso de tecnologias de reconhecimento facial para fins de identificação nos setores públicos e privado sem que haja relatório prévio de impacto à privacidade das pessoas. Conforme o texto, que tramita na Câmara dos Deputados, o relatório deve demonstrar a necessidade e a impossibilidade de uso de outro tipo de identificação.
Segundo o autor, “a consequência do mau uso desses dados pode ser extremamente nociva para os cidadãos. Imagine-se a hipótese de uma pessoa ser presa por erros na identificação ou então o constrangimento de ter negado o acesso a determinado estabelecimento do qual é sócio.”
“Outra possibilidade é o mau uso desses dados em razão de vazamentos ou mesmo do uso comercial dessas informações, alimentando a prática de fraudes, estelionatos, roubo de identidades ou falsidades ideológicas das mais variadas”, completou.
LEIA NOSSO ESPECIAL: Dia Internacional da Proteção de Dados
Patricia Peck, CEO e sócia da Peck Advogados, explica que existem ao menos três níveis de risco de vieses (risco discriminatório): na base de dados histórica, uma vez que os algoritmos aprendem com as informações anteriores; na equipe desenvolvedora e, por isso, entende-se a necessidade de trabalhar com as melhores práticas de ESG; ou no aprendizado do sistema ao longo do tempo.
Por isso, segundo ela, as empresas precisam ter consciência de seu nível de assertividade. “Quando eu digo que uma solução tem assertividade de 95%, significa que em 5% dos casos ele terá algum tipo de viés. Quando eu falo de 5% para 100 pessoas, são cinco. Mas se eu falo da cidade de São Paulo, com mais de 11 milhões de pessoas, o público é muito maior. Tem que ter muito cuidado em como aprimorar essa taxa de assertividade que, muitas vezes, só pode ser melhorada depois de ser usada.”
Ela pondera ao dizer que, ainda que haja a preocupação válida sobre os vieses, as plataformas necessitam, geralmente, um piloto para testar seu comportamento e melhorar. Entretanto, é essencial avisar aos usuários sobre ser um ambiente de teste e receber feedbacks para aperfeiçoar o sistema.
Reconhecimento facial x LGPD
Em seu artigo segundo, a Lei Geral de Proteção de Dados traz o fundamento sobre o respeito à privacidade. Porém, também demonstra o interesse em compatibilizar a privacidade com o desenvolvimento econômico, tecnológico e a inovação.
“A LGPD traz um conjunto de situações que são chamadas de ‘exceções ao consentimento’ e o reconhecimento facial pode entrar em diversas dessas situações. O que a legislação não abre mão: você precisa sempre tratar os dados com transparência (eu tenho que avisar o público de que os dados estão sendo usados). Onde isso se encaixa: eu tenho que ter o cuidado de ter cumprido com a transparência e tenho que cuidar muito para não tratar dados para fins discriminatórios e proteger as informações para que não caia em mãos erradas.”
Em resumo: em certas situações, como as de segurança pública, a empresa ou o governo têm a obrigação de avisar que a coleta será feita – por meio de placas, por exemplo – mas não precisam, necessariamente, pedir a autorização de cada um dos usuários. Garantir a prevenção de fraude, a segurança do titular e processos de identificação e autenticação são outros casos que preveem a exceção.
“A partir do momento que a empresa faz o uso do reconhecimento facial para uma finalidade específica, como de combate à fraude, não poderá usá-la para outra finalidade. Por exemplo: eu estou no celular usando a autenticação para desbloqueá-lo. Se, por acaso, a aplicação quisesse saber a partir do rosto se o usuário está feliz ou triste e usar para outro fim, precisaria deixar claro e precisaria do consentimento da pessoa”, exemplifica Patricia.
Leia mais: Reconhecimento facial e câmeras com IA: a tecnologia do BBB 2023
Também é importante entender que apenas ter acesso a fotos ou vídeos – como em câmeras de segurança – não é considerado uso de dados sensíveis. Porém, se for possível extrair elementos dessa imagem que façam verificações como etnia, religião, biometria, orientação sexual, entre outros, os dados tornam-se sensíveis.
As empresas que gostariam de trabalhar com o reconhecimento facial, explica Samantha Sobrosa, supervisora da LGPD na Russell Bedford Brasil, devem, em primeiro lugar, verificar a necessidade dessa coleta. “A companhia precisa ver um porquê isso está sendo feito. Procurar se assessorar de empresas que estejam adequadas às normas tanto a LGPD quando a Norma Internacional para ter parâmetros e alguma técnica mais acurada da coleta dos bancos de dados.”
A necessidade justificada é essencial no caso de algum requerimento ou questionamento. A especialista também aponta o Relatório de Impacto como um documento importante, pois demonstra que essa técnica tem certo risco, mas que estão sendo tomadas as medidas de cibersegurança necessárias.
Metrô-SP: polêmica com a tecnologia
Em março de 2022, a Justiça de São Paulo interrompeu a instalação do sistema de biometria facial no Metrô da capital paulista, alegando falta de clareza nos objetivos da coleta de informações sobre seus rostos. O pedido de interrupção foi feito por um grupo de entidades, incluindo as defensorias públicas da União e do Estado e o Coletivo de Advocacia em Direitos Humanos (CADHu).
De acordo com as entidades, o sistema não atendia aos requisitos legais previstos na LGPD, no Código de Defesa do Consumidor, no Código de Usuários de Serviços Públicos, no Estatuto da Criança e do Adolescente, na Constituição Federal e nos tratados internacionais.
Entretanto, após uma liminar com a decisão da juíza Cynthia Thome, da 6ª Vara da Fazenda Pública de São Paulo, a retomada do projeto foi autorizada – e iniciada em novembro – ao Metrô.
Samantha contextualiza a situação ao explicar que houve ainda uma polêmica anterior. Em 2018, quando a lei tinha acabado de ser publicada, uma empresa estava fazendo uma parceria com a Linha Amarela em que foram implementadas portas interativas capazes de captar emoções e outros dados particulares para o envio de publicidades.
“A lei não veta a coleta de dados, desde que a empresa ou o órgão público use os dados com uma finalidade específica. Essa primeira ação do metrô não conseguiu explicar de forma adequada a finalidade e precisaram indenizar os órgãos coletivos do direito ao consumidor com uma multa”, diz ela.
“Agora estamos nesse novo debate e cabe esclarecer que essa ação não está julgada totalmente. Houve uma autorização em uma liminar de um segmento da implantação do sistema. Mas o sistema público ainda precisa demonstrar para a sociedade a finalidade e mostrar a parametrização do algortimo, justamente por esse impacto da face armazenada em um banco de dados que, provavelmente é internacional (porque essa licitação é internacional)”, complementa a especialista.
Entenda: Entidades protocolam Ação Civil Pública contra reconhecimento facial de Metrô de SP
Para Samantha, a importância da explicação ganha ainda mais relevância pois os sistemas de reconhecimento facial ligados a banco de dados, como procurados, polícia federal e outros, dependendo do sistema, pode haver um viés discriminatório, trazendo falsos negativos até para os órgãos públicos.
De acordo com o Metrô-SP, o uso dessa tecnologia será feito para o apoio na operação das linhas, permitindo a identificação e rastreamento de objetos suspeitos, além da detecção de invasão de áreas, como pessoas que entram na via. Além dessas, outras situações que colocam o passageiro em risco, bem como no auxílio na busca por pessoas desaparecidas também estão no escopo do sistema. Assim, o uso para fins de segurança pública será feito pela identificação de situações e não de dados e características pessoais, cabendo esse recurso às autoridades policiais, após a celebração de convênio específico para esta finalidade.
Entre as discussões que ainda não parecem claras à Samantha é, por exemplo, por quanto tempo os dados ficarão armazenados. “Eles trouxeram uma explicação de que os dados ficariam 30 dias. Esse é um outro ponto: todos esses dados coletados ficarão para sempre? A lei não permite essa guarda eterna. Teria que informar de forma bem ampla para ter uma ciência de que está sendo coletado.”
O que também não foi esclarecido pelo Metrô-SP, segundo Samantha, é se realmente os dados ficariam armazenados em um banco de dados internacional. Para a LGPD, dados sensíveis devem estar no Brasil. “Essa é uma discussão que foi trazida dentro do processo em andamento e é uma pauta ainda não esclarecida por parte do Metrô. Estamos trabalhando em uma liminar e esse é um questionamento dos órgãos do consumidor. O que foi dito é que os dados ficariam no próprio sistema contratado.”
Segundo o Metrô-SP, o compromisso da nova gestão é aumentar a segurança dos passageiros e a adoção do sistema vai auxiliar neste objetivo. Também será possível aperfeiçoar a operação e, com isso, melhorar o serviço prestado. Além de ampliar as zonas monitoradas das estações, as câmeras estarão integradas a uma central com recursos de inteligência artificial que podem gerar alertas em situações que impactem a circulação dos trens ou que possam atrapalhar a viagem dos passageiros.
Os alertas podem ser feitos em casos de crianças desacompanhadas ou objetos suspeitos deixados nas estações. Há também a intenção de formalização de um convênio com a Prefeitura para a integração de banco de dados para a busca por pessoas desaparecidas. O sistema poderá também ajudar na identificação de animais perdidos e até mesmo na contagem de pessoas, para auxiliar a estratégia de operação.