TECNOLOGIA PARA RECONHECIMENTO FACIAL
Sumário
- Como pode-se mitigar riscos à privacidade, com o uso de monitoramento de imagens – CFTV?
- Possível checklist, em complemento ao Relatório de Impacto à Proteção de Dados Pessoais, para análise prévia do processo de captura de imagens
- Quais as possíveis bases legais (ou hipóteses de legitimidade) para a captura de imagens?
- Recomendação final
Como pode-se mitigar riscos à privacidade, com o uso de monitoramento de imagens – CFTV[2]?
Para superar as dúvidas a respeito da tecnologia, entende-se que seria útil a apresentação de esclarecimentos com base em Relatório de Impacto à Proteção de Dados Pessoais[3], com:
(i) a descrição dos processos e finalidades dos tratamentos de dados pessoais, inclusive considerados sensíveis pela LGPD, dos usuários;
(ii) uma avaliação da necessidade e proporcionalidade do processamento;
(iii) bem como das medidas, salvaguardas e mecanismos para mitigação de riscos para os direitos e liberdades dos titulares de dados.
Vale destacar que o Relatório de Impacto à Proteção de Dados Pessoais não só é um documento que pode ser exigido pela Autoridade Nacional de Proteção de Dados – ANPD, como também consiste em um instrumento que pode ser bastante útil para demonstrar maior transparência aos titulares envolvidos no tratamento de dados pessoais e segurança física/digital quando se busca evidenciar a legalidade do tratamento em eventual processo de negócio que se pretenda implementar ou desenvolvimento de tecnologia.
Se a captação da imagem for realizada para fins publicitários e, consequente, cunho comercial, – tendo em vista a busca em detectar as principais características dos indivíduos que circulam em determinados locais e horários, bem como emoções e reações apresentadas à publicidade veiculada no equipamento – o recomendado, considerando o entendimento do Poder Judiciário é: haver prévia autorização ou, no mínimo, cientificação para captação das imagens, revelando conduta boa-fé do agente de tratamento, bem como mitigação em atingir valores morais e coletivos, principalmente ainda havendo o incalculável número de indivíduos que transitam pela área monitorada diariamente, ainda mais passando por ali crianças e adolescentes, cujas imagens gozam de maior e notória proteção, nos termos do artigo 17 do Estatuto da Criança e Adolescente – ECA.
Deve-se ter cautela ao capturar imagens de pessoas, mesmo quando não há a identificação específica de cada uma delas e, ainda mais, se a finalidade for vantagem econômica, nos termos do § 3º do artigo 11 da LGPD.
Recomenda-se a contratação de profissional especializado para orientações mais detalhadas a respeito de cada contexto, com emissão de parecer jurídico-técnico com a indicação de recomendações para mitigação e gestão de riscos para cada caso.
Possível checklist, em complemento ao Relatório de Impacto à Proteção de Dados Pessoais, para análise
Adicionalmente, a empresa ou o entre público que pretenda utilizar tecnologias que envolvam o reconhecimento facial poderão também consultar as orientações a respeito do tema emitidas pelas autoridades de proteção de dados da Europa, a exemplo do guia publicado pela Autoridade de Proteção de Dados do Reino Unido (Information Comissioner´s Office – ICO)[4], que não só aborda importantes considerações, requisitos e orientações sobre o uso da tecnologia de reconhecimento facial[5], mas também traz instrumentos e verdadeiros checklists, que podem ser úteis para demonstrar a legalidade do tratamento de dados através da referida tecnologia, como, por exemplo, respondendo às seguintes atividades:
☐ Conduzimos uma Avaliação de Impacto na Proteção de Dados (DPIA) que aborda totalmente nossa necessidade de usar a Tecnologia de Reconhecimento Facial (FRT), a base legal para seu uso e explora os impactos aos direitos e liberdades dos indivíduos cujos dados pessoais são capturados para cada implantação?
☐ Documentamos totalmente nossa justificativa para o uso do FRT e a tomada de decisão por trás dessas justificativas, e elas estão disponíveis mediante solicitação?
☐ Escolhemos uma resolução adequada para as câmeras que usamos e realizamos testes completos do equipamento?
☐ Posicionamos nossas câmeras em áreas com iluminação suficiente, para garantir que imagens de boa qualidade sejam tiradas para auxiliar no reconhecimento preciso?
☐ Somos capazes de identificar claramente correspondências falsas e correspondências verdadeiras?
☐ Podemos alterar o sistema para corrigir taxas de falsos positivos ou falsos negativos que são considerados muito altos?
☐ Há capacidade em atender os direitos dos titulares? (artigos 17 e 18 da LGPD)?
☐ Garantimos que todas as listas de observação que usamos são construídas em conformidade com a lei geral de proteção de dados pessoais?
Quais as possíveis bases legais (ou hipóteses de legitimidade) para a captura de imagens?
Para a realização de uma atividade com dados pessoais – tratamento – ser considerada legal ou legítima, esta precisa ser enquadrada em uma das hipóteses previstas na LGPD e, eventualmente, em legislação setorial ou local.
A LGPD determina que, como regra, o tratamento de dados pessoais sensíveis tenha embasamento em fornecimento de consentimento pelo Titular, mas prevê exceções no inciso II do artigo 11º:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Recomendação final
Recomenda-se a contratação de Encarregado pelo Tratamento de Dados Pessoais (ou mais conhecido como data protection officer – DPO) ou consultoria especializada para análise das hipóteses de legitimidade para os tratamentos de titulares (eventuais diferentes categorias: crianças, adolescentes, idosos, maiores etc.), para que a organização não tenha impactos futuros que:
- Inviabilizem o uso da tecnologia, software;
- Prejudique investimentos já realizados com o desenvolvimento ou contratação da inovação;
- Incida em possíveis multas ou reparações pecuniárias, definidas pelo Poder Judiciário;
- Impacte em prejuízo à imagem e reputação da organização;
- Sejam aplicadas possíveis sanções administrativas, segundo a LGPD.
Notas de rodapé:
[1] Assim como entendeu a juíza do Processo n. 1090663-42.2018.8.26.0100. 37ª Vara Cível do Foro Central de São Paulo. Sentença de maio de 2021: “O artigo 5º, II do referido diploma legal, por sua vez, conceitua o dado pessoal sensível como: ´dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural´.
Não obstante a ausência de esclarecimentos sobre o alcance dos itens apresentados no referido artigo, os dados biométricos foram posteriormente detalhados através do Decreto10.046/2019, que prevê no artigo 2º, II: ´características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar´.
Desta forma, o reconhecimento facial ou mesmo a mera detecção facial, sem que seja possível a identificação concreta do indivíduo, mas com acesso à sua imagem e face, parece já esbarrar no conceito de dado biométrico, legalmente considerado como dado pessoal sensível, daí porque merece tratamento especial à luz da Lei nº 13.709/2018. (…)
O §3º do artigo 11 dispõe que ´a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências’.”
[2] CFTV: sigla de Circuito Fechado de TV. O CFTV engloba um conjunto de equipamentos que, quando ligados a uma central, oferecem ao estabelecimento comercial ou à residência um serviço de segurança por meio de imagens. Além das câmeras e demais dispositivos, é necessário que haja uma operação de vigilância. Ela pode ser feita de diferentes formas, mas, em geral, é realizada por pessoas que monitoram os ambientes de forma contínua por meio de equipamentos que gravam e armazenam as imagens (Fonte: Intelbras (2020) – Disponível em: https://blog.intelbras.com.br/cftv-saiba-tudo-sobre-esse-sistema/).
[3] Art. 5º Para os fins desta Lei, considera-se:
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
[4] Adaptado pelas autoras com base no checklist disponibilizado pela ICO. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-video-surveillance-including-cctv/additional-considerations-for-technologies-other-than-cctv/#frt. Acesso em 01nov2022.
[5] “O que é tecnologia de reconhecimento facial? A tecnologia de reconhecimento facial identifica ou reconhece uma pessoa a partir de uma imagem facial digital. As câmeras são usadas para capturar essas imagens e o software de reconhecimento facial mede e analisa as características faciais para produzir um modelo biométrico. Isso normalmente permite que o usuário identifique, autentique ou verifique ou categorize indivíduos. Muitas vezes, o software que incorpora elementos de inteligência artificial (IA), algoritmos e processos de aprendizado de máquina estima o grau de semelhança entre dois modelos faciais para identificar uma correspondência. Por exemplo, para verificar a identidade de alguém ou para colocar um modelo em uma categoria específica (por exemplo, faixa etária)”. Fonte: Information Comissioner´s Office – ICO. Considerações adicionais para outras tecnologias além de CCTV.
Parte do conteúdo publicado em: https://www.conjur.com.br/2022-nov-09/limae-landanji-tecnologia-reconhecimento-facial