Tecnologias de reconhecimento facial e a Lei Geral de Proteção de Dados
Os desafios jurídicos do uso de ferramentas de reconhecimento facial na LGPD e decisões judiciais recentes sobre o tema
Assuntos
O desenvolvimento das ferramentas de inteligência artificial e de machine learning deu origem à criação e gerou o aumento do uso de tecnologias de reconhecimento facial. Por meio da análise de uma imagem contendo rostos humanos, a tecnologia pode identificar e reconhecer instantaneamente o indivíduo retratado, podendo ser aplicada em diversas circunstâncias em que imagens faciais sejam disponibilizadas. Esse tipo de tecnologia não só é capaz de confirmar que a imagem retrata um indivíduo (semelhante a uma ferramenta de detecção facial), mas também identifica e reconhece um ser humano masculino ou feminino por meio de análise de suas características biométricas.
As ferramentas de reconhecimento facial estão se tornando cada vez mais comuns e sendo utilizadas para controle de acesso ou como um sistema amplo de identificação. No entanto, ao implementar tais ferramentas, as entidades precisam estar cientes do elemento que está no cerne dessa tecnologia: os dados pessoais, uma vez que, para ser assertivo na identificação do indivíduo, o sistema requer a entrada de uma imagem de consulta e um grande banco de dados para comparar e identificar das imagens.
O cenário jurídico no Brasil
Em setembro de 2020, a Lei Brasileira de Proteção de Dados (Lei nº 13.709/2018 ou LGPD) entrou em vigor, transformando significativamente o sistema de proteção de dados no Brasil e alinhando-o à legislação europeia, a General Data Protection Regulation (GDPR).
A LGPD estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de qualquer informação relacionada a um indivíduo identificado ou identificável (definido como “dados pessoais” pela LGPD). Assim como a GDPR, a LGPD tem um efeito extraterritorial significativo e, via de regra, aplica-se a qualquer atividade de tratamento de dados pessoais realizada por pessoas físicas e jurídicas, independentemente do país onde está sediada ou do país onde os dados se encontram, desde que: o tratamento de dados seja realizado no Brasil; a atividade de tratamento de dados pessoais tenha por objetivo oferecer bens ou serviços a titulares de dados localizados no Brasil; ou os dados pessoais tenham sido coletados no Brasil (nos casos em que o titular dos dados estava localizado no Brasil no momento da coleta de dados), independentemente de sua respectiva nacionalidade.
Em suma, a LGPD estabelece:
- Regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais;
- Princípios que serão aplicáveis ao tratamento de dados pessoais;
- Diversos direitos aos titulares de dados pessoais;
- Regras detalhadas sobre medidas de segurança que devem ser adotadas pelos agentes de tratamento para proteger os respectivos dados; e
- Requisitos de notificação em caso de incidentes de segurança envolvendo dados pessoais.
A LGPD determina, ainda, que um dado pessoal somente pode ser tratado se a entidade tiver uma justificativa para tratá-lo, considerando as bases legais disponíveis na LGPD e aplicáveis ao caso concreto.
Dados pessoais sensíveis e a LGPD
Uma das principais questões jurídicas decorrentes do uso das tecnologias de reconhecimento facial diz respeito ao tratamento das características biométricas do indivíduo, dada sua natureza sensível. De acordo com a LGPD, “dados pessoais sensíveis” são definidos como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Com base nessa definição, e até que novas orientações sejam emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), os dados pessoais tratados por sistemas de reconhecimento facial se enquadram na categoria de “dados biométricos” e, portanto, devem ser considerados não apenas dados pessoais, mas também “dados sensíveis”, nos termos da LGPD.
Note que não há obrigações adicionais que se aplicam ao tratamento de dados sensíveis pelas entidades. Entretanto, as bases legais que podem justificar as atividades de tratamento de dados sensíveis são mais limitadas em comparação com as bases legais disponíveis para justificar as atividades de tratamento de dados envolvendo dados pessoais. Nesse contexto, ao usar (ou planejar usar) uma tecnologia de reconhecimento facial, deve-se analisar cuidadosamente a base legal adotada (ou a ser adotada) para justificar as atividades de tratamento de dados pessoais sensíveis em conexão com essa tecnologia.
Situação recente envolvendo o uso de tecnologias de reconhecimento facial
Atualmente, o uso de tecnologias de reconhecimento facial, principalmente em espaços públicos, tem sido objeto de análise por parte dos órgãos de defesa do consumidor e do Ministério Público. A razão é que tais órgãos governamentais entendem que o uso dessa tecnologia e de seus sistemas derivados podem gerar um risco relevante para os direitos e liberdades individuais dos titulares dos dados, principalmente porque ainda não há orientação da ANPD quanto ao uso de tecnologias de reconhecimento facial baseadas em dados biométricos.
Nesse contexto, em maio de 2021, uma concessionária de metrô do Estado de São Paulo foi condenada no âmbito de uma ação judicial a pagar R$ 100 mil pela utilização de ferramenta de “reconhecimento facial”, para fins de marketing e publicidade, sem obter o devido consentimento dos respectivos indivíduos (como usuários do metrô) para realizar a referida atividade. Esse foi um leading case sobre o assunto e foi considerado controverso em vários aspectos por alguns estudiosos. Embora a empresa tenha argumentado que usou uma ferramenta de detecção facial que captava apenas características gerais dos indivíduos, como idade, sexo e emoção (ou seja, não era capaz de identificar e reconhecer um indivíduo), o juiz entendeu que a empresa estava coletando dados biométricos (portanto, dados sensíveis) de tais indivíduos e que, portanto, deveria ter obtido o consentimento do titular dos dados para tanto.
Na fundamentação de sua decisão, o juiz estabeleceu que a utilização de tecnologias de reconhecimento facial não deve se basear exclusivamente no consentimento do titular dos dados; na verdade, a finalidade do tratamento de dados é crucial para determinar se o consentimento será necessário. Por exemplo, o juiz apontou que, sem o consentimento dos titulares de dados, este tipo de tecnologia poderia ser utilizada para fins de segurança, como forma de melhorar a segurança dos serviços de transporte que são prestados aos passageiros. Até o momento, as partes ainda podem recorrer da decisão proferida pelo juiz.
Expectativas para o futuro
O uso das tecnologias de reconhecimento facial são incontáveis e estão se tornando cada vez mais recorrentes. Considerando que tais sistemas envolvem o tratamento de dados sensíveis, sempre que implementarem tecnologias de reconhecimento facial, deve-se observar a LGPD.
No entanto, podemos esperar orientação adicional da ANPD sobre as questões aqui apresentadas. Assim, além de cumprir com as disposições atuais da LGPD, os agentes de tratamento que usam (ou tem a intenção de usar) as ferramentas de reconhecimento facial devem se manter atualizados em relação às regras e orientações sobre o uso de tais tecnologias a serem futuramente emitidas pela ANPD, a fim de assegurar conformidade com as orientações da ANPD sobre o assunto.
Para mais informações sobre a LGPD, conheça a prática de Tecnologia do Mattos Filho.
* Com a colaboração de Paula Vermelho Cordiolli.