LGPD e reconhecimento facial: quais os cuidados?
Utilizada para a segurança eletrônica, para a publicidade e até mesmo para desbloquear smartphones, a coleta e o armazenamento de dados biométricos faciais levantam questões importantes sobre a privacidade e proteção de dados pessoais que devem ser levadas em conta para a conformidade legal do uso das ferramentas.
Com o aumento do uso dessa tecnologia, surge a necessidade de se discutir e implementar medidas de governança de dados para garantir que as informações capturadas sejam usadas de maneira ética, transparente e em conformidade com a legislação brasileira e as boas práticas de mercado, respeitando os direitos individuais e a autodeterminação informativa.
O que é a LGPD e qual a sua importância?
A Lei Geral de Proteção de Dados (LGPD) é a lei brasileira que tem como objetivo proteger os dados pessoais dos cidadãos (titulares de dados). Aprovada em 2018, a LGPD estabeleceu regras claras sobre o uso, coleta, armazenamento, compartilhamento e tratamento de informações relacionados a pessoas físicas, incluídos dados biométricos e de imagem.
As informações pessoais se tornam uma commodity valiosa no mundo digital. Assim, empresas de diversos setores utilizam esses dados para diversas finalidades, como publicidade direcionada, análises de mercado, desenvolvimento de produtos, entre outras.
No entanto, a LGPD estabelece garantias legais para que os dados sejam coletados e utilizados de maneira ética e transparente. Além disso, a lei prevê severas punições duras para as empresas que não cumprirem as regras estabelecidas, o que incentiva a adoção de práticas mais seguras e responsáveis na gestão de dados pessoais.
O que é tecnologia de reconhecimento facial?
Na prática, a tecnologia de reconhecimento facial é uma forma de biometria que permite identificar e autenticar a identidade de uma pessoa por meio da análise de suas características faciais únicas, a qual coleta dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais. Essa tecnologia usualmente se utiliza de algoritmos de inteligência artificial para comparar imagens faciais capturadas com imagens armazenadas em um banco de dados ou com outras imagens em tempo real.
O processo de reconhecimento facial envolve a captura da imagem da face de uma pessoa, a extração de características faciais relevantes, como a distância entre os olhos, a forma do nariz e da boca, e a comparação dessas características com as imagens armazenadas em um banco de dados para verificar a identidade da pessoa.
O reconhecimento facial pode ser utilizado para replicar comportamentos discriminatórios e controles sociais de vigilância em massa, além do possível vazamento de dados ou mesmo do desautorizado uso comercial dessas informações. O mau uso desses dados ainda leva a vulnerabilidades que expõe o titular a prática de fraudes, estelionatos, roubo de identidades ou falsidades ideológicas das mais variadas.
Tal tecnologia teve destaque no debate jurídico quando o Poder Judiciário interrompeu a instalação da biometria facial em uma linha de metrô de São Paulo. Na ocasião houve a coleta de dados biométricos de passageiros, assim como de suas emoções e reações ao material de propaganda que era veiculada no equipamento, contudo não havia qualquer tipo de informação ou consentimento dos usuários do transporte público sobre aquele uso de dados pessoais.
O que a LGPD prevê sobre o uso de tecnologias de reconhecimento facial?
No mencionado caso do metrô de São Paulo, a empresa concessionária foi condenada a pagar R$ 100 mil de indenização por danos morais e foi impedida pela justiça de captar as imagens, sons e quaisquer outros dados pessoais dos usuários através de equipamentos de reconhecimento facial sem consentimento prévio.
A magistrada que proferiu a decisão em primeira instância utilizou como fundamento a necessidade proteção especial aos dados biométricos, os quais são classificados como dados sensíveis (art. 5º da LGPD, II). Para o tratamento desse tipo de dado pessoal, a base legal preferencial exige a coleta de um consentimento livre, claro, específico e destacado (art. 11 da LGPD, I).
No entanto, é importante saber que existem exceções ao consentimento, e o reconhecimento facial pode entrar em uma dessas exceções, a depender do contexto. O mais importante é fazer um uso da tecnologia compatível com os princípios da necessidade, da transparência, da qualidade de dados e da não discriminação (art. 6º da LGPD, III, VI, V e IX). É dever legal das organizações garantir aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados biométricos, observados, claro, os segredos comerciais e industriais.
A LGPD também prevê que os titulares dos dados têm o direito de solicitar a correção, exclusão ou bloqueio desses dados. Além disso, as empresas que coletam e tratam dados biométricos faciais devem adotar medidas de segurança adequadas para proteger esses dados contra acessos não autorizados e outros riscos.
LEIA TAMBÉM: LGPD e Inteligência Artificial: regulamentações, marco legal e desafios jurídicos
Quais os cuidados que devemos ter ao fazer uso destas tecnologias?
É bom ressaltar que a LGPD busca compatibilizar a privacidade e a proteção de dados com o desenvolvimento econômico, tecnológico e a inovação, e não pretende obstar a implementação de novas tecnologias em nossa vida prática.
No entanto, antes de aplicar tecnologias de reconhecimento facial, uma empresa deve avaliar a real necessidade de fazer a coleta desses dados e procurar uma assessoria jurídica especializada que possa validar que esse uso está adequado à LGPD e às demais normas e legislações de privacidade e de proteção de dados.
Mesmo se um sistema de reconhecimento facial tiver 98% de assertividade no que se propõe, ainda sim ele poderá ter um 2% de viés, o que poderá gerar discriminação e violar os princípios da qualidade de dados e da não discriminação.
A existência de um canal oficial para receber feedbacks para aperfeiçoar o sistema é um bom exemplo de boa prática que pode ser implantada, demonstrando às entidades sancionadoras e ao Poder Judiciário a boa-fé com o titular de dados.
Conclusão
Ao implementar tecnologias de reconhecimento facial em sua organização, os empresários devem considerar seriamente aplicar o conceito de privacy by desing (ou “privacidade desde a concepção”) no processo de coleta, armazenamento e tratamento de dados biométricos, a fim de cumprir com a lei.
Além disso, é desejável evitar que sua empresa não seja a próxima a aparecer no jornal em razão um uso discriminatório ou desautorizado das ferramentas.
É sempre desejável um acompanhamento jurídico especializado para assegurar a adequação das políticas internas e da própria cultura organizacional às exigências da lei e das melhores práticas de mercados sobre o uso de reconhecimento facial e outros métodos de coleta e tratamento de dados.