Reconhecimento facial: conheça os riscos a seus direitos e 8 recomendações para o uso da tecnologia

A lei de proteção de dados trata do assunto e exige maior transparência sobre a prática. Organizações criaram guia para alertar contra abusos

O reconhecimento facial não tem regulação específica no Brasil
Legenda: O reconhecimento facial não tem regulação específica no Brasil
Foto: Shutterstock

O Idec (Instituto de Defesa do Consumidor) e o Internet Lab lançam nesta terça-feira (27) um guia de boas práticas a empresas que adotam a tecnologia de reconhecimento facial, cada vez mais disseminada nos setores público e privado.

Entre uma série de recomendações estão a necessidade de consentimento das pessoas para a captura de seus rostos por câmeras, maior transparência sobre como os dados são tratados, proteção extra a crianças e adolescentes e indicações sobre locais adequados para a instalação de câmeras.

O reconhecimento facial não tem regulação específica no Brasil, mas a lei de proteção de dados, que passou a valer em setembro, versa também sobre o assunto e exige maior transparência aos cidadãos sobre práticas adotadas por empresas.

Princípios

Dados da face são pessoais e biométricos, portanto considerados sensíveis pela legislação.

De modo geral, os princípios da lei de proteção de dados dizem que a finalidade da coleta da imagem facial precisa ser clara, o processo deve ser transparente, seguro e não-discriminatório.

"No ano passado, mandamos diversas cartas para empresas com perguntas sobre medidas de segurança. O uso não é inviabilizado por lei, mas é preciso ter salvaguardas para que direitos sejam preservados", diz Bárbara Simão, pesquisadora do Idec e uma das autoras do estudo.

Riscos do reconhecimento facial

Os principais riscos do uso da tecnologia são abuso de direitos e controle (se os dados forem eventualmente compartilhados com autoridades policiais e governamentais, cria-se um sistema de vigilância), discriminação e viés, invasão à privacidade, reconhecimento falho de emoções e incidentes de segurança.

Em relação à discriminação, por exemplo, estudos recentes mostram que a taxa de erro dessas ferramentas é maior para mulheres negras do que para outros grupos. Isso acontece, em parte, pela defasagem na representação de rostos negros em bancos de dados.

De acordo com o documento baseado em dados do IBGE, somente 38,5% das pessoas brancas não usam a internet no Brasil, contra 60,5% da população negra.

"Isso, dentre diversos outros fatores, resulta em menos dados sobre essa população (por exemplo, em menor quantidade de fotos em redes sociais que possam ser usadas para treinamento de algoritmos de reconhecimento facial)", afirma o estudo.

Ao setor privado, as organizações recomendam expressamente que, para evitar discriminação por raça, gênero e etnia, a tecnologia não seja utilizada, direta ou indiretamente, para a negação de bens ou serviços, variação de preços ou oferecimento de condições desvantajosas.

Tramitam no Congresso hoje ao menos três propostas para regulamentar o tema, além de uma série de proposições estaduais nas assembleias legislativas.

É indicado que as câmeras sejam instaladas em locais que permitam obtenção do consentimento prévio
Legenda: É indicado que as câmeras sejam instaladas em locais que permitam obtenção do consentimento prévio
Foto: Shutterstock

8 boas práticas recomendadas ao setor privado

Lista elaborada pelas organizações Idec e Internet Lab

1. Análise de proporcionalidade e respeito a princípios

Antes do uso de qualquer sistema de reconhecimento facial, é indicado que a empresa avalie se essa é a única forma de atingir seu objetivo. É preciso analisar se as finalidades da coleta estão de acordo com a legislação

2. Transparência aos titulares

É importante prestar informações completas sobre: utilização de dispositivos para coleta, quais dados são coletados, qual a forma de tratamento e as finalidades para qual está sendo realizado. Além disso, é importante apresentar informações sobre prazo, condições de armazenamento, medidas de segurança e hipótese de compartilhamento com terceiros

3. Transparência pública

As práticas adotadas na implementação e execução da tecnologia devem ser documentadas em relatórios de impacto à proteção de dados pessoais

4. Consentimento

Ela deve ser dado pelo titular antes do início da captura dos dados faciais

5. Local de uso das câmeras

É indicado que sejam instaladas em locais que permitam obtenção do consentimento prévio

6. Medidas antidiscriminatórias

A tecnologia não deve ser usada para negação de bens e serviços, variação de preços ou oferecimento de condições desvantajosas, visto que o reconhecimento facial tem falhas em detectar diferentes perfis de pessoas

7. Exclusão, anonimização e proteção de dados biométricos

Imagens devem ser excluídas depois de um período e dados devem ser anonimizados, para que não sejam facilmente identificados a uma pessoa

8. Crianças e adolescentes

Reconhecimento facial não pode ocorrer, exceto se consentido pelo responsável Incidente de segurança
Todo e qualquer incidente deve ser comunicado aos titulares de dados e às autoridades públicas

Uso inadequado

O Brasil tem um histórico recente de casos em que o uso dessa tecnologia foi considerado inadequado ou questionado. Um dos episódios judiciais mais emblemáticos é de 2018, da ViaQuatro, concessionária da Linha 4 Amarela do metrô de São Paulo, que instalou câmeras para identificar emoções no metrô da capital.

Os dispositivos foram colocados junto a painéis de publicidade. O objetivo era reconhecer as expressões das pessoas diante de determinado anúncio publicitário.

O Idec, à época, moveu ação civil pública alegando que a prática era pouco transparente e operacionalizada sem a opção de consentimento do cidadão. Uma decisão liminar pediu o desligamento das câmeras.

Em nota, a ViaQuatro, diz que o sistema instalado "não possui recurso ou dispositivo que permita o reconhecimento facial e não dispõe de qualquer tecnologia que viabilize a identificação ou armazenamento de dados pessoais ou imagens".

A empresa diz ter demonstrado a diferença do sistema de detecção e o de reconhecimento facial. O processo judicial continua em tramitação.

Desde então, houve uma série de notificações a empresas por autoridades de direito do consumidor. A Hering foi multada em R$ 60 mil neste ano pela Senacon (Secretaria Nacional do Consumidor), ligada ao Ministério da Justiça, por "conduta abusiva" na aplicação da tecnologia em uma loja no Shopping Morumbi, em São Paulo.

Sem informações explícitas a clientes, a loja adotou um sistema de câmeras que permitia a coleta de dados sobre gênero, faixa etária e humor de quem frequentava o espaço.

Ainda foram alvo de questionamentos, as empresas Quod, birô de crédito que reúne os principais bancos do Brasil, o Itaú e a 99, aplicativo de mobilidade. O Idec temia que as imagens obtidas pelo reconhecimento pudessem ser usadas em conjunto com avaliação de risco de crédito.

Todas responderam à organização que a tecnologia não seria obrigatória e que o sistema teria como finalidade apenas prevenção de fraudes.

Em nota, a 99 ressaltou que a tecnologia tem o único propósito de promover a segurança da plataforma, de modo "a evitar que pessoas diversas se passem por motoristas cadastrados no aplicativo".

A Zaitt, um "mercado autônomo" que opera sem atendentes em São Paulo, também recebeu uma carta da organização, e respondeu que a tecnologia só seria usada para verificar a aentrada de pessoas, mas que não seria obrigatória, e que a aprovação podia ser feita por QR Code.

Setor público

A adoção da tecnologia, entretanto, é mais ampla e sensível no setor público, em especial por agentes de segurança. Estudo recente do Instituto Igarapé identificou a prática de reconhecimento facial por autoridades públicas e parceiros privados em ao menos 48 casos desde 2011, em 37 cidades.

O tema passou a ganhar maior relevância no debate público a partir de 2018, quando ocorreram audiências no Congresso e no Ministério Público a fim de discutir uma possível regulação do tema.

"A necessidade de transparência já existia, mas agora [com a lei de dados], há maior obrigação. Se há coleta e processamento dados, o processo tem de ser comunicado aos titulares de dados. Esta é a primeira diretriz que sugerimos", diz Nathalie Fragoso, coordenadora no InternetLab e também autora do estudo.

O consentimento das pessoas pode ser dado por meio de um próprio atendente, que questiona clientes do estabelecimento, ou por um sistema de QR Code para que o consumidor permita a captura de sua imagem pelo celular.

 

Quero receber conteúdos exclusivos do Seu Direito