Bloco Associe-se

Associe-se ao Idec

Organizações criam guia contra abuso no uso de reconhecimento facial

Idec e Internet Lab criam cartilha para empresas, que enfrentam novas regras com lei de proteção de dados

separador

Folha de S. Paulo

Atualizado: 

03/11/2020
Foto: iStock
Foto: iStock

 

Especial Pandemia de Coronavírus

ESPECIAL PANDEMIA DE CORONAVÍRUS:
Informação segura para sua saúde e para seus direitos

Baixe Agora

 

Reportagem publicada na Folha de S. Paulo, em 27/10/2020

O Idec (Instituto de Defesa do Consumidor) e o Internet Lab lançam nesta terça-feira (25) um guia de boas práticas a empresas que adotam a tecnologia de reconhecimento facial, cada vez mais disseminada nos setores público e privado.

Entre uma série de recomendações estão a necessidade de consentimento das pessoas para a captura de seus rostos por câmeras, maior transparência sobre como os dados são tratados, proteção extra a crianças e adolescentes e indicações sobre locais adequados para a instalação de câmeras.

O reconhecimento facial não tem regulação específica no Brasil, mas a lei de proteção de dados, que passou a valer em setembro, versa também sobre o assunto e exige maior transparência aos cidadãos sobre práticas adotadas por empresas.

Dados da face são pessoais e biométricos, portanto considerados sensíveis pela legislação. De modo geral, os princípios da lei de proteção de dados dizem que a finalidade da coleta da imagem facial precisa ser clara, o processo deve ser transparente, seguro e não-discriminatório.

“No ano passado, mandamos diversas cartas para empresas com perguntas sobre medidas de segurança. O uso não é inviabilizado por lei, mas é preciso ter salvaguardas para que direitos sejam preservados”, diz Bárbara Simão, pesquisadora do Idec e uma das autoras do estudo.

O Brasil tem um histórico recente de casos em que o uso dessa tecnologia foi considerado inadequado ou 1questionado. Um dos episódios judiciais mais emblemáticos é de 2018, da ViaQuatro, concessionária da Linha 4 Amarela do metrô de São Paulo, que instalou câmeras para identificar emoções no metrô da capital.

Os dispositivos foram colocados junto a painéis de publicidade. O objetivo era reconhecer as expressões das pessoas diante de determinado anúncio publicitário.

O Idec, à época, moveu ação civil pública alegando que a prática era pouco transparente e operacionalizada sem a opção de consentimento do cidadão. Uma decisão liminar pediu o desligamento das câmeras.

Em nota, a ViaQuatro, diz que o sistema instalado "não possui recurso ou dispositivo que permita o reconhecimento facial e não dispõe de qualquer tecnologia que viabilize a identificação ou armazenamento de dados pessoais ou imagens".

A empresa diz ter demonstrado a diferença do sistema de detecção e o de reconhecimento facial. O processo judicial continua em tramitação.

Desde então, houve uma série de notificações a empresas por autoridades de direito do consumidor. A Hering foi multada em R$ 60 mil neste ano pela Senacon (Secretaria Nacional do Consumidor), ligada ao Ministério da Justiça, por “conduta abusiva” na aplicação da tecnologia em uma loja no Shopping Morumbi, em São Paulo.

Sem informações explícitas a clientes, a loja adotou um sistema de câmeras que permitia a coleta de dados sobre gênero, faixa etária e humor de quem frequentava o espaço.

Ainda foram alvo de questionamentos, as empresas Quod, birô de crédito que reúne os principais bancos do Brasil, o Itaú e a 99, aplicativo de mobilidade. O Idec temia que as imagens obtidas pelo reconhecimento pudessem ser usadas em conjunto com avaliação de risco de crédito.

Todas responderam à organização que a tecnologia não seria obrigatória e que o sistema teria como finalidade apenas prevenção de fraudes.

Em nota, a 99 ressaltou que a tecnologia tem o único propósito de promover a segurança da plataforma, de modo "a evitar que pessoas diversas se passem por motoristas cadastrados no aplicativo".

A Zaitt, um “mercado autônomo” que opera sem atendentes em São Paulo, também recebeu uma carta da organização, e respondeu que a tecnologia só seria usada para verificar a aentrada de pessoas, mas que não seria obrigatória, e que a aprovação podia ser feita por QR Code.

A adoção da tecnologia, entretanto, é mais ampla e sensível no setor público, em especial por agentes de segurança. Estudo recente do Instituto Igarapé identificou a prática de reconhecimento facial por autoridades públicas e parceiros privados em ao menos 48 casos desde 2011, em 37 cidades.

O tema passou a ganhar maior relevância no debate público a partir de 2018, quando ocorreram audiências no Congresso e no Ministério Público a fim de discutir uma possível regulação do tema.

“A necessidade de transparência já existia, mas agora [com a lei de dados], há maior obrigação. Se há coleta e processamento dados, o processo tem de ser comunicado aos titulares de dados. Esta é a primeira diretriz que sugerimos", diz Nathalie Fragoso, coordenadora no InternetLab e também autora do estudo.

O consentimento das pessoas pode ser dado por meio de um próprio atendente, que questiona clientes do estabelecimento, ou por um sistema de QR Code para que o consumidor permita a captura de sua imagem pelo celular.

Os principais riscos do uso da tecnologia são abuso de direitos e controle (se os dados forem eventualmente compartilhados com autoridades policiais e governamentais, cria-se um sistema de vigilância), discriminação e viés, invasão à privacidade, reconhecimento falho de emoções e incidentes de segurança.

Em relação à discriminação, por exemplo, estudos recentes mostram que a taxa de erro dessas ferramentas é maior para mulheres negras do que para outros grupos. Isso acontece, em parte, pela defasagem na representação de rostos negros em bancos de dados.

De acordo com o documento baseado em dados do IBGE, somente 38,5% das pessoas brancas não usam a internet no Brasil, contra 60,5% da população negra.

"Isso, dentre diversos outros fatores, resulta em menos dados sobre essa população (por exemplo, em menor quantidade de fotos em redes sociais que possam ser usadas para treinamento de algoritmos de reconhecimento facial)", afirma o estudo.

Ao setor privado, as organizações recomendam expressamente que, para evitar discriminação por raça, gênero e etnia, a tecnologia não seja utilizada, direta ou indiretamente, para a negação de bens ou serviços, variação de preços ou oferecimento de condições desvantajosas.

Tramitam no Congresso hoje ao menos três prospostas para regulamentar o tema, além de uma série de proposições estaduais nas assembleias legislativas.

Boas práticas ao setor privado

Lista elaborada pelas organizações Idec e Internet Lab

  • Análise de proporcionalidade e respeito a princípio? Antes do uso de qualquer sistema de reconhecimento facial, é indicado que a empresa avalie se essa é a única forma de atingir seu objetivo. É preciso analisar se as finalidades da coleta estão de acordo com a legislação
  • Transparência aos titulares - É importante prestar informações completas sobre: utilização de dispositivos para coleta, quais dados são coletados, qual a forma de tratamento e as finalidades para qual está sendo realizado. Além disso, é importante apresentar informações sobre prazo, condições de armazenamento, medidas de segurança e hipótese de compartilhamento com terceiros
  • Transparência pública - As práticas adotadas na implementação e execução da tecnologia devem ser documentadas em relatórios de impacto à proteção de dados pessoais
  • Consentimento - Ela deve ser dado pelo titular antes do início da captura dos dados faciais
  • Local de uso das câmeras - É indicado que sejam instaladas em locais que permitam obtenção do consentimento prévio
  • Medidas antidiscriminatórias - A tecnologia não deve ser usada para negação de bens e serviços, variação de preços ou oferecimento de condições desvantajosas, visto que o reconhecimento facial tem falhas em detectar diferentes perfis de pessoas
  • Exclusão, anonimização e proteção de dados biométricos - Imagens devem ser excluídas depois de um período e dados devem ser anonimizados, para que não sejam facilmente identificados a uma pessoa
  • Crianças e adolescentes - Reconhecimento facial não pode ocorrer, exceto se consentido pelo responsável
  • Incidente de segurança - Todo e qualquer incidente deve ser comunicado aos titulares de dados e às autoridades públicas.