Meu rosto, minhas regras

Embora George Orwell tenha descrito em seu livro 1984 - publicado no último ano da década de 1940 - uma sociedade totalmente vigiada, se falássemos para alguém nascido até os anos 1980 que uma câmera seria capaz de captar sentimentos e revelar se ela gostou ou não de algo que está a sua frente, a pessoa provavelmente nos chamaria de louco. Mas assim como tantas outras tecnologias impensáveis num passado não tão distante, o reconhecimento facial já é realidade. Segundo pesquisa realizada pelo Instituto Igarapé, existem no Brasil 47 iniciativas que usam, de certa forma, câmeras que fazem a análise da face em estabelecimentos comerciais como lojas, supermercados e bancos.

Diferentemente de câmeras de segurança – operadas por um ser humano –, as de reconhecimento facial são automatizadas, ou seja, a imagem é coletada, e um robô verifica se ela é um rosto. Em seguida, suas características são analisadas (olhos abertos ou fechados, cor do cabelo etc.) e cruzadas com informações de bancos de dados, a fim de identificar pessoas. E isso não é novidade. "Encontramos um projeto piloto implantado em Ilhéus (BA), em 2011, para combater falsificação de passagens no transporte público", conta Louise Marie Hurel, pesquisadora sênior do Instituto Igarapé.

O tema é polêmico. Enquanto governos e empresas querem a regulação dessa prática, o Idec está bastante preocupado com a sua disseminação. "É preciso fazer uma avaliação cuidadosa dos riscos e da real necessidade do uso dessas tecnologias. Além disso, transparência é fundamental. Os cidadãos precisam ser avisados de que seu rosto está sendo filmado e informados sobre a destinação dos dados, além de terem a opção de autorizar ou não a captação", argumenta Bárbara Simão, advogada e pesquisadora do programa Telecomunicações e Direitos Digitais do Idec.

Para o Departamento de Proteção e Defesa do Consumidor (DPDC), órgão do Ministério da Justiça, não há como falar de dados pessoais no âmbito das relações de consumo sem considerar a vulnerabilidade do consumidor e o seu direito à informação clara e adequada. Isso porque esses dados constituem uma representação virtual da pessoa perante a sociedade, ampliando ou reduzindo suas oportunidades no mercado.

O Professor Doutor Rafael Mafei Rabelo Queiroz, da Faculdade de Direito da Universidade de São Paulo (USP), concorda e ressalta os riscos que as tecnologias de reconhecimento facial (TRF) oferecem. "TRFs aumentam a vigilância maciça sobre os cidadãos, subvertendo a regra de que pessoas que não são suspeitas de crimes não devem ser identificadas a não ser em contextos específicos e justificados", ele afirma. Além disso, ele reforça que, como qualquer tecnologia, essa também tem falhas. "A TRF funciona pior para certos grupos, como mulheres negras. As falhas podem implicar desde obstrução ao acesso a serviços públicos até prisão ilegal, no caso de identificação equivocada de pessoas procuradas pela polícia", ele menciona citando o estudo Gender Shades, do Massachusetts Institute of Technology (MIT), que revelou notável diferença de desempenho em relação a mulheres e homens, e, principalmente, entre brancos e negros (quanto mais escura a pele, pior a performance). Por isso, a implantação dessa ferramenta para o policiamento de espaços públicos deve ser feita com bastante cautela.

SEM REGRAS ESPECÍFICAS

Assim como a França, o Reino Unido, entre outros países europeus, o Brasil não tem uma lei federal específica que regulamente o uso de TRFs. Assim, governos municipais e estaduais, além de empresas, se aproveitam dessa brecha para disseminar a tecnologia em serviços públicos e na atividade de policiamento preventivo de espaços urbanos, o que é considerado ilegal em cidades norte-americanas, como San Francisco. Simão e Mafei lembram que, por ser a face um dado sensível, o reconhecimento facial enquadra-se na Lei de Proteção de Dados (LGPD), que entrará em vigor em 2020. Assim, o rosto das pessoas somente pode ser gravado com o consentimento delas. "Caberá aos órgãos competentes pela aplicação da LGPD avaliar a legitimidade do uso dessas tecnologias, verificando se não existem alternativas menos arriscadas e invasivas que desempenhem a mesma função", aponta Mafei. "Será preciso definir, caso a caso, o que é lícito do que é ilegal. E essa análise deve ser rigorosa. As autoridades não podem se deixar contaminar pela empolgação juvenil e incauta de prefeitos e governadores com a tecnologia", ele completa. Já para Hurel, do Instituto Igarapé, é preciso definir, na LGPD, as salvaguardas para os titulares dos dados sensíveis coletados por sistemas de reconhecimento facial implementados em espaços públicos.

De acordo com a pesquisa do Instituto Igarapé, há dois projetos de lei (PLs) tramitando no Congresso Nacional e 21 em assembleias legislativas relacionados ao reconhecimento facial. Hurel destaca o PL no 2.537/2019, que obriga o aviso sobre o reconhecimento facial em estabelecimentos comerciais, direito já garantido pelo Código de Defesa do Consumidor (CDC), e o PL no 4.612/2019, que propõe uma legislação mais geral sobre o desenvolvimento, a aplicação e o uso dessa tecnologia.

RECONHECIMENTO FACIAL NA PRÁTICA

Este ano, o Idec enviou carta solicitando explicações a algumas empresas que estariam usando TRFs para diferentes fins. A loja de roupas Hering foi uma delas. Ela havia instalado câmeras em sua loja conceito no Shopping Morumbi, em São Paulo (SP), que captavam as reações dos clientes às peças expostas. Com essas informações, era traçado um perfil de quem visitava a loja e as ofertas eram personalizadas. "A Hering violou diversos direitos do consumidor, como a liberdade de escolha e, principalmente, o direito à informação adequada e clara sobre a existência de câmeras e o uso das informações, como prevê o artigo 6o do CDC", afirma Simão, do Idec. Ela ainda informa que a tecnologia pode desrespeitar a Constituição Federal no que diz respeito aos direitos à intimidade, à imagem e à vida privada. A Secretaria Nacional do Consumidor (Senacon), ligada ao Ministério da Justiça, está investigando o caso. Se as violações forem confirmadas, a empresa poderá ser multada em até R$ 10 milhões.

O banco Itaú e a Quod – birô de crédito gerenciado por cinco bancos – também foram notificados pelo Instituto. O primeiro anunciou que o reconhecimento facial seria necessário para a aprovação e liberação de crédito aos clientes que desejassem comprar carros novos ou usados. Já o segundo divulgou que para acessar os aplicativos da empresa, a identidade dos consumidores seria comprovada por reconhecimento facial. No comunicado às duas empresas, o Idec disse que é importante buscar mecanismos de combate a fraudes, mas alertou que a coleta de dados por meio de reconhecimento facial sem informação transparente e clara ao consumidor viola o CDC e a Constituição Federal.

Para a Dataprev, empresa pública responsável pela segurança das informações previdenciárias dos brasileiros, o Idec pediu que a licitação para aquisição de tecnologia de reconhecimento facial e impressão digital fosse suspensa até que o sistemático vazamento de dados de aposentados e pensionistas do INSS seja resolvido. O uso da TRF faria com que os beneficiários não precisassem comparecer às agências bancárias para realização da prova de vida. Embora o motivo seja válido, o Idec considera grave o vazamento de informações, usadas em fraudes e para oferta insistente de crédito consignado, o que deixa explícita a vulnerabilidade da segurança dos dados sob responsabilidade da Dataprev. "Não é razoável que se implemente uma tecnologia que utiliza dados sensíveis sem que o cidadão tenha certeza de que eles serão manipulados de forma segura", alerta Diogo Moyses, coordenador do programa Telecomunicações e Direitos Digitais do Idec.

O QUE AS EMPRESAS DISSERAM

OIdec enviou carta para todas as empresas citadas nesta reportagem. O Itaú Unibanco disse que as imagens coletadas serão usadas exclusivamente para evitar fraudes, que elas não serão compartilhadas com terceiros e que o consumidor não é obrigado a aceitar a captação de seus dados, ou seja, podem financiar veículos mesmo se recusarem o uso do reconhecimento facial.

O Quod informou que o desenvolvimento de sua tecnologia para reconhecimento facial – que assim como a do Itaú Unibanco será usada para combater fraudes – está na fase inicial de desenvolvimento. Assim, ainda não há uma política para tratamento de dados.

A Hering informou que usa duas tecnologias que fazem a detecção facial, que é diferente do reconhecimento facial, pois na primeira, consumidores não são reconhecidos. Os dados são usados para geração de relatórios com informações estatísticas e anônimas, para criação de campanhas personalizadas. Também reforçou que os dados não são compartilhados com terceiros.

Já a Dataprev explicou como funciona o projeto Prova de Vida e declarou que não é razoável atribuir eventuais vazamentos de dados às soluções tecnológicas da empresa. Também destacou que vazamentos são desvios de conduta resolvidos pelas autoridades competentes.