Por conta da preocupação com a privacidade de indivíduos, são estabelecidas restrições no uso da tecnologia de reconhecimento facial, inclusive sob a nova Lei Geral de Proteção de Dados (LGPD)
Por Luiza Sato e Fernanda Catão*
Tramita na Câmara dos Deputados o Projeto de Lei nº 2537/19 que determina que os estabelecimentos comerciais deverão, em sua entrada, conter alertas em placas e/ou adesivos sobre a utilização de programas de reconhecimento facial com o intuito de identificação dos consumidores.
O uso do reconhecimento facial pode parecer altamente atraente aos comerciantes, na medida em que os sensores inseridos em seus estabelecimentos permitem a construção do perfil do comprador mediante a verificação de suas preferências, gerando ganhos ao lojista por conta da personalização de ofertas e diferenciação na forma de abordagem pelos vendedores.
A preocupação aqui decorre do potencial risco à privacidade dos clientes das lojas. A depender das informações acessadas pelos comerciantes decorrentes do reconhecimento facial, como dados cadastrais e de inadimplência, pode ser feita uma abordagem inadequada ou abusiva ao cliente, incluindo um tratamento discriminatório.
Nesse sentido, em fevereiro deste ano, uma loja no Morumbi Shopping, em São Paulo, que implementou a tecnologia de reconhecimento facial, foi notificada pelo Instituto Brasileiro de Defesa do Consumidor (Idec), a fim de determinar as finalidades do tratamento dos dados coletados e os agentes com quem eles serão compartilhados.
Considerando que tal tipo de tecnologia pode violar a privacidade dos indivíduos, faz-se necessário impor limites à sua utilização, em linha, inclusive, com a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto do ano que vem.
A LGPD estabelece regras para o tratamento de dados pessoais, sendo assim considerados aqueles que podem identificar uma pessoa natural.
A lei exige um tratamento diferenciado, por sua natureza, aos dados pessoais sensíveis, dentre os quais se incluem os dados biométricos, compreendidos aqueles utilizados para o reconhecimento facial.
A fim de analisar as restrições previstas pela LGPD ao tratamento dos dados obtidos mediante o uso da tecnologia de reconhecimento facial em estabelecimentos comerciais, é necessário, primeiramente, entender que a lei não será aplicável ao tratamento de dados pessoais realizados para fins exclusivos de segurança pública, atividades de investigação e de repressão de infrações penais. Assim sendo, seria possível defender a não imposição dos limites da LGPD caso a tecnologia fosse usada apenas para tais fins.
Entretanto, entendendo que as finalidades serão possivelmente outras, como de formação de perfis de clientes e customização de ofertas e abordagens de vendedores conforme descrito acima, a LGPD será aplicável e, nesses casos, serão exigidos mais cuidados dos comerciantes do que os alertas em placas e/ou adesivos na entrada de estabelecimentos comerciais conforme previsto no PL da Câmara dos Deputados.
Pela lei, o tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; ou, sem tal consentimento, apenas se a finalidade for, por exemplo, para o exercício regular de direitos em processos judiciais e para a prevenção à fraude e à segurança do titular.
Além de tal observação da base legal, mediante a obtenção do consentimento, o comerciante ainda deverá atender uma série de requisitos, como a adoção de técnicas e administrativas aptas a proteger os dados pessoais de incidentes de segurança e a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Ainda, a Autoridade Nacional de Proteção de Dados (ANPD), criada recentemente em julho deste ano, poderá determinar a elaboração de um relatório de impacto à proteção de dados pessoais para a doção da tecnologia de reconhecimento facial em lojas, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.
Para fins de ilustração, muito recentemente, em agosto deste ano, uma escola na Suécia foi multada em aproximadamente €20.000 por utilizar a tecnologia de reconhecimento facial para monitorar a frequência dos alunos.
A Autoridade de Proteção de Dados Sueca considerou que a escola teria tratado dados biométricos sensíveis de forma ilícita e sem uma avaliação de impacto adequada.
Apesar de ainda haver dúvidas quanto à implementação adequada de reconhecimento facial em estabelecimentos comerciais no Brasil, a expectativa para os próximos anos é que a aplicação das provisões da LGPD e das regulamentações a serem publicadas pela ANPD esclareçam as dúvidas sobre o tratamento de dados biométricos.
No momento, resta claro que a coleta de consentimentos específicos, com a total transparência das finalidades do uso da tecnologia, é a melhor forma de os estabelecimentos comerciais afastarem as alegações sobre o uso abusivo da tecnologia de reconhecimento facial.
A intenção das novas regras não é a inviabilização do uso do reconhecimento facial, que muitas vezes gerará benefícios tanto aos comerciantes quanto aos consumidores, mas sim, a criação de um ambiente em que se utilizem ferramentas que minimizem os riscos de exposição dos titulares de dados pessoais e maximizem os benefícios da implementação da tecnologia.
Essa é um mais uma quente discussão na área de proteção de dados, sujo desenrolar deverá ser acompanhado em âmbitos nacional e internacional.
*Luiza Sato e Fernanda Catão são, respectivamente, sócia e associada da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados.