Cabe entender a finalidade pela qual o sistema de reconhecimento fácil foi adotado pelo Metrô de São Paulo
Por Luiza Sato
No início do mês, as Defensorias Públicas da União e do Estado de São Paulo, o IDEC, o Intervozes e o Artigo 19 Brasil ingressaram com Ação Civil Pública (ACP) contra o Metrô de São Paulo, por conta da implementação de um sistema de reconhecimento facial nas estações, em alegada violação às regras trazidas pela Lei Geral de Proteção de Dados (LGPD).
Em linhas gerais, os autores argumentam que a tecnologia adotada pelo Metrô enseja o tratamento de dados pessoais sensíveis (dados biométricos) e que, para tanto, o consentimento dos usuários deveria ser buscado; deveria haver a transparência e disponibilização de informações a tais usuários; e deveria haver a avaliação de impacto e mitigação de riscos inerentes à tecnologia.
Os autores concluem que o uso da tecnologia pelo Metrô da forma que hoje acontece é abusivo, desproporcional e violador de direitos fundamentais do usuário do transporte público.
Em que pese ser essencial a preocupação com a privacidade e a proteção de dados dos usuários do Metrô, é necessário avaliar se, no caso em discussão, a LGPD será de fato aplicável e, caso positivo, quais requisitos deveriam ser de fato cumpridos pelo Metrô.
Assim, uma premissa inicial a ser avaliada no presente caso diz respeito à aplicabilidade da LGPD. Nesse sentido, o inciso II do artigo 4º da LGPD estabelece que a lei não será aplicável quando o tratamento de dados pessoais for realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Cabe entender a finalidade pela qual o sistema de reconhecimento fácil foi adotado pelo Metrô de São Paulo.
De acordo com a ACP, o Metrô teria informado que a implantação do sistema serviria para aumentar a quantidade de locais monitorados; melhorar a qualidade do armazenamento de imagens, bem como seu tempo; implementar um sistema capaz de gerar alarmes; integrar sistemas de monitoração eletrônica em um só; centralização de equipamentos; e monitorar áreas de circulação restrita para pessoas/animais. Entretanto, não restou clara a finalidade, ou seja, o propósito, da adoção dessas funcionalidades.
Pela descrição do fornecedor da tecnologia, ela seria capaz de detectar pessoas correndo, objetos largados, aglomerações, intrusão, cruzamento de limites, pessoas paradas por tempo excessivo em um mesmo local e movimentos em direção proibida.
É possível deduzir, desse modo, que o sistema seria necessário exatamente para as finalidades previstas no inciso II do artigo 4º da LGPD, e a lei não seria então aplicável.
De qualquer forma, mesmo que assim seja entendido, isso não gera carta branca para que o sistema seja utilizado indiscriminadamente pelo Metrô, havendo uma série de limites legais previstos em outras normas, especialmente no que diz respeito à privacidade e não discriminação, que deverão ser seguidos pelo Metrô de São Paulo.
De outro modo, caso entendido que as finalidades do Metrô não seriam exclusivas de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, a LGPD seria então aplicável, e uma série de medidas deverão ser colocadas em prática para viabilizar o uso da tecnologia.
Dentro da ACP, é bastante explorada a necessidade da obtenção do consentimento dos usuários do Metrô para possibilitar a exploração do sistema de reconhecimento facial. Entretanto, é importantíssimo compreender que o consentimento não é a única base legal prevista na LGPD para o tratamento de dados pessoais biométricos, que se encontram na definição de dados sensíveis.
De acordo com o artigo 11 da LGPD, o tratamento de dados pessoais sensíveis poderá ocorrer sem fornecimento de consentimento do titular, em diferentes hipóteses, tais como quando for indispensável para cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; exercício regular de direitos, inclusive em contrato e em processo judicial; proteção da vida ou da incolumidade física do titular ou de terceiro; e garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Além da identificação da base legal aplicável, outras ações são essenciais, como a condução de um relatório de impacto à proteção de dados pessoais, a implementação de programa de governança em privacidade contendo planos de resposta a incidentes e remediação; a avaliação das medidas de segurança da informação; um estudo sobre as bases de dados que serão integradas ao sistema; a avaliação sobre as situações em que a identificação de um indivíduo será necessária etc.
A tecnologia de reconhecimento facial, por conta da possibilidade de ser usada de forma invasiva e de seu potencial de criar um cenário de vigilância de indivíduos transitando em espaços públicos, deve ser muito bem avaliada para que seja implementada.
Entretanto, como qualquer outra tecnologia, não deve ser descartada apenas pela possibilidade do uso indevido, uma vez que pode trazer benefícios para a população, a depender de suas finalidades e medidas concretas aplicadas em sua exploração.
Devemos acompanhar os desdobramentos dessa ACP, uma vez que decisões envolvendo a LGPD nesses seus primeiros anos de vigência são essenciais para a construção da área de Proteção de Dados no Brasil.
A lei foi desenhada para estabelecer os caminhos que devem ser seguidos para que possamos tratar dados pessoais devidamente, nunca com o propósito de inviabilizar a exploração de novas tecnologias.
Metrô de Moscou: Maior sistema de pagamento do mundo com o uso de reconhecimento facial
Ação na Justiça quer impedir uso de reconhecimento facial no Metrô de São Paulo
Acompanhe como o reconhecimento facial, impressões digitais, biometria por íris e voz e o comportamento das pessoas estão sendo utilizados para garantir a identificação digital precisa para mitigar fraudes e proporcionar aos usuários conforto, mobilidade e confiança.
Crypto ID é, sem dúvida, o maior canal de comunicação do Brasil e América Latina sobre identificação digital.
Leia outros artigos aqui!