O Reconhecimento Facial e a LGPD

A aplicação da nova lei aos dados biométricos utilizados na segurança.

O Reconhecimento Facial e a LGPD

Por Eng. Carlos Alberto Iglesia Bernardo

Em maio de 2019, o jornal New York Times publicou uma notícia que chama a atenção para o intenso debate que está ocorrendo no mundo em torno do uso da tecnologia de reconhecimento facial na segurança.

De acordo com a notícia, a cidade de São Francisco, por meio de seu conselho de supervisão (Board of Supervisors), decidiu proibir o uso do reconhecimento facial por sua polícia. É a primeira grande cidade americana que toma esta decisão, mas, há leis similares em discussão em outras cidades.

A decisão foi tomada com base nos temores que o uso abusivo da tecnologia comprometesse a privacidade dos cidadãos.

O balanço entre privacidade e segurança é delicado e isto traz maior responsabilidade aos desenvolvedores de soluções e aos seus usuários.

No Brasil, a demanda da sociedade por proteção da privacidade deu origem a “Lei Geral de Proteção de Dados”. A lei 13.709/2018 define os papéis, direitos e responsabilidades no tratamento dos dados pessoais de pessoas naturais.

Entre as definições da lei, está a de que dados pessoais são aqueles que permitem identificar a pessoa. Classifica também os dados biométricos como dados pessoais sensíveis.

Os dados usados para o reconhecimento facial, o template, mesmo que não permitam reconstituir o rosto original entram nesta categoria. Com o seu uso é possível identificar a pessoa. A propósito, registros de acesso e outras informações associadas aos indivíduos reconhecidos são dados protegidos pela lei também.

Naturalmente, resguardando o interesse público, a lei trata exceções aos seus dispositivos em casos especiais, como o da segurança pública. Principalmente as questões de consentimento, acesso aos dados e alterações têm tratamento diferenciado.

Excetuando-se estes casos previstos na lei, o tratamento de dados exige o consentimento explícito da pessoa natural que identificam, denominado titular dos dados, bem como prevê que ela também tem direitos de acesso aos dados, de solicitar atualizações, de eliminação e até de revogação de consentimento fornecido anteriormente.

A pessoa natural ou jurídica responsável pelas decisões de tratamento, denominado controlador pela lei, deve providenciar as medidas técnicas, administrativas e jurídicas para que estes direitos sejam exercidos. Além de ser responsável pela segurança dos dados e a prevenção dos riscos que possam ocorrer aos seus titulares em consequência de vazamentos ou uso ilegítimo.

Na lei estão previstas sanções, que incluem multa de 2% do faturamento, limitada a R$ 50 milhões e bloqueio do uso dos dados. A aplicação das sanções pelas autoridades, como no caso de outras leis, dependerá naturalmente da infração e das condições em que vier a ocorrer.

O nível de adequação aos requisitos da lei, com a aplicação das medidas de proteção cabíveis, e o grau respeito aos direitos dos titulares com certeza serão fatores de peso nesta decisão.

A terceirização de serviços de tratamento, é prevista na lei, na forma do operador do tratamento de dados. As responsabilidades do controlador e do operador são definidas na lei e ambos podem responder solidariamente em casos de infrações.

Importante ressaltar que as sanções administrativas, estipuladas na Lei Geral de Proteção de Dados, podem não ser as únicas. Dependendo do incidente e de suas consequências, podem haver também medidas no âmbito civil e penal, decorrentes de que a Constituição Federal, o Código Civil e o Código Penal contêm em seus artigos dispositivos de proteção à privacidade.

A previsão para a entrada em vigor, no momento em que este artigo está sendo escrito, é agosto de 2020. A medida provisória 869, que altera dispositivos da lei 13.709/2018, está em tramitação nesta data.

Como dissemos acima, os dados biométricos em geral são sensíveis, inclusive os utilizados para o reconhecimento facial, exigindo assim uma atenção maior na proteção, prevenção aos riscos e tratamento de eventuais incidentes.

Assim, é de fundamental importância que as empresas fornecedoras de soluções de reconhecimento facial e as empresas de segurança usuárias destas soluções conheçam a Lei Geral de Proteção de Dados e se adequem a ela.

Por Eng. Carlos Alberto Iglesia Bernardo, Professor na Fundação Vanzolini do Curso LGPD na Prática. Consultor em Segurança da Informação. Sócio na IT Secure Consulting e na Alzahra Comunicação.

 

Notas Complementares:

Artigo do The New York Times: San Francisco Bans Facial Recognition Technology: https://www.nytimes.com/2019/05/14/us/facial-recognition-ban-san-francisco.html

Lei 13.709/2018: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

 

LGPD-Vanzolini

Quer receber os conteúdos e as novidades da Fundação Vanzolini no seu e-mail? Cadastre-se em nossa newsletter.

Comentários