O avanço diário das tecnologias que facilitam as atividades diárias veio com um preço, que é a redução (e, em várias situações, a ausência) da privacidade.
Além disso, o excesso de informações que circulam na internet levam, paradoxalmente, à ausência de informação, em decorrência da inviabilidade de filtrar e acessar as informações adequadas, pertinentes e suficientes.
De outro lado, o uso de tecnologias de automatização e de inteligência artificial permite às organizações o tratamento de uma grande quantidade de dados e a extração das informações pretendidas, com velocidade e quantidade.
Entre elas, o reconhecimento facial passou a ser utilizado em diversos países e em áreas distintas (públicas e privadas), como uma forma de identificação das pessoas, para finalidades variadas (segurança pública, prevenção de fraudes etc.).
Para abrir uma conta bancária digital, desbloquear o seu smartphone (ou até mesmo para comprá-lo), adquirir passagens de ônibus com desconto para estudantes e realizar uma viagem de avião, por exemplo, pode ser necessário o cadastramento de sua face.
Na Lei Geral de Proteção de Dados (LGPD), os dados biométricos são sempre considerados como dados pessoais sensíveis, independentemente do contexto e da finalidade do tratamento (art. 5º, II).
Logo, esses dados recebem uma maior proteção, por se considerar que se referem a uma esfera mais íntima da privacidade de seus titulares.
A principal consequência está na existência de regras específicas para as bases legais de tratamento dos dados pessoais, que possuem o consentimento como hierarquicamente superior às demais (art. 11 da LGPD).
Além disso, a LGPD exige a documentação, no relatório de impacto, da descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
A realização do cadastro biométrico para acessar um local público ou privado exige a realização do relatório de impacto? O titular pode ser obrigado a fornecer o seu consentimento e realizar o cadastro, como condição para ter acesso ao produto ou ao serviço? Quais aplicações ou sistemas devem ser utilizadas e quais medidas devem ser adotadas para proteger o armazenamento (e outras operações de tratamento) desses dados)?
Essas são algumas das questões que devem ser formuladas previamente ao uso da identificação biométrica.
O uso do reconhecimento facial não é proibido, mas deve observar as normas de proteção de dados pessoais e, especialmente, o fato de ser considerado um dado pessoal sensível, o que exige uma proteção diferenciada.
No Direito Penal, por exemplo, as identificações biométrica e genética só podem ser realizadas em situações excepcionais e os dados pessoais (sensíveis) coletados devem ser eliminados se o acusado for absolvido ou com o transcurso do período de 20 anos após o término do cumprimento da pena (de acordo com as regras da Lei nº 12.037/2009, que regula a identificação criminal e autoriza a criação do Banco Nacional Multibiométrico e de Impressões Digitais).
Em fevereiro de 2021, a Autoridade de Proteção à Privacidade da Suécia condenou a Autoridade Policial do país ao pagamento de uma multa de 250 mil euros, em decorrência da utilização inadequada de um software de reconhecimento facial (de uma empresa estadunidense). Além da falta de elaboração prévia da avaliação de impacto sobre a proteção de dados (art. 35 do GDPR), ocorreu o compartilhamento indevido de dados com a empresa privada que criou o software e, por fim, o tratamento de dados pessoais em desacordo com o Criminal Data Act sueco (lei nacional sobre o tratamento de dados pessoais em processos criminais).
Mais recentemente, em maio de 2021, no Brasil, a empresa que atua na concessão da Linha 4 do Metrô de São Paulo foi condenada, em uma ação coletiva, ao pagamento de 100 mil reais, em virtude da captação de imagens por câmeras de reconhecimento facial (e com a identificação de emoções) sem o consentimento prévio dos passageiros.
Ao contrário da identificação pela leitura da digital ou da íris, a identificação facial pode ser realizada independentemente do consentimento ou até mesmo do conhecimento do titular dos dados. A passagem por uma câmera, por poucos segundos, já é suficiente para a identificação, inclusive a partir de dados abertos (como fotos em redes sociais, em perfil de aplicativos de mensagens ou coletadas na internet).
Uma pesquisa recente (realizada sobre mais de 100 conjuntos de dados faciais desenvolvidos entre 1976 a 2019, contendo 145 milhões de imagens de mais de 17 milhões de assuntos) aponta o descontrole dos titulares sobre seus dados faciais e o uso indiscriminado e sem consentimento desses dados.
Por isso, a coleta, o armazenamento e a realização de outras atividades de tratamento sobre os dados faciais (e outros dados pessoais biométricos) devem observar o princípio da necessidade (ou minimização dos dados) e os demais limites previstos na LGPD, a fim de evitar o descontrole informacional dos titulares e o aumento de riscos de incidentes com dados pessoais sensíveis.