image

Acesse bootcamps ilimitados e +750 cursos pra sempre

70
%OFF
Lista de conteúdos
Article image
Fabio Martins
Fabio Martins19/02/2024 22:09
Compartilhe

O Perigo do Armazenamento de Faces em Sistemas de Reconhecimento Facial

  • #Azure
  • #Azure OpenAI

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no cenário brasileiro acrescenta uma camada adicional de preocupações éticas e de privacidade ao armazenamento de faces em sistemas de reconhecimento facial.

1. Violação dos Princípios da LGPD:

A LGPD estabelece princípios fundamentais, incluindo a finalidade, necessidade, adequação e transparência no tratamento de dados pessoais. O armazenamento indiscriminado de faces sem o devido consentimento e propósito claro viola esses princípios, colocando em risco a conformidade com a legislação.

2. Consentimento Informado e Controlado:

A LGPD enfatiza a importância do consentimento informado e controlado pelos titulares dos dados. O armazenamento de faces em sistemas de reconhecimento facial requer um consentimento claro e específico do indivíduo, que deve ser livremente concedido e facilmente revogável. A falta desse consentimento representa uma violação direta da LGPD.

3. Responsabilidade e Prestação de Contas:

A LGPD coloca ênfase na responsabilidade e prestação de contas das organizações que lidam com dados pessoais. O armazenamento de faces deve ser realizado com medidas adequadas de segurança e proteção, garantindo a integridade e confidencialidade dos dados, conforme exigido pela legislação.

4. Direitos dos Titulares:

A LGPD concede aos titulares dos dados uma série de direitos, incluindo o acesso, retificação e exclusão de suas informações pessoais. O armazenamento de faces deve respeitar esses direitos, permitindo que os indivíduos exerçam controle sobre seus dados e compreendam como estão sendo utilizados.

5. Avaliação de Impacto à Privacidade:

A LGPD incentiva a realização de Avaliações de Impacto à Privacidade (AIP) para avaliar os riscos associados ao tratamento de dados pessoais. O armazenamento de faces em sistemas de reconhecimento facial deve ser precedido por uma AIP adequada, identificando e mitigando potenciais riscos à privacidade.

Conclusão:

Em conformidade com a LGPD, o armazenamento de faces em sistemas de reconhecimento facial exige uma abordagem cuidadosa e ética. O cumprimento dos princípios e diretrizes estabelecidos por esta legislação é crucial para garantir que as práticas tecnológicas estejam alinhadas com os direitos fundamentais dos indivíduos e que a privacidade seja preservada em conformidade com a lei.

Compartilhe
Recomendados para você
Microsoft - GitHub Copilot e Azure Serverless na Prática
Microsoft Certification Challenge #5 - AZ-204
Microsoft Azure Cloud Native 2026
Comentários (2)
Carlos Herrera
Carlos Herrera - 20/02/2024 14:56

Excelente tema Fábio.


Trabalhei com reconhecimento facial durante a epidemia de Covid e durante essa experiência objetivamos implementar um sistema de reconhecimento de proximidade e contato entre pessoas em uma fábrica.


Foi super interessante abordar os pontos de como as imagens ficariam gravadas para comprovação do contato ou proximidade. Durante as discussões percebemos que era desproporcional gravarmos as imagens já que o objetivo era alertar as áreas onde esses contatos estavam acontecendo para que evitassem a proximidade naquela época muito perigosa para contágio. Se nosso objetivo era alertar e não punir, não era necessário gravar a imagem, apenas processar a mesma e descartá-la após as medições de proximidade entre pessoas feitas em Python com OpenCV.


Isso me fez estar sempre atento ao principio da proporcionalidade, onde a necessidade de ter a imagem tem que ser suficiente para justificar que ela seja salva, coisa que nesse caso não era.


Li um artigo interessante sobre isso recentemente e traduzi para acrescentar ao tema.


----------------------------------------------------


Uma história de Advertência: Escola sueca multada por programa piloto de reconhecimento facial mesmo após obter "consentimento"


Em uma decisão proferida em agosto de 2019, a autoridade sueca de proteção de dados, Datainspektion, concluiu que um programa piloto de reconhecimento facial realizado por uma escola violou o GDPR e impôs uma multa de cerca de € 20.000 à escola. No programa piloto, a escola monitorou a frequência de 22 alunos por cerca de três semanas, identificando o rosto de cada aluno ao entrar na sala de aula, comparando a imagem capturada com uma foto do aluno previamente carregada e vinculando a imagem ao nome completo do aluno.

Os responsáveis ​​pelos alunos foram solicitados a dar, e deram, consentimento explícito e também tiveram a opção de excluir seus filhos do programa. O fato de o reconhecimento facial estar apenas em fase piloto na escola não afetou a decisão, pois as autoridades agiram imediatamente e tomaram uma decisão rápida.


O que podemos aprender com a decisão da escola sueca?


Existem pelo menos três lições principais da decisão da escola sueca e da multa associada.


  1. Lembre-se de aderir aos princípios de proteção de dados. Na Suécia, os princípios que regem o tratamento de dados pessoais foram violados e os dados pessoais foram tratados de forma mais extensa do que o necessário para a finalidade do tratamento. O reconhecimento facial foi considerado desproporcional para o controle de frequência, o que significa que o processamento de dados violou o princípio da proporcionalidade. Opções menos intrusivas estavam disponíveis.
  2. Avalie os fundamentos do processamento e a natureza do consentimento. De acordo com a autoridade sueca de proteção de dados, os dados coletados foram classificados como uma categoria especial de dados pessoais nos termos do artigo 9º do GDPR que permite a identificação única de uma pessoa. O tratamento de tais dados é proibido por regra. No entanto, o processamento é possível com base no consentimento explícito, que de fato foi obtido neste caso.


A autoridade de proteção de dados, no entanto, concluiu que o tratamento de dados baseado no consentimento explícito não era possível neste caso, devido à dinâmica de desequilíbrio de poder entre a escola e seus alunos (o responsável pelo tratamento e o titular dos dados) e à natureza unilateral do rastreamento de dados de presença.


Consequentemente, o consentimento não poderia ser considerado dado livremente na forma prevista pelo GDPR e, portanto, não constituía uma exceção válida à proibição de tratamento, abordada no Considerando 43 do GDPR.


  1. Realize a avaliação de impacto de proteção de dados corretamente e solicite uma consulta prévia se necessário. No caso do programa piloto de reconhecimento facial da escola sueca, a avaliação de impacto de proteção de dados (Artigo 35) e consulta prévia (Artigo 36) não foram essencialmente realizadas. A escola informou ter realizado uma análise de risco que considerou suficiente e, com base na análise de risco, a escola não considerou necessária a realização de análise de risco específica em relação aos dados pessoais.


A autoridade de proteção de dados afirmou que uma análise real de proteção de dados não foi realizada e concluiu que a avaliação realizada pela escola foi insuficiente. A avaliação não deu a devida consideração aos riscos aos direitos e liberdades do titular dos dados, nem incluiu uma avaliação da proporcionalidade entre os dados recolhidos e a finalidade da sua utilização.


A autoridade de proteção de dados concluiu ainda que não foi realizada uma avaliação de impacto nos termos do artigo 35.º e que não foi solicitada uma consulta prévia nos termos do artigo 36.º. Recorde-se que a consulta prévia só pode ser solicitada após a realização de uma avaliação de impacto.


Lembre-se dessas dicas importantes para evitar problemas de LGPD associados à tecnologia de reconhecimento facial, como aqueles que se abateram sobre a escola sueca.

Willian Gomes
Willian Gomes - 20/02/2024 01:02

Muito obrigado por compartilhar!