Excelente tema Fábio.
Trabalhei com reconhecimento facial durante a epidemia de Covid e durante essa experiência objetivamos implementar um sistema de reconhecimento de proximidade e contato entre pessoas em uma fábrica.
Foi super interessante abordar os pontos de como as imagens ficariam gravadas para comprovação do contato ou proximidade. Durante as discussões percebemos que era desproporcional gravarmos as imagens já que o objetivo era alertar as áreas onde esses contatos estavam acontecendo para que evitassem a proximidade naquela época muito perigosa para contágio. Se nosso objetivo era alertar e não punir, não era necessário gravar a imagem, apenas processar a mesma e descartá-la após as medições de proximidade entre pessoas feitas em Python com OpenCV.
Isso me fez estar sempre atento ao principio da proporcionalidade, onde a necessidade de ter a imagem tem que ser suficiente para justificar que ela seja salva, coisa que nesse caso não era.
Li um artigo interessante sobre isso recentemente e traduzi para acrescentar ao tema.
----------------------------------------------------
Uma história de Advertência: Escola sueca multada por programa piloto de reconhecimento facial mesmo após obter "consentimento"
Em uma decisão proferida em agosto de 2019, a autoridade sueca de proteção de dados, Datainspektion, concluiu que um programa piloto de reconhecimento facial realizado por uma escola violou o GDPR e impôs uma multa de cerca de € 20.000 à escola. No programa piloto, a escola monitorou a frequência de 22 alunos por cerca de três semanas, identificando o rosto de cada aluno ao entrar na sala de aula, comparando a imagem capturada com uma foto do aluno previamente carregada e vinculando a imagem ao nome completo do aluno.
Os responsáveis pelos alunos foram solicitados a dar, e deram, consentimento explícito e também tiveram a opção de excluir seus filhos do programa. O fato de o reconhecimento facial estar apenas em fase piloto na escola não afetou a decisão, pois as autoridades agiram imediatamente e tomaram uma decisão rápida.
O que podemos aprender com a decisão da escola sueca?
Existem pelo menos três lições principais da decisão da escola sueca e da multa associada.
- Lembre-se de aderir aos princípios de proteção de dados. Na Suécia, os princípios que regem o tratamento de dados pessoais foram violados e os dados pessoais foram tratados de forma mais extensa do que o necessário para a finalidade do tratamento. O reconhecimento facial foi considerado desproporcional para o controle de frequência, o que significa que o processamento de dados violou o princípio da proporcionalidade. Opções menos intrusivas estavam disponíveis.
- Avalie os fundamentos do processamento e a natureza do consentimento. De acordo com a autoridade sueca de proteção de dados, os dados coletados foram classificados como uma categoria especial de dados pessoais nos termos do artigo 9º do GDPR que permite a identificação única de uma pessoa. O tratamento de tais dados é proibido por regra. No entanto, o processamento é possível com base no consentimento explícito, que de fato foi obtido neste caso.
A autoridade de proteção de dados, no entanto, concluiu que o tratamento de dados baseado no consentimento explícito não era possível neste caso, devido à dinâmica de desequilíbrio de poder entre a escola e seus alunos (o responsável pelo tratamento e o titular dos dados) e à natureza unilateral do rastreamento de dados de presença.
Consequentemente, o consentimento não poderia ser considerado dado livremente na forma prevista pelo GDPR e, portanto, não constituía uma exceção válida à proibição de tratamento, abordada no Considerando 43 do GDPR.
- Realize a avaliação de impacto de proteção de dados corretamente e solicite uma consulta prévia se necessário. No caso do programa piloto de reconhecimento facial da escola sueca, a avaliação de impacto de proteção de dados (Artigo 35) e consulta prévia (Artigo 36) não foram essencialmente realizadas. A escola informou ter realizado uma análise de risco que considerou suficiente e, com base na análise de risco, a escola não considerou necessária a realização de análise de risco específica em relação aos dados pessoais.
A autoridade de proteção de dados afirmou que uma análise real de proteção de dados não foi realizada e concluiu que a avaliação realizada pela escola foi insuficiente. A avaliação não deu a devida consideração aos riscos aos direitos e liberdades do titular dos dados, nem incluiu uma avaliação da proporcionalidade entre os dados recolhidos e a finalidade da sua utilização.
A autoridade de proteção de dados concluiu ainda que não foi realizada uma avaliação de impacto nos termos do artigo 35.º e que não foi solicitada uma consulta prévia nos termos do artigo 36.º. Recorde-se que a consulta prévia só pode ser solicitada após a realização de uma avaliação de impacto.
Lembre-se dessas dicas importantes para evitar problemas de LGPD associados à tecnologia de reconhecimento facial, como aqueles que se abateram sobre a escola sueca.
