Opinião & Análise

Análise

A tecnologia de reconhecimento facial aplicada à segurança pública

Breves considerações face às leis de proteção de dados europeia e brasileira

Imagem: Pixabay

A biometria é a ciência da análise de características, físicas ou comportamentais, reconhecíveis e específicas de cada indivíduo que pode ser utilizada para fins de autenticação ou identificação.

Na biometria de autenticação, o processo consiste em comparar o conjunto de dados do indivíduo com o “modelo” biométrico armazenado para determinar a semelhança. Nesta aplicação, a pergunta a ser respondida é: Você é de fato quem diz ser?

Na biometria de identificação, por sua vez, o objetivo é capturar um item de dado biométrico e compará-lo aos dados biométricos de vários outros indivíduos mantidos em um banco de dados. Neste modelo, a questão é simples: Quem é você?

A tecnologia de reconhecimento facial automatizado (“RFA”) pode e vem sendo utilizada em ambas as aplicações, sendo uma das fortes tendências do mercado da biometria, o qual deverá atingir 50 bilhões de dólares até 2024, de acordo com relatório elaborado pela Global Markets Insights1.

O RFA consiste em uma tecnologia de identificação biométrica realizada a partir da coleta de dados faciais provenientes de fotografias ou segmentos de vídeo. Em sua grande maioria, estes sistemas operam extraindo representações matemáticas de traços faciais específicos, como a distância entre os olhos e o formato do nariz, a partir das quais se produz um padrão facial. Ao comparar o padrão de um rosto específico a outros contidos numa base de dados prévia, pode-se identificar indivíduos desconhecidos ou autenticar pessoas conhecidas.

Em razão das inúmeras possibilidades de desenvolvimento humano suscitadas pelo RFA, é crescente o número de empresas e órgãos governamentais que o têm incorporado às suas operações.

De acordo com recente estudo publicado pelo Instituto Igarapé, no Brasil o reconhecimento facial vem sendo utilizado desde 2011, mas se tornou especialmente popular em 20192. Uma das áreas em que esse interesse tem emergido com maior proeminência é a Segurança Pública, como restou evidenciado no último Carnaval, quando a tecnologia foi utilizada pelo Estado no combate à criminalidade.

A título exemplificativo, os resultados obtidos pela tecnologia no Carnaval do Rio de Janeiro – oito mandados de prisão cumpridos em dez dias – foram classificados como um “sucesso” pelo Governador do Estado, fazendo com que o uso do RFA venha sendo, desde então, ampliado paulatinamente para outras situações3.

Ocorre que, de encontro às vantagens aparentemente imediatas decorrentes de sua aplicação, o RFA vem ensejando importantes discussões sobre potenciais riscos e usos negativos.

Um dos problemas mais elementares que envolve esta tecnologias diz respeito à sua eficácia.

Sistemas de reconhecimento facial apresentam resultados significativos quando as imagens analisadas são fotografias frontais com boa iluminação e resolução. Todavia, como expõe um relatório da Electronic Frontier Foundation (“EFF”)4, as taxas de acerto dos sistemas são reduzidas notoriamente quando analisadas imagens com resolução baixa e provenientes de segmentos de vídeo, assim como devido a variações na iluminação, fundo da imagem, pose, expressão facial, sombras e distância da câmera.

As semelhanças faciais num mesmo contingente populacional também fazem com que, quanto maior a base de dados utilizada, maior seja a probabilidade de falsos positivos – ocorrências em que o sistema atribui incorretamente o rosto analisado a outro ao qual ele não corresponde de fato.

Há, ainda, a preocupação de que os algoritmos possam estar sujeitos a preconceitos e parcialidades. Muitas situações reais e recentes ilustram esta discussão, como o algoritmo de reconhecimento de imagens do Google que categorizou dois amigos negros como “gorilas”5 ou quando uma câmera da Nikon, projetada para detectar quando alguém pisca, insistiu que os olhos de uma mulher asiática estavam fechados6.

Esses erros afetam especialmente minorias raciais e mulheres, conforme indicado por pesquisas atuais7 – uma das quais chega a evidenciar taxas de falso positivo de 40% para pessoas não-caucasianas, em comparação com apenas 5% para pessoas brancas.

O viés é agravado no campo da Segurança Pública, devido às relações históricas de desigualdade que conformam as condições de produção de muitas das bases de dados utilizadas. É possível que populações socialmente vulneráveis sejam sujeitas à automatização de constrangimentos e violências, como abordagens policiais indevidas e atribuição inverídica de antecedentes criminais.

O RFA levanta também questões intrínsecas às proteções fundamentais de direitos humanos como privacidade e liberdade de expressão, que aumentam a responsabilidade das empresas criadoras destas tecnologias, ao mesmo tempo em que exigem do Estado uma maior ponderação quanto à sua regulamentação e aplicações aceitáveis.

Basta imaginar situações – infelizmente não tão ficcionais – em que o Estado possa rastrear seus cidadãos em todos os lugares que frequentam, ou manter bancos de dados com informações de participantes de manifestações políticas.

Diante desse contexto, há um consenso sendo gradualmente produzido a respeito de certos fundamentos éticos que devem ser observados no uso de RFA. No setor privado, por exemplo, empresas como Microsoft8 e Amazon9 já vêm reconhecendo a necessidade de regulamentação ampla e baseada em ideais de transparência pública, consentimento, respeito ao devido processo legal, precisão e não-discriminação.

De fato, a preocupação com a tecnologia de reconhecimento facial não é vã filosofia. Mais do que qualquer outro sistema biométrico, a coleta de imagens de nossos rostos pode ser facilmente realizada sem consentimento ou mesmo ciência, abrindo margem para uma vigilância biométrica coletiva, não-consentida e oculta.

Não obstante sua importância e características únicas se comparadas a outros tipos de dados pessoais e sensíveis – com destaque para a imutabilidade, a regulamentação legal das informações biométricas é bastante esparsa e, no mais das vezes, baseia-se em disposições relativas à proteção de dados pessoais e privacidade em sentido amplo, o que é incapaz de responder a uma série de questões que lhes são específicas.

O EU General Data Protection Regulation 2016/679 (“GDPR”), regulamento europeu de aplicação extraterritorial em vigor desde 25 de maio de 2018, enquadra dados biométricos em “categorias especiais de dados pessoais” e estabelece, a princípio, que seu tratamento com a finalidade de “identificar exclusivamente uma pessoa natural” seria proibido.

No entanto, além das exceções para tratamento destes dados já trazidas no artigo 9º, item (2), o artigo 2º, item 2(d) expressamente dispõe que o regulamento em questão não se aplica ao tratamento de dados pessoais “[e]fetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública”.

É importante esclarecer, neste ponto, que a norma supratranscrita não isenta o Estado de observar e proteger os direitos dos indivíduos relativos a seus dados pessoais e privacidade. Pelo contrário, a Consideranda (51) do GDPR é cristalina em determinar que “[p]ara além dos requisitos específicos para este tipo de tratamento, os princípios gerais e outras disposições do presente regulamento deverão ser aplicáveis, em especial no que se refere às condições para o tratamento lícito (…) (grifos nossos).

De forma bastante similar ao GDPR, nossa Lei Geral de Proteção de Dados (“LGPD”), promulgada em 14 de agosto de 2018, classifica dados biométricos como sensíveis (art. 5º, II) e prevê também a não aplicação da Lei em caso de tratamento de dados pessoais realizado para fins exclusivos de segurança pública e atividades de investigação e repressão de infrações penais (artigo 4º, III, “a” e “d”), o qual deverá ser regido por lei específica.

Outrossim, o mesmo dispositivo da legislação também define expressamente que a legislação específica “deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei” (art. 4º, §1º).

É bastante factível que o monitoramento contínuo, oculto e não consentido implicado pela implementação de reconhecimento facial em locais públicos possa transmutar-se em verdadeira ameaça aos princípios previstos na LGPD e, até mesmo, a outras garantias constitucionais que tutelam a privacidade e os dados pessoais.

A título ilustrativo, e utilizando novamente o Rio de Janeiro para tanto, vale mencionar a notícia, veiculada em diversos jornais de grande circulação, de que, no último dia 9 de julho, uma mulher foi detida por engano em Copacabana, após ter sido confundida pelo sistema de reconhecimento facial da Polícia Militar.

Os policiais acreditavam estar prendendo uma foragida da Justiça, acusada pelos crimes de homicídio e ocultação de cadáver. Um detalhe importante: a verdadeira procurada está presa desde 2015, informação que a Polícia Militar, responsável pela operação do sistema, simplesmente desconhecia10.

Em nota oficial sobre o ocorrido, a Polícia Militar explicou que as câmeras trabalham com uma estatística de reconhecimento (70% de possibilidade de ser a pessoa procurada) e que, “pelo princípio da presunção da inocência e como em qualquer ação policial, reforçamos o compromisso com o total respeito às garantias constitucionais de todos os cidadãos”11.

Há discussões extremamente densas que circundam este caso concreto, como o percentual de acurácia que torna admissível o uso da tecnologia RFA e a importância da qualidade da base de dados para o desenvolvimento e aplicabilidade da biometria de identificação, questões que ganham exponencial relevância quando o uso da tecnologia traz reais riscos a direitos fundamentais.

Não obstante, diante da flagrante crise na segurança pública e de sua intrínseca relação com o sistema carcerário brasileiro12, o mais simples e imediato dos questionamentos pode ser: será mesmo que foram observadas as garantias constitucionais da mulher detida por engano?

Outro ponto de preocupação no que diz respeito ao tratamento de dados para fins de Segurança Pública é que este tratamento nem sempre será feito exclusivamente pelo Poder Público.

Considerando que são empresas privadas que usualmente fornecem a tecnologia usada pelo Estado, como garantir que elas não tratem os dados para finalidades diversas da Segurança Pública?

A título exemplificativo, no experimento promovido durante o Carnaval de 2019 pela Polícia Militar do Estado do Rio de Janeiro (“PMERJ”), os dados foram tratados pela Oi e – estranhamente – a “custo zero” e sem esclarecimentos quanto a quem exatamente teria acesso às gravações, se elas poderiam ser repassadas para outros sistemas além da PMERJ e por quanto tempo elas ficarão armazenadas.

A LGPD procura endereçar este ponto no artigo 4º, §2º, ao afirmar que “[é] vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo”.

Por sua vez, o artigo 4º, § 4º estabelece que “[e]m nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público”, redação esta trazida pela Lei nº 13.853, de 8 de julho de 2019.

Ora, em um país cuja cultura de proteção de dados ainda engatinha, a expectativa é de que essas normas legais somente terão eficácia se combinadas com mecanismos externos e internos de participação da sociedade civil, proteções institucionais a denunciantes de violações e afastamento do sigilo comercial quando tais tecnologias sejam usadas pelo Estado.

Um dos fundamentos basilares das leis de proteção de dados pessoais é que estes sejam tratados ​​de forma legal, justa e transparente. Colocando estes fundamentos em perspectiva, é correto afirmar que, ao tratar dados decorrentes de reconhecimento facial, o Estado deve se dedicar não apenas ao seu gerenciamento seguro e adequado, mas também a usá-los para seu propósito declarado.

Além disso, quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais, a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (“DPIA”) deve ser obrigatória, preliminarmente ao tratamento.

O GDPR declara que o DPIA se aplica a tratamentos que utilizem novas tecnologias e que resultem em um alto risco aos direitos e liberdades individuais (artigo 35, item 1), sendo evidente, diante de todo o exposto acima, que a tecnologia de reconhecimento facial enquadrar-se-ia nesta obrigação.

A LGPD é também bastante explícita, ao dispor em seu artigo 4º, §3º que “[a] autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais (grifos nossos).

Com isso, embora possa utilizá-lo para fins de segurança pública e atividades de investigação e repressão de infrações penais, o Estado deve observar severamente os princípios e fundamentos basilares das leis de proteção de dados pessoais, sendo altamente recomendável a realização de um Relatório de Impacto à Proteção de Dados Pessoais (“DPIA”) antes do tratamento de dados, mesmo que a LGPD ainda não esteja em vigor.

O RFA, em última análise, possui tanto potencial para benefícios sociais quanto para autoritarismo e desvirtuamento, razão pela qual é cercado por preocupações éticas, regulatórias e políticas. Não esqueçamos que os direitos e liberdades civis possuem amparo constitucional e deve(ria)m ser invioláveis, nos termos do artigo 5º, caput, de nossa Magna Carta.

Fontes e leis aplicáveis

Lei Geral de Proteção de Dados (Lei 13.709/2018);

EU General Data Protection Regulation (“GDPR”);

Biometrics: authentication and identification (2019). Acesso em 14 de julho de 2019. Disponível em: https://www.gemalto.com/govt/inspired/biometrics

EVELETH, Rose. O preconceito inerente à tecnologia de reconhecimento facial. Acesso em 14 de julho de 2019. Disponível em: https://motherboard.vice.com/pt_br/article/d7dakz/o-preconceito-inerente–tecnologia-de-reconhecimento-facial

RODRIGUES, Gustavo. Reconhecimento Facial na Segurança Pública: Controvérsias, riscos e regulamentação. Acesso em 14 de julho de 2019. Disponível em: http://irisbh.com.br/reconhecimento-facial-na-seguranca-publica-controversias-riscos-e-regulamentacao/

—————————————————————–

1 BHUTANI, Ankita; BHARDWAJ, Pallavi. Biometrics Market Size By Application (Banking & Finance, Consumer Electronics, Defense Services, Government, Transportation, Healthcare), By Product (AFIS, Non-AFIS, Hand Geometry, Signature, Voice, Iris, Face), Industry Analysis Report, Regional Outlook (U.S., Canada, UK, Germany, France, Russia, China, India, Japan, South Korea, Mexico, Brazil), Application Potential, Price Trends, Competitive Market Share & Forecast, 2017 – 2024. Acesso em 14 de julho de 2019. Disponível em: https://www.gminsights.com/industry-analysis/biometrics-market

2 INSTITUTO IGARAPÉ. Reconhecimento Facial no Brasil. Acesso em 14 de julho de 2019. Disponível em: https://igarape.org.br/infografico-reconhecimento-facial-no-brasil/

3 UOL TECNOLOGIA. “Big Brother Rio”: reconhecimento facial usado no Carnaval será ampliado. Acesso em 14 de julho de 2019. Disponível em:

https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/03/30/big-brother-rio-reconhecimento-facial-usado-no-carnaval-sera-ampliado.htm?cmpid=copiaecola

4 LYNCH, Jennifer. Face Off: Law Enforcement Use of Face Recognition Technology. Acesso em 14 de julho de 2019. Disponível em: https://www.eff.org/wp/law-enforcement-use-face-recognition

5 GRUSH, Loren. Google engineer apologizes after Photos app tags two black people as gorillas. Acesso em 14 de julho de 2019. Disponível em: https://www.theverge.com/2015/7/1/8880363/google-apologizes-photos-app-tags-two-black-people-gorillas

6 ROSE, Adam. Are Face-Detection Cameras Racist? Acesso em 14 de julho de 2019. Disponível em: http://content.time.com/time/business/article/0,8599,1954643,00.html

7 WHITTAKER, Meredith et al. AI Now Report 2018. Acesso em 14 de julho de 2019. Disponível em: https://ainowinstitute.org/AI_Now_2018_Report.pdf

8 SMITH, Brad. Facial recognition: It’s time for action. Acesso em 14 de julho de 2019. Disponível em: https://blogs.microsoft.com/on-the-issues/2018/12/06/facial-recognition-its-time-for-action/

9 PUNKE, Michael. Some Thoughts on Facial Recognition Legislation. Acesso em 14 de julho de 2019. Disponível em: https://aws.amazon.com/pt/blogs/machine-learning/some-thoughts-on-facial-recognition-legislation/

10 WERNECK, Antonio. Reconhecimento facial falha em segundo dia, e mulher inocente é confundida com criminosa já presa. Acesso em 14 de julho de 2019. Disponível em:

https://oglobo.globo.com/rio/reconhecimento-facial-falha-em-segundo-dia-mulher-inocente-confundida-com-criminosa-ja-presa-23798913

11 G1 Rio. Sistema de reconhecimento facial da PM do RJ falha, e mulher é detida por engano. Acesso em 14 de julho de 2019. Disponível em: https://g1.globo.com/rj/rio-de-janeiro/noticia/2019/07/11/sistema-de-reconhecimento-facial-da-pm-do-rj-falha-e-mulher-e-detida-por-engano.ghtml

12 REIS, Ana Luiza Fontoura; BARBOSA, Igor de Andrade. A crise da segurança pública e sua relação direta com o sistema carcerário brasileiro. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 24n. 577625 abr. 2019. Acesso em: 13 jul. 2019. Disponível em: https://jus.com.br/artigos/73359.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito