“Não se trata de frear o uso da tecnologia, mas, pelo contrário, adotá-la com prudência”.
No dia 14 de maio, São Francisco tornou-se a primeira grande cidade estadunidense a proibir o emprego de tecnologia de reconhecimento facial pelos órgãos governamentais locais.Tal vedação é parte de um regulamento mais amplo para fiscalização e controle da [1] vigilância estatal sobre os cidadãos da municipalidade. Assim, o uso de outras tecnologias de vigilância, como drones ou leitores automáticos de placas de carros, passa a ser submetido a um rigoroso processo de avaliação pela Câmara de Supervisão de São Francisco, que deve aprovar uma Portaria de Política de Tecnologia de Vigilância e um Relatório de Impacto de Vigilância para cada tecnologia requisitada, além de receber Relatórios de Impacto Anuais.
A iniciativa contrapõe-se ao avanço das tecnologias de vigilância e seu emprego por governos nos mais diversos campos – da vigilância em massa ‘’Orwelliana’’ na China a [2] usos corriqueiros pelos órgãos de segurança pública nos Estados Unidos a fim de monitorar multidões e capturar potenciais suspeitos de cometer crimes em protestos, shows e até shopping centers . As falhas nestes sistemas, que tendem a gerar um número preocupante [3] de falsos positivos, e os potenciais vieses discriminatórios que eles podem carregar, foram [4] um ponto crucial para a aprovação do regulamento, cuja justificação diz:‘’A propensão da tecnologia de reconhecimento facial de prejudicar direitos e liberdades civis supera os benefícios pretendidos’’.
O uso de reconhecimento facial pelos setores público e privado não é estranho ao Brasil, que viveu recentemente uma onda de debates a respeito após o emprego desta tecnologia por órgãos de segurança pública de algumas capitais, como Salvador e Rio de Janeiro[5] , durante o Carnaval. Desde julho de 2018, corre Inquérito Civil Público no [6] Ministério Público do Distrito Federal e Territórios (MPDFT) com o objetivo de analisar a legalidade do reconhecimento facial empregado pelo Facebook e, no âmbito deste inquérito, em março foi convocada Audiência Pública para debater o tema de forma ampla com diversos setores [7].
Nessa ocasião, que contou com a participação do Data Privacy Brasil, foi abordado o estado da arte desta discussão regulatória efervescente, que se organiza em torno de alguns eixos: pode-se citar, de um lado, uma abordagem que clama pelo banimento completo da tecnologia por apresentar um risco excessivo; no outro extremo, há aqueles que preconizam o estabelecimento de diretrizes éticas pelos próprios setores, em uma estratégia de autorregulação. Ao centro, propõe-se uma arquitetura precaucionária de danos, que impõe ao emprego da tecnologia de reconhecimento facial o cumprimento de deveres prévios, por parte de seus proponentes, a fim de mitigar eventuais malefícios.
Esta terceira abordagem relaciona-se a um aspecto mais geral da regulação da proteção de dados pessoais, que vem sofrendo uma mudança de paradigma: do foco na autodeterminação informacional do indivíduo a um modelo voltado para prevenção e gerenciamento de riscos criados pelas atividades de tratamento de dados. Partindo de [8] conceitos desenvolvidos no campo do Direito Ambiental, pode-se falar em incorporação de um princípio da precaução ao debate de proteção de dados pessoais. [9]
Este modelo já tem sido incorporado nas legislações, como evidencia a previsão de relatórios de impacto à proteção de dados pessoais/RIPDP, presente na normativa europeia, na própria recém-aprovada Lei Geral de Dados Pessoais (LGPD) e também em projetos de lei em âmbito internacional, com destaque para os Estados Unidos.
A despeito deste traço comum, a disciplina específica destes relatórios – se obrigatórios ou uma discricionariedade, se avaliados por um órgão independente ou não – varia muito, e com ela também varia o ônus sobre os detentores das tecnologias que envolvem coleta e tratamento de dados, inclusive biométricos. É dizer, a depender da forma com a qual os mecanismos para mitigação de riscos e garantia de accountability são desenhados, verifica-se uma aplicação mais ou menos forte do princípio da precaução, que é calibrado por quão prescritivas são as regulações em torno das quais procedimentos devem ser adotados para se prevenir a ocorrência de um malefício pela adoção dessa tecnologia.
A elaboração e apresentação de relatórios de impacto à proteção de dados pessoais é prescrita na LGPD em três ocasiões: o art. 38, que integra a seção relativa às figuras do controlador e do operador, determina que a autoridade nacional: ‘’poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial’’.
O parágrafo único, então, elenca alguns dos elementos que devem constar deste relatório, quando ele existir. O art. 32, que integra o capítulo referente ao Poder Público, prevê que a ‘’autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais’’. O art. 10, §3º, por fim, que trata da hipótese de legítimo interesse, estipula que, quanto ao uso desta base legal específica, novamente a autoridade nacional poderá requisitar do controlador relatório de impacto à proteção de dados pessoais.
Nota-se, portanto, que a LGPD apresenta um modelo de baixo grau de intensidade do princípio da precaução, além de janelas incipientes para a estruturação de um modelo de governança em torno da prevenção e mitigação de riscos. Isso porque (i) há baixa atribuição de deveres para os fornecedores e consumidores destas tecnologias, (ii) não há uma procedimentalização mínima de situações em que os RIPDs são obrigatórios (iii) não há previsão de que o controlador inicie uma conversa regulatória quando se deparar com uma situação de um risco não controlável, hipótese na qual notificaria os órgãos reguladores antes de lançar uso da tecnologia, a exemplo do que se encontra no RGPD, (iv) não há qualquer previsão que extrapole as figuras do controlador e operador e envolva neste diálogo outros setores da sociedade, inclusive representantes dos interesses dos titulares, etc; v) não há nortes em torno da metodologia pela qual tais análises de impacto deveriam ser estruturadas.
Outros graus de aplicação do princípio da precaução também podem ser observados em modelos regulatórios ao redor do mundo. O Regulamento Geral de Proteção de Dados da União Europeia, por exemplo, estabelece um modelo intermediário de aplicação ao prever que, ao se deparar com uma situação de alto risco que não pode ser mitigado, o controlador deve cessar o tratamento de dados e consultar a autoridade de proteção de dados pessoais.
No cenário norte-americano, o Algorithmic Accountability Act [10] – projeto de lei que 10 obriga a elaboração de relatórios de impacto à proteção de dados toda vez que se fizer uso de decisões automatizadas – também propõe a introdução de um modelo moderado de aplicação do princípio da precaução, já que, apesar da obrigatoriedade de RIPDs, dispensa a notificação da autoridade competente em situações de risco e incerteza e é silente quanto à necessidade de interrupção destas atividades.
O modelo aprovado em São Francisco, por outro lado, pode ser considerado uma aplicação forte do princípio da precaução, na medida em que além da procedimentalização dos relatórios e políticas de vigilância e da estruturação de um diálogo entre proponentes de tecnologia e a Câmara Supervisora, também envolve no circuito decisório a própria sociedade. Isso porque os parâmetros que devem orientar as decisões da Câmara sobre a aprovação ou não de determinada prática de vigilância, segundo o novo regulamento, serão desenvolvidos pelo Comitê de Tecnologia da Informação [11] , órgão composto pelas principais agências de serviço da cidade, que desenvolve políticas sobre tecnologia e segurança a partir dos inputs da comunidade, recebidos em reuniões periódicas.
As discussões regulatórias em São Francisco e outras localidades a respeito do emprego de novas tecnologias para vigilância lançam luz sobre a mudança de paradigma na regulação da proteção de dados pessoais: com tantas incertezas acerca dos usos e possibilidades dessas tecnologias, o foco desloca-se cada vez mais para a prevenção e mitigação de riscos. O princípio da precaução per se não fornece regras procedimentais a serem cumpridas, mas sim uma racionalidade para se regular a questão.
Não se trata de frear ou paralisar o uso da tecnologia em si, mas, pelo contrário, adotá-la com prudência a partir da utilização de ferramentas que minimizem os riscos e maximizem os benefícios do lançamento dessa tecnologia no meio ambiente. Nesse sentido, leis gerais de proteção de dados pessoais, leis setoriais de dados biométricos e de reconhecimento facial apresentam um ferramental precaucionário a ser analisado, cuja calibração variará a escala em baixa, moderada e alta. Esse é um debate regulatório em plena efervescência a ser acompanhado em âmbito nacional e internacional.
Texto original publicado em: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/regulacao-de-reconhecimento-facial-em-sao-francisco-25062019
Leia também:
Audiência pública discute o uso de ferramentas de reconhecimento facial por setores empresariais e governamentais.
[1] O regulamento aprovado pode ser acessado na íntegra, em inglês, no seguinte link:https://bit.ly/2VHzOeA
[2] Fonte: https://bit.ly/30vKL6r
[3] Fonte: https://nbcnews.to/2NVqU9v
[4]Fonte: https://bit.ly/2Jy5ktI
[5] Fonte: https://bit.ly/2X3qbrK
[6]Fonte: https://glo.bo/2EECJ2e
[7] Fonte: https://bit.ly/316Rnbx
[8] 8Essa é a conclusão de: WRIGHT, Elias. The Future of Facial Recognition Is Not Fully Known: Developing Privacy and Security Regulatory Mechanisms for Facial Recognition in the Retail Sector. In Fordham Intell. Prop. Media & Ent. L.J. 611 (2019). Available at: https://ir.lawnet.fordham.edu/iplj/vol29/iss2/6
[9] Originado em iniciativas de proteção ambiental, o princípio da precaução passou a fazer parte do direito alemão (Vorsorgeprinzip) na década de 1980, mas seu significado permanece em disputa até os dias atuais – tem-se notícia de pelo menos onze significados diferentes atribuídos a ele nos debates sobre políticas públicas. Uma das primeiras formulações é a da Declaração do Rio sobre Meio Ambiente e Desenvolvimento de 1992, segundo a qual a falta de certeza científica quanto a ameaças de dano “sério” ou “irreversível” não poderia ser usada como desculpa para não se empregar medidas para evitar danos ambientais. Já em 2000, um Comunicado da Comissão Europeia buscou esclarecer pontos a respeito da aplicação do princípio que vinham sendo disputados em tribunais ao redor da União Europeia. Segundo o documento, efeitos potencialmente perigosos de determinadas medidas, cuja avaliação científica não fornece grau suficiente de certeza, justificariam remédios que vão desde contratos e acordos legalmente definidos a projetos de pesquisa e recomendações. Em alguns casos, inclusive, a medida correta seria não fazer nada.
[10]Disponível em: https://www.wyden.senate.gov/imo/media/doc/Algorithmic%20Accountability%20Act%20of%202019%20Bill%20Text.pdf
[11] O site do comitê pode ser acessado no seguinte link: https://sfcoit.org/committee
Bruno Riciardo Bioni Doutorando em Direito Comercial e Mestre em Direito Civil pela Universidade de São Paulo. É Professor e Fundador do Data Privacy Brasil, além de ser consultor jurídico na área de privacidade e proteção de dados.
Mariana Rielli Advogada e graduada pela Universidade de São Paulo. Trabalhou no Centro de Referência Legal da ARTIGO 19 e atuou como consultora para a Alianza Regional por la Libre Expresión e Información. Atualmente cursa Especialização em Ciência Política na Fundação Escola de Sociologia e Política de São Paulo (FESP-SP) e é pesquisadora do Data Privacy Brasil
Maria Luciano Mestranda e Bacharela em Direito pela Universidade de São Paulo. Pesquisadora no InternetLab.