Biometria e Reconhecimento Facial – ANPD lança publicação sobre o tema

A Autoridade Nacional de Proteção de Dados (“ANPD”) lançou em 24 de junho de 2024 o segundo volume da publicação denominada “Radar Tecnológico”, sobre o tema “Biometria e Reconhecimento Facial”. A publicação é um estudo preparado pela ANPD, analisando aplicações e impactos dessa tecnologia, discutindo os riscos e desafios para a proteção de dados pessoais, sobretudo em vista da Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Inicialmente, a publicação busca definir o que seria o reconhecimento biométrico, colocando-o como uma análise técnica, realizada um por sistema automatizado, que identifica características fisiológicas (impressão digital, face, íris etc.) ou comportamentais (voz, expressão facial, modo de andar etc.) de um determinado indivíduo. A publicação adentra no conceito de template biométrico, colocando-o como base para verificação da identidade de alguém a partir do reconhecimento facial (foco do estudo), sendo o que fica verdadeiramente armazenado, no formato de hash, na base de dados do sistema que faz o reconhecimento.

Nesse sentido, o reconhecimento facial, como uma das modalidades desse reconhecimento biométrico, possuiria três propósitos principais: (i) apenas detectar a presença de pessoas, (ii) identificar um indivíduo singularmente e (iii) classificar esses indivíduos sobretudo em função dos seus aspectos comportamentais. A publicação ainda indica o uso na área de neurotecnologia, sobretudo a partir de técnicas de brain-computer interface (BCI), já utilizada bastante na área médica e com progressos significativos nos últimos anos.

A ANPD frisa diversas vezes a utilização de tecnologias de inteligência artificial (“IA”), que contribuem positivamente para a acurácia de sistema de identificação biométrica, a partir do treinamento com base em grande quantidade de dados.

Nesse sentido, é essencial apontar que o Regulamento de Inteligência Artificial da União Europeia (“EU AI Act”) proíbe, por exemplo, a utilização de sistemas biométricos de IA voltados a inferir emoções de um indivíduo dentro de ambiente de trabalho ou de instituições de ensino. Da mesma forma, o EU AI Act bane sistemas biométricos de IA que buscam categorizar pessoas naturais baseados em sua raça, por exemplo.

Ainda nesse ponto, no art. 14, XI da última versão do PL 2.338/2023 (Lei de Inteligência Artificial brasileira), conforme substitutivo constante do Relatório Legislativo publicado em 18.06.2024 pelo relator Senador Eduardo Gomes, sistemas de identificação e autenticação biométrica para o reconhecimento de emoções são considerados de alto risco (ou seja, não são banidos).

Quanto ao aspecto legal, a publicação frisa que dados biométricos são considerados sensíveis, segundo o art. 5º, II da LGPD, o que atrai um risco maior para o seu tratamento. Diante do panorama acima, incluindo-se identificação e possível classificação de indivíduos a partir de neurotecnologia, as preocupações e riscos de proteção de dados e privacidade são notáveis.

No quesito de riscos legais, a ANPD reforçou ainda os possíveis vieses contidos nas bases de dados de treinamentos dos sistemas de reconhecimento facial, que podem levar a discriminação de indivíduos, bem como a questão de possíveis vazamentos dos templates biométricos que, diante da difusão do seu uso, poderia levar mais facilmente a roubos de identidade ou fraudes financeiras, por exemplo.

Nitidamente a maior preocupação da ANPD ao decorrer da publicação é com relação a função de identificar indivíduos das tecnologias de reconhecimento facial, frisando a sua múltipla funcionalidade, seja em controle de fronteiras, segurança pública, prevenção de fraudes, entre outros. Porém, o grande foco da publicação é com relação ao uso voltado para segurança pública, na vigilância em massa, em que diversos casos foram analisados pela ANPD, identificando os possíveis riscos e impactos para os indivíduos.

Nesse aspecto, o EU AI Act também baniu o uso de sistemas de IA de identificação biométrica, em tempo real, em espaços públicos, com algumas exceções tais como se a finalidade for identificar uma pessoa suspeita de ter cometido um crime, ou para realizar uma investigação criminal. Da mesma forma, o art. 13, VII da última versão da Lei de Inteligência Artificial brasileira proíbe sistemas de identificação biométrica à distância, em tempo real e em espaços acessíveis ao público, com algumas exceções como para busca de vítimas de crimes, de pessoas desaparecidas ou em circunstâncias que envolvam ameaça grave e iminente à vida ou à integridade física de pessoas naturais.

Importante frisar que a utilização de tecnologia de vigilância baseada em biometria facial é controversa em nível global, tanto que a Anistia International (Amnesty International), a Human Rights Watch e outras 180 organizações e especialistas pedem o banimento desses sistemas.¹

A própria Federal Trade Comission (FTC) já determinou² o banimento por cinco anos do uso de tecnologia de reconhecimento facial, utilizada para vigilância de lojas de uma rede de farmácias, por indicar falsos-positivos para pessoas que estariam furtando ou realizando algum outro ato ilegal nas dependências desses estabelecimentos. Essa tecnologia acabou discriminando determinadas pessoas, sobretudo em virtude de cor, o que levou à decisão da FTC.

A publicação da ANPD não traz indicações mais claras a respeito de medidas que companhias, que utilizam tecnologia de reconhecimento facial, poderiam implementar. Porém, como a própria ANPD afirma, esse estudo é apenas um pontapé no tema dentro da autoridade, da qual se espera um guidance mais específico em breve.

¹ https://edri.org/wp-content/uploads/2023/09/Global-statement-Stop-facial-recognition-now.pdf

² https://www.ftc.gov/news-events/news/press-releases/2023/12/rite-aid-banned-using-ai-facial-recognition-after-ftc-says-retailer-deployed-technology-without