A detecção facial na linha 4 do metrô paulista e a LGPD

Nesse início de maio de 2021, vimos a falta que um órgão técnico faz em relação à privacidade e proteção de dados, tivemos uma decisão da justiça paulista na ação civil pública, proposta pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) em face da empresa Concessionária Da Linha 4 Do Metrô De São Paulo S.A. (Via Quatro), que foi frustrante em diversos aspectos da aplicação da LGPD.

A Via Quatro foi considerada responsável por violar a LGPD e o CDC ao utilizar dados biométricos de usuários do transporte público, sendo condenada a não coletar e tratar as referidas imagens e dados biométricos, sem prévio consentimento, bem como ao pagamento de indenização a título de dano moral coletivo pela utilização indevida da imagem dos consumidores.

Não estamos aqui defendendo o uso indevido de dados pessoais, cuja utilização indevida merece total coibição de nosso sistema legal, tendo em vista que a privacidade constitui um verdadeiro valor da sociedade moderna mundial. Entretanto, há que se lembrar o propósito da LGPD em proteger a privacidade das pessoas, assegurando que elas não sejam identificadas tão pouco o âmbito privado de suas vidas não seja acessado indevidamente.

Talvez a conduta da Via Quatro, ao instituir o sistema de monitoramento para detecção facial de emoções e perfil, possa atentar contra algum dos princípios da LGPD, mas a fundamentação da sentença carece de um entendimento profundo dos conceitos de privacidade ao citar os artigos da lei em completo descompasso da sua natureza jurídica.

Além disso, não podemos perder de vista que a LGPD colocou em pé de igualdade a proteção aos direitos e liberdades fundamentais dos titulares de dados pessoais em linha com o desenvolvimento econômico e tecnológico, a inovação e a livre iniciativa. A sociedade do século XXI possui muitas facilidades que não voltaremos atrás, mas a discussão da amplitude do uso de nossos dados pessoais é sempre relevante, pois cada vez mais as plataformas digitais oferecem facilidades aos usuários por conta do seu histórico de uso.

Obviamente também devemos considerar um ponto muito relevante, trazido pelas novas legislações, que visam regular o uso das tecnologias modernas como a LGPD, que é a transparência. Cada vez mais os serviços digitais e uso de tecnologias são chamados a oferecer a transparência como uma garantia aos usuários, por meio de informações claras, precisas e facilmente acessíveis, o que talvez tenha sido a maior falha da Via Quatro.

Antes de entrarmos nos aspectos da sentença é de suma importância entender os conceitos e diferenças de reconhecimento facial e detecção facial, pois os sistemas de reconhecimento facial usam detecção facial, mas nem todos os sistemas de detecção facial têm um componente de reconhecimento facial.

A detecção facial é a tecnologia capaz de identificar a presença do rosto das pessoas dentro de imagens digitais, por meio de algoritmos de aprendizado de máquina e outros para detectar rostos humanos em imagens. A detecção facial é um termo mais amplo do que o reconhecimento facial, pois representa apenas a capacidade de identificar que há um rosto humano presente em uma imagem ou vídeo.

A detecção facial tem várias aplicações, sendo apenas uma delas o reconhecimento facial, este sim pode confirmar a identidade, por meio da comparação com imagens em um banco de dados de registros armazenados.

Uma outra questão importante é o entendimento do conceito de dado pessoal, que é qualquer informação que possa tornar uma pessoa física identificada ou identificável, bem como de dados biométricos, previsto na LGPD como uma categoria especial de dados pessoais sensíveis, tendo em vista o elevado potencial discriminatório desses dados.

De fato, dados biométricos envolvem vários tipos como impressão digital, geometria da mão, reconhecimento de íris e retina, reconhecimento de voz e reconhecimento facial. Entretanto, a priori, os dados biométricos não envolvem a simples detecção facial, tendo em vista que os dados biométricos precisam estar vinculados a um indivíduo, como previsto na própria LGPD.

No tocante à sentença da Via Quatro, o primeiro ponto que causa estranheza é a aplicação da LGPD considerando que o fato ocorreu anteriormente à sua vigência. A sentença menciona que a empresa deixou de atribuir base legal para o tratamento dos dados pessoais, o que acaba por incorrer em retroatividade da Lei.

É certo, que a LGPD não se aplica apenas às novas bases de dados, sendo a adequação do legado um dos maiores desafios para as empresas, sem esquecer que incumbe à ANPD a tarefa de dirigir essa regulamentação, consoante artigo 63 da LGPD. Entretanto, não podemos confundir a obrigação das empresas, a partir do início da vigência da LGPD, em avaliar os tratamentos de dados existentes na empresa, eventualmente até interrompendo certos tratamentos, com a aplicação dos requisitos da lei em processo judicial iniciado antes da vigência da lei.

Vale lembrar que a LGPD não veio para impedir a inovação, sendo certo que os dados representam um ativo valiosíssimo para todas as empresas no desenvolvimento de seus negócios, desde que utilizados com governança e respeito aos indivíduos.

A sentença aplica de maneira imprecisa os conceitos de dado pessoal, dado pessoal sensível e dado anonimizado. Para se ter uma pequena ideia, a sentença considera que a detecção facial, mesmo sem identificar o indivíduo, já confrontaria com o conceito de dado biométrico, considerado dado pessoal sensível, com tratamento especial à luz da LGPD, o que, ao nosso ver, está bastante equivocado, nos termos esclarecidos acima.

Uma outra questão importantíssima seria o posicionamento da sentença de que as imagens "anonimizadas" demandariam o consentimento do titular para fins comerciais, considerando ainda a ausência de divulgação dessa imagem.

A LGPD deixa bem claro que os dados pessoais anonimizados não são considerados dados pessoais e podem ser utilizados livremente, desde que o processo de anonimização seja confiável e irreversível para não colocar a privacidade dos indivíduos em risco. Pergunta-se então, qual o direito à privacidade foi violado, se consideramos a premissa de que as imagens estão anonimizadas e que não há notícias de que qualquer pessoa tenha sido, por exemplo, contatada em razão das informações coletadas?

A utilização de informações anonimizadas para fins comerciais sem as informações de que estão sendo coletadas gera dano moral coletivo? Ao nosso ver soa estranha essa abordagem da sentença, tendo em vista que afronta a premissa de que o uso de qualquer informação não estará sujeito às determinações da LGPD, sempre que não seja possível identificar a quem se refere a informação.

Por qual motivo tal premissa não se aplicaria no caso de imagens? O mero fato de serem imagens, não significa que estejam sequer identificáveis e, além disso, é importante notar que tais informações não foram divulgadas pela empresa.

A detecção facial possui usos muito interessantes para monitorar pacientes que se movam em leitos de hospitais, por exemplo, o que ficaria inviabilizado segundo a interpretação dada à LGPD no caso da Via Quatro.

Um outro ponto interessante trazido à baila pela sentença se refere a importância da prova técnica em questões envolvendo proteção de dados, tendo em vista a importância da prova técnica de que não ocorre o reconhecimento facial, como alegado pela Via Quatro.

De fato, essa prova que caberia originalmente ao Idec, acabou tendo o ônus da prova atribuído à ré, até porque se o sistema que trata as imagens está sob a gestão da Via Quatro, não haveria outra forma de produzir essa prova. A não identificação das imagens não poderia efetivamente ser presumida, mas seja pela estratégia ou pela inercia da Via Quatro tal questão não ficou consignada de forma cristalina nos autos.

Por fim, um outro ponto que a sentença parece ter andado bem foi em relação a aplicação do CDC e o direito à informação. Isso porque, independente da aplicação da LGPD, caberia a Via Quatro ter dado transparência, pelo direito à informação ostensiva e clara. Ou seja, independente de estarmos individualizando o titular, mediante um reconhecimento facial, ou não, mediante a detecção facial, a transparência deveria ter sido privilegiada e o ambiente monitorado deveria ter um aviso a respeito inclusive com os objetivos e usos dados a essas imagens.

Sem prejuízo das críticas cabidas em razão de eventuais deslizes judiciais sobre questões técnicas da LGPD, é gratificante presenciar o desenvolvimento do tema, que ainda carece de muito debate e amadurecimento.