• Agnes Kalil

O tratamento indiscriminado de dados biométricos: caso ViaQuatro

As facilidades de desbloqueio de aplicativos por meio de dados biométricos se tornaram regra entre os eletrônicos. Ainda, muitos estabelecimentos – tais como condomínios (residencial e comercial) e academias de ginásticas – e até mesmo serviços públicos (título de eleitor e CNH) passaram a adotar a biométrica como forma de acesso e identificação.


No dia 07/05/21, a Justiça de São Paulo julgou parcialmente procedentes os pedidos feitos em ação movida pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) contra a ViaQuatro – concessionária que administra a Linha 4-Amarela do Metrô de São Paulo. A sentença condenou a empresa a cessar o tratamento dos dados biométricos dos usuários do metrô, que estavam sendo realizado sem o devido consentimento.

Embora ainda caiba recurso, a referida decisão é um avanço para a criação de uma cultura de proteção de dados no Brasil. A matéria de hoje irá explicar o caso, bem como mostrar os riscos da coleta indiscriminada de dados biométricos.


O que são dados biométricos?


Dado biométrico é todo aquele relacionado a características físicas ou comportamentais dos seres vivos, de forma a identificá-los unicamente. São exemplos de dados biométricos: impressão digital; reconhecimento facial, de íris, de voz, de retina e de digitação; arcada dentária; dentre outras características corporais, tais como o seu modo de andar, manias de movimentação, expressões faciais, estética etc. Esses dados pessoais são classificados pela Lei Geral de Proteção de Dados Pessoais (LGPD) como sensíveis.



Irregularidade no tratamento de dados biométricos: caso ViaQuatro


Em 2018, a ViaQuatro anunciou a instalação de portas de plataforma interativas nas estações Luz, Paulista e Pinheiros, com funcionamento durante todo o horário de operação da linha. Segundo a empresa, a tecnologia implementada nessas portas consiste em uma lente com um sensor que “reconhece a presença humana e identifica a quantidade de pessoas que passam e olham para tela”. A ferramenta aparentemente inofensiva objetiva a identificação de emoção (raiva, alegria, neutralidade etc.), gênero e faixa etária das pessoas posicionadas em frente ao sensor.


Essa pesquisa de mercado automatizada, sem a autorização do participante, funciona da seguinte forma: o sensor é posicionado acima da publicidade a ser exibida na porta interativa, de modo a captar e identificar a emoção do usuário do transporte público. O procedimento permite a obtenção de receita por meio da venda desses dados para terceiros, os quais poderão direcionar suas estratégias de publicidade a partir das reações identificadas.


Para facilitar a visualização dos processos de tratamento de dados pessoais adotados pela ViaQuatro, utilizo o esquema criado pelo Instituto de Referência em Internet e Sociedade - IRIS (parecer anexado ao processo), o qual representa a cadeia de tratamento como um todo: desde a extração de informações sobre a reação dos usuários, passando pelo processamento por meio do algoritmo de inteligência artificial da AdMobilize, até a otimização de novas publicidades expostas no metrô.

O IDEC, ao tomar ciência da prática abusiva, ajuizou Ação Civil Pública em face da Concessionária da Linha 4 do Metrô de São Paulo S.A (ViaQuatro), a fim de obrigá-la, dentre outros pedidos, a cessar a coleta de dados dos usuários do transporte público, sem a comprovação do devido consentimento do consumidor. (Processo nº 1090663-42.2018.8.26.0100, 37ª Vara Cível do Foro Central, da Comarca de São Paulo/SP).


Ainda, o IDEC requereu a condenação da ViaQuatro a pagar indenização a título de danos coletivos (artigo 6º, inc. VI, CDC), em valor não inferior a R$100 milhões a ser revertido para o Fundo de Defesa de Direitos Difusos, com a finalidade de financiar projetos relacionados à proteção e defesa do consumidor e privacidade digital.


A sentença proferida pelo juízo da 37ª Vara Cível do Foro Central, da Comarca de São Paulo/SP, condenou a ViaQuatro (pág. 2298 dos autos): I. a se abster de captar as imagens, sons e quaisquer outros dados pessoais dos consumidores usuários, através das câmeras ou outros dispositivos envolvendo os equipamentos instalados na Linha 4 Amarela do metrô, sem consentimento prévio do consumidor; II. a solicitar o consentimento dos titulares de dados pessoais, caso volte a realizar o tratamento; III. ao pagamento de indenização por danos morais coletivos no valor de R$100 mil, a ser revertido ao Fundo de Defesa de Direitos Difusos. Informa-se que ambas as partes já apresentaram Embargos de Declaração.


É interessante destacar que, embora a Lei nº 13.709/2018 (LGPD) tenha entrado em vigor em setembro/2020, ou seja, após o início do tratamento abusivo de dados pessoais realizado pela ViaQuatro, a norma foi utilizada durante a fundamentação em todo o processo, inclusive pelos terceiros participantes: Defensoria Pública, Ministério Público, Instituto Alana (objetiva a proteção da criança) e IRIS.

Na sentença, a Magistrada destaca que, apesar da LGPD “[...] ser posterior ao início da captação das imagens objeto dos autos, a questão concernente à obrigação de fazer e de não fazer pleiteada pela autora e do tratamento dos dados captados, com efeitos futuros, está submetida à sua regência.” (pág. 2290 dos autos).

Desse modo, é inegável que o referido caso, em especial os pareceres das entidades interessadas e a sentença, embasa o início de uma cultura de proteção de dados pessoais, tanto no meio social em geral quanto no próprio Judiciário, que está sendo chamado a se posicionar antes mesmo da vigência da LGPD e da criação de orientações pela Autoridade Nacional de Proteção de Dados (ANPD).



Fonte imagem: Freepik


Sempre questione a necessidade de coleta do dado


O tratamento de dados sensíveis não deve ser realizado de forma entusiástica, apenas pela disponibilização de tecnologias que, em um primeiro momento, revolucionam o modo de identificação pessoal. É necessária, dentre outros fatores, a transparência da empresa quanto: a necessidade e finalidade dos dados pessoais coletados; os níveis de segurança adotados no armazenamento desses dados, com o objetivo de evitar vazamentos e invasões; o compartilhamento ou não desses dados com terceiros.


O reconhecimento facial é capaz de captar a imagem de um rosto e interpretá-la de maneira a determinar suas emoções, o direcionamento do seu olhar, gênero, idade aproximada e sua origem racial ou étnica. Além disso, pode gerar um ID (código de identificação único) à pessoa analisada.


Segundo o IDEC, a partir do momento em que um sistema de reconhecimento facial é capaz de analisar os pontos de referência de um rosto, ele realiza tratamento de dados sensíveis, especificamente, um dado biométrico. Dentre os riscos existentes no tratamento desses dados, estão:

1. Vazamento: os dados biométricos, caso vazados, não podem ser substituídos como uma senha de dígitos, por exemplo, fato que expõe ainda mais o seu titular a fraudes e exposições públicas indesejadas da sua imagem;

2. Discriminação: informações de gênero, raça e faixa etária podem ser extraídas dos dados biométricos, o que facilita a classificação de perfis dos titulares, favorecendo determinado grupo de pessoas. Um exemplo é a utilização, para seleção emprego, de algoritmos que possuem como referência um banco de dados constituído majoritariamente por pessoas de pele branca. Nesse caso, a precisão do algoritmo será reduzida quando usada para identificar pessoas de pele negra, gerando resultados discriminatórios.


Vale lembrar que o ano de 2021 já foi marcado com o maior vazamento de dados da história nacional, seguido por outros incidentes, todos ainda não solucionados. Mais de 220 milhões de brasileiros tiveram seus dados pessoais expostos, os quais variam entre as 37 categorias identificadas até o momento. O nível de exposição do cidadão é cada vez maior e, enquanto a fiscalização não acompanha a velocidade das violações, é essencial que todos sejamos mais cuidadosos com os próprios dados, questionando sempre a necessidade de cadastrá-los.


A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor, sendo que as penalidades administrativas serão aplicadas a partir de agosto/2021, com previsão de multas no valor de até R$50 milhões por infração. Já implementou o projeto de adaptação no seu negócio?



Agnes Kalil


Advogada, especialista em Relações Internacionais e Diplomacia e em Direito Digital. Criadora do blog Descomplica Jurídico (@descomplica.juridico), colunista no site jornalístico Drops do Cotidiano e redatora voluntária no site Politize!. Defendo que o Direito deve ser de fácil acesso e compreensão de todos."



Fontes:

Descomplica Jurídico. Dados biométricos: impressão digital e reconhecimento facial.


Descomplica Jurídico: Vazamento de dados e o que você tem a ver com isso.


IDEC. Petição inicial da Ação Civil Pública


IDEC. Release: Em ação do Idec, Justiça condena ViaQuatro por reconhecimento facial não consentido no Metrô de SP. 10/05/2021. Acesso em: 01/06/2021.


IDEC. Idec na imprensa: ViaQuatro é condenada por reconhecimento facial sem autorização no metrô de SP. 11/05/2021. Acesso em: 01/06/2021.


Parecer do IRIS na Ação Civil Pública, IDEC x ViaQuatro.