Any Guedes[1]
Flávio Alves Martins[2]
Júlia Tupynambá Duarte[3]
Resumo: O direito à privacidade e, mais especificamente, a proteção de dados pessoais vêm cada vez mais sendo impactados pela crescente utilização de tecnologias que realizam reconhecimento facial. Com efeito, a disponibilidade de dispositivos conectados, sensores e recursos de informática cria oportunidades para produzir, captar e processar uma enorme variedade de bancos de dados. Dentre essas tecnologias, destaca-se o emprego do reconhecimento facial não apenas por utilizar dados biométricos, mas também por permitir identificar o indivíduo e rastrear sua localização, muitas vezes, de modo imperceptível pelo titular de dados. Nessa linha, chama a atenção o caso das Portas Interativas Digitais instaladas na linha amarela do metrô de São Paulo em 2018, sistema este que realizava o reconhecimento facial dos usuários do transporte sem qualquer aviso prévio e sem o consentimento deles enquanto veiculava anúncios publicitários com a finalidade de captar a reação das pessoas aos estímulos que lhe eram exibidos. Assim, o presente trabalho, baseando-se no estudo de caso das Portas Interativas, busca compreender as necessidades que a proteção de dados possui hoje e verificar a efetividade da proteção conferida pelo ordenamento jurídico brasileiro aos titulares de dados em casos como esse.
Palavras-chaves: Privacidade. Dados pessoais. Reconhecimento facial. Legislação.
Abstract: The right to privacy and, more specifically, the personal data protection are increasingly being impacted by the growing facial recognition technologies application. Indeed, the availability of connected devices, sensors and computing resources creates opportunities to produce, capture and process a huge variety of databases. Among these technologies, the facial recognition’s application stands out not only for using biometric data, but also for allowing to identify the individual to be and tracking their location, many times, imperceptibly by the data subject. In this line, the case of Digital Interactive Doors installed on São Paulo’s subway yellow line in 2018 stands out, a system that performed facial recognition of transport users without any prior notice and without their consent while running advertisements with the purpose of capturing people’s reaction to the stimuli that were displayed to them. Thus, the present work, based on the case study of the Interactive Doors, seeks to understand the needs that data protection has today and to verify the effectiveness of the protection provided by the Brazilian legal system to data subjects in cases like this.
Keywords: Privacy. Personal data. Facial recognition. Legislation.
Sumário: Introdução; 1. O Reconhecimento facial pelas portas interativas digitais; 1.1 Tratamento de dados sensíveis; 1.2 Anonimização de dados; 2. Tratamento ilegal de dados pessoais; 2.1 Ausência de informações prévias quanto ao funcionamento do sistema e sua finalidade; 2.2 Ausência de consentimento dos titulares dos dados; 3. Resolução do caso; Conclusão; Referências.
Introdução
O reconhecimento facial foi desenvolvido a partir dos anos sessenta com fundamento nos conceitos básicos de inteligência artificial. Desde então tal técnica se propagou a passos largos de modo que, hoje, sistemas robustos de reconhecimento facial são amplamente utilizados por empresas e governos. Trata-se de uma tecnologia que permite atribuir identidade a uma face, por meio da comparação de uma imagem de vídeo ou foto constante com um banco de dados pré-existente.
As tecnologias que realizam reconhecimento facial podem ser de grande utilidade para a segurança pública, tanto que tal prática é atualmente empregada na busca de suspeitos pela prática crimes em aeroportos, ruas e estádios esportivos, por exemplo. Ademais, com a inovação tecnológica, cada vez mais elas sãos incorporadas a produtos e utilizadas para diversas finalidades. O iPhone X, por exemplo, possibilita desbloquear a tela do celular e autenticar compras no iTunes Store, App Store e Book Store com a imagem de rosto[4]. Ainda, com o advento da publicidade comportamental, a tecnologia vem sendo utilizada por empresas para traçar perfis de consumo e, assim, direcionar suas campanhas publicitárias.
Embora o reconhecimento facial possa ser utilizado como um aliado para a segurança pública, proteção de dispositivos privados ou mesmo praticidade nas interações cotidianas, a banalização de sua utilização pode representar grande risco à privacidade do titular de dados, permitindo que ocorra verdadeira vigilância. Isso porque ele permite não somente identificar individualmente o titular, mas também rastrear sua localização, e definir perfis comportamentais. Ademais, dois agravantes o tornam ainda mais danoso à privacidade do indivíduo: (i) as câmeras podem estar em qualquer lugar, inclusive de forma camuflada, permitindo que seja praticado sem a pessoa que tem sua imagem captada perceber; (ii) a abundante e crescente disponibilidade de bancos de dados e dispositivos conectados em um contexto marcado pela expansão de soluções de Big Data[5], o que permite potencializar a efetividade do reconhecimento facial.
Considerando, ainda, o emprego da técnica ora analisada para a geração de perfis comportamentais visando orientar campanhas de marketing, tem-se agravada afronta a Direito fundamental, eis que a relação de consumo per se pressupõe uma assimetria entre as partes, marcada eminentemente pela vulnerabilidade do consumidor. Desse modo, ante a possibilidade de produção desses bancos de dados, nos quais podem constar aspectos de natureza privada e de foro íntimo de cada pessoa, a eventual comercialização dessas informações, possibilita que o consumidor figure-se ainda mais vulnerável a práticas consideradas antiéticas.
O desenvolvimento jurídico da privacidade levou-a a um lugar de destaque dentro da proteção da dignidade humana. Para tanto, foi necessário que, em paralelo ao Direito à privacidade, desenvolvessem-se outros direitos para lidar com os problemas que surgiam na sociedade, dentre eles a proteção aos dados pessoais. Posteriormente, a própria proteção de dados precisou trilhar caminho semelhante até se perceber que ela não poderia limitar-se a mero princípio geral ou direito individual. Diante disso, no ordenamento jurídico brasileiro, a proteção de dados pessoais configura-se a partir da interpretação conjunta da Constituição Federal, do Código Civil, do Código de Defesa do Consumidor (Lei nº 8.078/1990)[6], da Lei de Acesso à Informação (Lei nº 12.527/2011), do Marco Civil da Internet (Lei nº 12.965/2014) e da Lei do Cadastro Positivo (Lei nº 12.414/2011). Soma-se a esse microssistema, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018)[7] que terá vigência a partir de agosto do corrente ano. Nesse sentido, a proteção de dados é respaldada por uma sistematização jurídica baseada nos direitos básicos de transparência, na proteção das pessoas naturais e na evolução da ideia de autodeterminação informativa, ante a previsão de mecanismos de controle do indivíduo sobre os seus dados pelo ordenamento.
A partir desses apontamentos necessários para se compreender a importância do caso estudado no cenário da proteção de dados no Brasil analisar-se-ão alguns importantes aspectos jurídicos pertinentes. O objeto de estudo inicia-se a partir da instalação de painéis nas portas do metrô da cidade de São Paulo, os quais realizavam o reconhecimento facial dos usuários do transporte público sem o conhecimento desses, enquanto veiculava anúncios publicitários com a finalidade de captar a reação das pessoas aos estímulos que lhes eram exibidos. Esse caso revela, ainda, especial gravidade, uma vez que os cidadãos sequer precisavam acessar a rede para terem seus dados coletados, pelo contrário, isso ocorria enquanto se locomoviam pela cidade, utilizando o metrô.
Objetiva-se com esta reflexão evidenciar a importância que a proteção de dados pessoais ocupa na sociedade hodierna e averiguar, considerando o microssistema de proteção de dados pessoais, de que modo o Direito protege o titular de dados pessoais, sobretudo em casos assim, em que há fatores como a utilização de sensores automatizados, dispositivos de captura de imagem camuflados e coleta de dados sensíveis. Há que se destacar, ainda, que todos esses aspectos estão inseridos em um contexto em que há uma enorme quantidade e variedade de bancos de dados, bem como diversas técnicas e possibilidades de cruzamento de informações entre eles. Com isso, espera-se que este estudo possa evidenciar possíveis lacunas ou insuficiências presentes na legislação aplicável, para contribuir para construção de uma efetiva e sólida proteção aos dados pessoais. Nesse sentido, não vislumbrando esgotar as reflexões acerca do caso, a análise compreenderá dois momentos: um primeiro em que se abordará a possibilidade de que a tecnologia identificasse as pessoas; e um segundo em que se avaliará a legalidade do tratamento despendido aos dados.
- O Reconhecimento facial pelas portas interativas digitais
As Portas Interativas Digitais consistem em um sistema composto por painéis sensoriais instalados, originariamente, nas portas das plataformas das estações Luz, Paulista e Pinheiros do metrô paulistano em abril de 2018[8] pela “Via Quatro”, concessionária que opera a linha amarela do sistema de trens metropolitanos da cidade de São Paulo. Por intermédio dos sensores, as Portas Interativas reconheciam a presença humana e, pelas expressões faciais e da estatura, identificavam as emoções de raiva, alegria, surpresa e neutralidade, o gênero e a faixa etária das pessoas posicionadas em frente ao sistema, dados estes que, uma vez levantados, ficavam atrelados à localização e horário de captação. Ao mesmo tempo, nas telas, eram veiculados anúncios e publicidades para que a identificação da emoção ocorresse no momento em que o passageiro olhasse para eles, possibilitando captar os efeitos que produziam sobre a população em geral.
Segundo a empresa executora, com a identificação da reação das pessoas, as Portas Interativas tinham por finalidade categorizar os usuários do metrô para exibir propagandas mais eficientes. Não obstante, considerando que a empresa responsável pela elaboração do software – AdMobilize – é conhecida por realizar práticas como a chamada “custo por clique”, por meio da qual empresas pagam pelo número de visualizações dos anúncios, o que é utilizado vastamente no marketing digital[9], ensejou-se a suspeita de que, combinando os dados levantados acerca dos passageiros com suas reações às propagandas veiculadas, a AdMobilize e a “Via Quatro” teriam condições para construir um banco de dados de grande valor para o departamento de marketing de qualquer empresa.
Em decorrência, alegando que as Portas Digitais coletavam dados sem o consentimento dos passageiros e questionando uma possível venda das informações coletadas para potenciais anunciantes, o Instituto Brasileiro de Defesa do Consumidor (Idec) moveu ação civil pública[10] em face da concessionária pleiteando o desligamento e a retirada das câmeras instaladas nos painéis do metrô em caráter de urgência, bem como o pagamento de indenização por danos coletivos em, no mínimo, de R$ 100 milhões, a ser destinado ao Fundo de Defesa de Direitos Difusos.
Nas portas interativas, o tratamento de dados pessoais compreendia uma cadeia de procedimentos que pode ser dividida em três fases: (i) detecção facial; (ii) análise da estrutura facial; (iii) e anonimização dos dados gerados. De acordo com o laudo pericial apresentado pela “Via Quatro” o sistema funcionava da seguinte forma:
A solução desenvolvida pela AdMobilize é constituída por um programa cliente (MATRIX) e um programa servidor (DASHBOARD). O programa MATRIX é responsável pela integração câmera e software, pela detecção da face através da seleção de pontos específicos do rosto utilizados pelo algoritmo da rede neural. O algoritmo, por sua vez , compara os pontos recebidos com o modelo demográfico e de emoções, gera os resultados analíticos de idade, gênero e emoção e os envia ao servidor. A porção servidor por sua vez recebe os dados enviados pelo MATRIX e os armazena em uma base de dados. Os dados são disponibilizados ao usuário por meio de um DASHBOARD (painel de controle) com função analítica (data analytics), podendo exportar os dados para um arquivo em formato “csv” como anexo a uma mensagem eletrônica.
Diante do funcionamento do sistema, a concessionária do metrô alega que que não se empregava tratamento de dados pessoais, pois se realizava tão somente a detecção facial dos passageiros (fase 1), bem como os dados obtidos não seriam armazenados (fase 2) e os dados agregados extraídos a partir dela seriam anonimizados (fase 3). Considerando os aspectos apontados, se analisará se a conduta pratica constitui-se como tratamento de dados pessoais.
1.1 Tratamento de dados sensíveis
Como visto, a tecnologia utilizada nas Portas Interativas levantava dados a respeito da face dos passageiros, os quais, para fins legais, são considerados dados biométricos que, por sua vez, estão previstos no ordenamento jurídico brasileiro como modalidade de dado pessoal sensível, conforme se extrai da Lei do Cadastro Positivo e da LGPD[11]. A categoria dos dados sensíveis é desdobramento do Princípio da Igualdade – entendido em seu aspecto material, em virtude da capacidade desses dados de, ao menos potencialmente, revelarem informações a respeito de uma esfera mais íntima da pessoa humana, o que pode levar a discriminações e violações de seus direitos fundamentais.
Não obstante, com as modernas técnicas estatísticas e de análise de dados, mesmo informações pessoais não sensíveis podem causar tratamento discriminatório por si só, e, ainda que não o possam, é viável a dedução ou inferência de dados sensíveis a partir delas. Em ambos os casos ocorre justamente aquilo que se procura inibir com a criação de um regime especial para os dados sensíveis – a discriminação a partir do tratamento de dados pessoais – e essa situação não é amparada por proteção especial pela Lei.
De acordo com o Idec e as investigações jornalísticas sobre o caso, a tecnologia implementada no sistema de portas inteligentes realizava reconhecimento facial dos passageiros, o que consiste na identificação da pessoa individualmente considerada por meio da imagem de seu rosto. Assim, uma primeira questão a ser definida é se as imagens coletadas pelas câmeras eram processadas e capazes de gerar identificadores únicos para cada avatar de expressão humana captada.
A “Via Quatro”, embasando-se em parecer do Instituto Brasileiro de Peritos – IBP, alegou que a tecnologia empregada realizava somente a detecção facial[12] e não o reconhecimento da face, eis que, segundo o documento, a tecnologia implementada apenas detectava pontos no rosto das pessoas, os quais, por sua vez, eram convertidos em números binários, não armazenando qualquer imagem nem identificando o rosto de quem por ali passasse. Enquanto que o reconhecimento facial ocorre da seguinte forma: diante de uma imagem ou vídeo, primeiramente, há a detecção das faces presentes, as quais são, então, caracterizadas matematicamente e comparadas com outras previamente cadastradas em um banco de dados, por fim, havendo correspondência, chega-se a informação de qual face do banco de dados é correlata àquela da imagem captada. Portanto, não havendo, em tese, banco de dados pré-existente nem criado a partir das imagens captadas pela câmera – já que, conforme a concessionária, os dados dos passageiros não eram armazenados e os demais dados obtido da análise da face eram anonimizados – não haveria que se falar em reconhecimento facial.
Segundo a “Via Quatro”, os dados gerados a partir da detecção facial eram meramente estatísticos – contagem da quantidade de pessoas que passavam em frente ao sistema de sensores, as visualizações, o tempo de permanência, o tempo de atenção, os gêneros, as faixas etárias, as emoções, o fator de visão, as horas de pico de visualizações e a distância de detecção, logo não haveria coleta de qualquer dado pessoal dos passageiros. Além disso, afirmou que todas as estimativas geradas a partir desses dados eram de baixa precisão, o que, segundo ela, ratifica a ausência de utilização de dados que possam tornar uma pessoa identificada ou identificável.
“Durante o transcorrer de todo o processo, os pontos capturados dos rostos humanos e as imagens recebidas da câmera não são armazenados em nenhum tipo de arquivo ou mídia, sendo descartados pelo sistema. O servidor portanto contem armazenado apenas as totalizações dos dados contidos na matriz numérica enviado pelo programa MATRIX”[13].
Nesse sentido, o argumento levantado pela “Via Quatro” foi de que, por não ser capaz de identificar os passageiros, as Portas Interativas não coletavam dados pessoais, pois esses, definidos pela Lei nº 13.709/18, são informações relativas à pessoa identificada ou identificável[14]. Não obstante, o parecer do Instituto de Referência em Internet e Sociedade – IRIS, apresentado no processo pela Via Quatro, demonstra que a análise do documento técnico apresentado pela concessionária não é suficiente, eis que não há indicação de quais são os dados coletados e enviados pela internet à AdMobilize nem foram explicitadas quais as medidas de segurança da informação adotadas[15].
Outrossim, a distinção entre detecção e reconhecimento facial não encontra amparo na legislação nacional nem há notícia disso em outros ordenamentos. De acordo com o Idec, “trata-se de uma distinção feita pelo próprio setor privado e por fóruns especializados em modelos de negócios para publicidade”. Além disso, há inconsistência entre a defesa da “Via Quatro” e o projeto sobre as Portas Digitais enviado à Comissão de Monitoramento das Concessões e Permissões de Serviços Públicos dos Sistemas de Transportes de Passageiros acostado aos autos do processo, segundo o qual o sistema de painéis inteligentes realizaria reconhecimento facial.
Apesar disso, fato é que as Portas Interativas coletavam dados biométricos dos usuários do metrô. Nesse sentido, quanto as duas primeiras fases da cadeia, o tratamento de dados pessoais resta evidente[16][17]. Ademais, considerando que as leis de proteção de dados pessoais têm o intuito de proteção dos indivíduos em relação às técnicas automatizadas viabilizadas pelo desenvolvimento tecnológico, não há exigência quanto ao tempo mínimo de processamento entre a captura e a anonimização. Ou seja, ainda que o processamento ocorresse em milésimos de segundo, haveria tratamento de dados pessoais, sujeito aos deveres e garantias previstos em lei.
Destaca-se que a coleta e o tratamento de dados, e sua posterior alienação a terceiros[18], podem representar diversos riscos ao titular. Primeiro, porque pode levá-lo, por exemplo, a ser alvo de discriminação por gênero ou raça, eis que o fornecedor pode classificar consumidores com base em perfis para atribuir vantagens a um determinado grupo em detrimento de outro. Há também, a possibilidade de ocorrerem falhas de segurança, o que pode ensejar a ocorrência de fraudes com seus dados e a exposição pública de sua imagem.
Portanto, pelas provas apresentadas no processo, não se pode afirmar se a prática empregada pelas Portas Interativas efetivamente se caracteriza como reconhecimento facial, já que, para tanto, seria necessário perícia com técnicas de engenharia reversa mais adequadas. Porém, o fato de haver coleta de dados biométricos, por si só, não somente enseja a aplicação da proteção de dados pessoais, mas também a observância ao tratamento especial reservado aos dados sensíveis.
1.2 Anonimização de dados
A concessionária também alegou que, por não gerarem identificação, os dados coletados eram anonimizados, razão pela qual não havia de se falar em qualquer violação aos preceitos da LGPD, já que esta não se aplicaria ao caso. Com efeito, a Lei nº 13.709/18 não se aplica ao tratamento de dados anonimizados, assim definidos aqueles relativos à pessoa que não possa ser identificada considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, haja vista que não são considerados dados pessoais[19].
Um primeiro ponto a se levantar é que o processo de anonimização só pode ocorrer caso haja como matéria-prima um conjunto de dados pessoais que serão anonimizados. Assim, se o tratamento inicial dos dados pessoais – nesse caso, a detecção facial – viola o direito aplicável[20], mesmo que sejam utilizadas técnicas adequadas de anonimização em momento posterior, todas as outras fases do processamento também acabam por violar o sistema legal.[21]
Considerando esse mesmo fundamento, só se pode falar em anonimização caso houvesse sido comprovado que a AdMobilize não armazena nenhuma imagem ou modelo matemático dos rostos dos passageiros de forma individualizada, o que, como visto anteriormente, não ficou demonstrado. Além disso, não há, nos documentos apresentados pela “ViaQuatro”, nenhuma descrição ou nomeação da técnica de anonimização supostamente utilizada, que permita garantir que nenhum usuário do metrô exposto à tecnologia seria identificado ou identificável.
Esse ponto é muito importante, pois, ainda que a anonimização venha a ser demonstrada no processo, a regulação será aplicável quando o processo de anonimização puder ser revertido, utilizando-se exclusivamente meios próprios ou por meio de esforços razoáveis[22]. Por essa razão, é necessário que as técnicas de anonimização utilizadas sejam descritas de forma clara, para que se possa verificar se elas estão em conformidade com as melhores práticas atuais, afastando a possibilidade de reversão do processo.
Nesse sentido, uma possível implicação da ausência de anonimização adequada seria a possibilidade de formação de perfis comportamentais para cada passageiro, contendo informações como horário que costuma estar em determinada estação, seu humor, suas características físicas e sua idade. Embora a concessionária negue tal objetivo, há pronunciamento desta de modo a demonstrar interesses mercadológicos com o tratamento de dados e há indícios que despertam a suspeita de que o conjunto de dados coletados poderiam levar a elaboração desses perfis[23].
Quanto à previsão da chamada desanonimização, se faz necessário definir o que a expressão “esforços razoáveis” compreende. Apesar de a lei oferecer um indício interpretativo no sentido de que devem ser considerados fatores objetivos, como o custo e o tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, a expressão ainda é vaga, podendo ser compreendida de diversas maneiras a depender do caso. Dessa forma, caberá à Autoridade Nacional de Proteção de Dados (ANPD) estabelecer uma diretriz para regulamentar a questão[24].
Ocorre que, diferente do que estabelecia o texto original aprovado pelo Congresso, que previa a criação de uma autarquia autônoma ligada ao Ministério da Justiça, de acordo com a Lei 13.853/19, que alterou a redação da Lei 13.709/18, a ANPD será órgão integrante da Presidência da República, podendo ser transformada em autarquia[25]. Com isso, os especialistas temem que, do modo como foi arquitetada, a Autoridade não goze de suficiente autonomia para que se tenha um ambiente de efetiva segurança jurídica, com capacidade de fomentar atividades econômicas baseadas em dados, ao mesmo tempo em que assegura proteção a seus titulares, especialmente quando se fala em tratamento de dados pessoais pelo Poder Público.
Importa destacar que, em uma economia cada vez mais orientada pelo fenômeno do Big Data, a possibilidade de que a anonimização desses dados possa ser revertida utilizando esforços razoáveis é altamente tangível[26]. A possibilidade de se identificar um indivíduo por meio de um dado não se resume a informações como nome, número de CPF ou outras informações pessoais demasiadamente óbvias. A identificação de uma pessoa natural, principalmente com o advento da internet e do processamento em massa de dados, pode ser feita mediante o emprego de informações muito mais vagas, denominadas metadados – dados que fornecem informações sobre outros dados, como, por exemplo, geolocalização, horário em que o dado foi gerado, endereço de IP, entre outros. Tendo isso em vista, tais dados podem ser empregados, individualmente ou em conjunto, para identificar uma pessoa natural com precisão.
Nesse sentido, em relação aos riscos para a privacidade, Paul Ohm critica a crença na anonimização dos dados e argumenta que, por mais que um dado tenha sido suprimido para garantir a privacidade do usuário, é possível reidentificá-lo por meio do cruzamento de outras informações disponíveis na rede[27]. Ainda, Scott R. Peppet argumenta que, mesmo que o conjunto de dados coletados pelos sensores seja considerado esparso, a reidentificação ainda é possível. Isso porque os sensores utilizados no reconhecimento facial registram uma multiplicidade de dados e os correlacionam com diferentes tipos de dados, permitindo a identificação de traços capazes de destacar determinados usuários de outros[28]. Portanto, mesmo que os dados sejam anonimizados, não significa que os requisitos estabelecidos na Lei 13.709/18 para o tratamento de dados não precisem ser observados.,
2. Tratamento ilegal de dados pessoais
Superada a questão do enquadramento da conduta como tratamento de dados pessoais, passa-se a análise da legalidade desse tratamento, para isso dois aspectos centrais da Lei nº 13.709/18 serão considerados: a ausência de informação clara sobre o funcionamento e a finalidade do sistema de sensores instalados nas portas do metrô; e a ausência de consentimento prévio e informado por parte dos passageiros que tiveram seus dados coletados.
2.1 Ausência de informações prévias quanto ao funcionamento do sistema e sua finalidade
O sistema começou a operar sem que houvesse qualquer anúncio prévio a respeito de sua implementação, seu funcionamento e suas finalidades aos passageiros, nem havia qualquer sinalização no metrô de que era realizada coleta de dados[29]. Ao mesmo tempo, mídia, população e especialistas em direito digital levantaram críticas a respeito da tecnologia por trás das Portas Digitais, cogitando-se a possibilidade de eventual utilização dos dados captados por empresas anunciantes.[30]
Em razão da repercussão negativa, a “Via Quatro” emitiu nova nota[31] à imprensa, que, diferente da primeira, omitiu o caráter mercadológico da invenção, afirmando que a principal funcionalidade seria tão somente a veiculação de avisos ao público. Essa segunda comunicação informou ainda que a tecnologia utilizada no projeto não era capaz de recolher ou cruzar dados dos passageiros, nem captava, gravava ou armazenava imagens deles. Por fim, em agosto, a empresa retirou da sua página virtual qualquer menção à nova tecnologia.
Quanto à falta de informação acerca do tratamento de dados, o Ministério Público (MPSP), considerou que a conduta dispensada pela empresa constituiu afronta direta ao artigo 6º, inciso III, do CDC, o qual garante a informação adequada, clara e especificada sobre os diferentes produtos e serviços, e inclusive sobre os riscos que apresentem, e ao artigo 7º, inciso VIII, do Marco Civil da Internet (Lei 12.965/15), que impõe um dever de transparência por parte dos agentes de dados, sobretudo, quanto à delimitação da finalidade específica do tratamento.
Além disso, considerando o microssistema aplicável a proteção de dados pessoais, vale registrar que o direito ao acesso a informações do titular de dados é resguardado pelo artigo 43 do CDC, que institui para as empresas dever de comunicar, de maneira acessível, aos consumidores, as informações registradas em cadastros sobre ele, e suas respectivas fontes. Na mesma linha, o artigo 31 da Lei de Acesso à Informação, assegura que o tratamento de informações pessoais deve ser feito de forma transparente. Também a Lei do Cadastro Positivo com as alterações introduzidas pela LC nº 166/19, assegura que os consumidores devem ser informados a respeito da abertura de cadastros em seu nome no prazo de até trinta dias, bem como têm direito de receber informações claras e objetivas sobre os canais disponíveis para cancelamento de seu cadastro[32]. Bem como, garante, ao consumidor, o acesso gratuito às informações sobre ele existentes; conhecimento dos principais elementos e critérios considerados para a análise de risco; ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais; e a revisão de decisões automatizadas[33].
Ademais, analisando a legislação específica, a Lei Geral de Proteção de Dados determina que o tratamento de dados orienta-se pelo princípio da finalidade, adequação, necessidade, livre acesso, transparência, responsabilização e prestação de contas. E, do princípio da finalidade, decorre o dever do encarregado pelos dados de se manifestar de forma clara acerca da finalidade do tratamento, eis que o consentimento[34] ficará vinculado àquele fim específico, e que a delimitação da finalidade se faz necessário para a fiscalização da adequação e da necessidade dos dados coletados. E mais, excetuando-se as informações que consistam em segredo comercial e industrial, todas as informações relativas ao tratamento de dados, além do fim específico, devem ser prestadas ao titular, sem o que não restará observado o requisito do consentimento informado[35]. Sendo assim, a comunicação das informações a respeito das operações realizadas com os dados pessoais é pré-requisito para que as demais imposições estabelecidas pela lei sejam observadas, como a necessidade de obter o consentimento do titular que se analisará a seguir.
Desse modo, na postura adotada pela “Via Quatro”, houve ausência de transparência e a oscilação de posicionamentos em relação ao às Portas Digitais, violando o sistema normativo que, como visto, assegura o acesso às informações sobre o tratamento de dados. Conforme apontou o Idec, a concessionária não se portou como uma fonte confiável de informações sobre o funcionamento e as finalidades da tecnologia implementada. Assim, ao agir dessa forma, a empresa afastou a possibilidade de que os passageiros formassem uma opinião informada sobre permitir, negar ou revogar a cessão de dados, bem como de buscarem formas de reivindicar seus direitos ou ainda alguma fiscalização sobre o exercício do sistema de sensores.
2.2 Ausência de consentimento dos titulares dos dados
Além da falta de transparência quanto às informações a respeito do tratamento de dados, tampouco houve a busca pela autorização dos passageiros para proceder a coleta dos dados por parte da concessionária. Assim, ainda que a empresa tivesse divulgado amplamente as informações necessárias para que os passageiros formassem uma opinião sobre autorizar ou não a coleta de dados, fato é que não havia a possibilidade de escolha, haja vista que os dados eram captados pelos sensores, independentemente de consentimento pelo titular. Na verdade, da maneira como o sistema foi concebido, os passageiros nem tinham como saber que os dados eram coletados, já que ao olhar para as telas, não era visível a presença de câmeras. Nesse sentido, de acordo com o Ministério Público:
“A captação de dados sem o consentimento do titular, aliás, coaduna-se com a forma pela qual o sistema ‘Porta Digitais’ foi concebido para coletar imagens de modo dissimulado. Assim se conclui pela camuflagem da câmera no painel eletrônico publicitário em posição tal que passa despercebido ao usuário, atraído para olhar as mensagens publicitárias, ser ele próprio objeto de filmagem não autorizada”.
Ainda, conforme o Parecer da Promotoria de Justiça, a conduta da “Via Quatro” violou o direito básico do consumidor a liberdade de escolha (artigo 6º, inciso II, do CDC). Além disso, ofendeu os direitos do usuário da Internet expressos no Marco Civil[36], ao passo que, de acordo com o regramento, só é possível o fornecimento dados pessoais a terceiros mediante consentimento livre, expresso e informado ou em outras hipóteses previstas em lei; e, ainda, se exige o consentimento expresso para a coleta, uso, armazenamento e tratamento de dados pessoais. Sobre o tema, Laura Mendes[37] desenvolve importantes considerações:
“A autorização pelo consumidor, como regra geral, é um pressuposto essencial para o tratamento de dados pessoais nas relações de consumo, inclusive aquelas desenvolvidas no ambiente virtual. Afinal, se os dados pessoais referem-se ao seu titular e o representam, afetando a sua personalidade, somente ele pode decidir a respeito do fluxo desses dados, salvo em casos excepcionais ou expressa previsão legal. Tal conceito, que já podia ser extraído do Código de Defesa do Consumidor, tornou-se requisito expresso a partir da promulgação do Marco Civil. Trata-se da concretização do princípio da liberdade de escolha do consumidor (art. 6º, II, CDC). A regra do consentimento está prevista no art. 7º, VII e IX, do Marco Civil da Internet. Enquanto o inc. VII condiciona o fornecimento a terceiros dos dados pessoais ao consentimento livre, expresso e informado do usuário, salvo em caso de previsão legal, o inc. IX estabelece norma geral acerca do consentimento em caso de coleta, uso, armazenamento e tratamento de dados pessoais, prevendo ainda que o consentimento deve constar de cláusula destacada. Essa regra básica para a legitimidade do tratamento de dados pessoais também está presente na Lei federal de proteção de dados alemã, que determina que a coleta, o processamento e a utilização de dados pessoais somente são permitidos se autorizados por lei ou consentidos pelo titular (§1º, 1, BDSG). Para que o tratamento constitua a real manifestação de vontade do consumidor de submeter os seus dados pessoais a tratamento, ele tem que atender a determinados requisitos. Assim, entende-se que o consentimento somente é válido se for expresso, livre, específico e informado. (…) Além do consentimento ou outro fundamento legítimo para o tratamento de dados, a análise da legitimidade do tratamento de dados deve levar em conta a boa-fé objetiva, as expectativas legítimas do consumidor, bem como os impactos e os riscos de tratamento de dados pessoais para o consumidor”.
Na mesma linha, o artigo 31 da Lei de Acesso à Informação dispõe que qualquer transferência de dados a terceiros apenas poderá ser realizada caso estipulada por previsão legal ou com o consentimento expresso do titular. Por fim, a LGPD, condiciona o tratamento de dados pessoais ao consentimento livre, inequívoco e informado do titular deles (artigo 7º, I). Consentimento esse, ainda, que, nos termos do artigo 8º, caput e §§ 2º e 3º, precisa ser realizado de modo manifesto e cuja demonstração é ônus do agente de tratamento de dados.
O caso envolvendo as Portas Interativas assemelha-se com situação ocorrida na Holanda em junho de 2018, no qual uma empresa holandesa que havia instalado um sistema de “outdoors digitais”, denominado Normenkader Digitale Billboards, composto por câmeras que identificavam as reações dos transeuntes. Após denúncias de cidadãos incomodados com a violação à proteção de seus dados pessoais, a Autoridade de Proteção de Dados Pessoais da Holanda notificou a empresa para que ela interrompesse os processos de coletas de dados pessoais sem consentimento dos titulares. Segundo a nota oficial[38] sobre a advertência da autoridade holandesa, obtida em seu sítio eletrônico:
“As pessoas só podem ser observadas através de câmeras em outdoors sob determinadas condições. Após denúncias de transeuntes preocupados, a Autoridade da Holanda para a Proteção de Dados Pessoais (AP) deu mais explicações para a indústria sobre as regras de proteção de dados pessoais neste ponto. Observar pessoas através de uma câmera em outdoors geralmente é um processamento de dados pessoais. Quase sempre a permissão dos transeuntes é necessária para cumprir a legislação de privacidade. A Autoridade de Dados Pessoais apela à indústria para tomar medidas para cumprir a lei de proteção de dados pessoais. (…) Se as pessoas parecem reconhecíveis, existe um processamento de dados pessoais. Isso significa que a legislação europeia de proteção de dados pessoais (GDPR) se aplica. Um operador deve ter uma base legal para processar esses dados. (…) Na prática, isso significa que um operador do sistema de outdoors digitais deve ter o consentimento do transeunte para poder processar seus dados. De acordo com a Lei Geral de Proteção de Dados Pessoais, esse consentimento deve atender a várias condições. Por exemplo, o consentimento deve ser informado e específico. Deve ficar claro quais dados alguém dá permissão e para qual propósito específico os dados são usados pelo anunciante. Um operador de exibição pode, por exemplo, fazer isso solicitando uma autorização específica através de uma etapa intermediária com um código QR ou um aplicativo.”
Dessa forma, considerando a inspiração da Lei nº 13.709/18 no General Data Protection Regulation[39] da União Europeia, a interpretação da autoridade holandesa oferece um importante precedente para interpretação do arcabouço normativo brasileiro acerca da proteção de dados pessoais, inclusive do consumidor.
Há também um importante precedente nacional: trata-se do caso “União versus Microsoft”[40], ação proposta em razão de coleta de dados pessoais sem consentimento do titular pelo Windows 10. No feito, a União alegou que qualquer coleta de dado pessoal dos usuários somente poderia ocorrer com expressa e prévia autorização, nos termos do artigo 6º do CDC. Ainda, esse consentimento deveria ser dado com alertas específicos sobre suas consequências para a privacidade para cada tipo de dado ou informação pessoal a ser coletado. Acolhendo os fundamentos expostos, foi deferida a antecipação de tutela nos seguintes termos:
“vislumbra-se em parte, todavia, a plausibilidade parcial do direito invocado, no tocante a determinar-se que a Microsoft adote procedimentos específicos, no prazo de 30 (trinta) dias, de modo a permitir que o usuário do sistema operacional Windows 10, em caso de não autorizar o uso de seus dados, tenha ferramenta operacional que permita o exercício de tal opção de forma tão simples e fácil quanto a que permite a atualização com a autorização dos dados”.
À luz dos casos mencionados, depreende-se que também estaria embasado o pedido de cessação de violação de direito e de procedência da obrigação de fazer específica para que os usuários da Linha Amarela do metrô de São Paulo possam dar consentimento informado e em destaque na coleta de seus dados pessoais por meio das câmeras instaladas nas Portas Interativas. Pela análise das circunstâncias concretas, pode-se afirmar que o usuário não tinha a opção de recusar a coleta de dados, tratando-se de uma espécie de pesquisa de opinião compulsória, o que viola a Constituição Federal e a legislação infraconstitucional que compõem o arcabouço da proteção de dados pessoais brasileiro, além de configurar uma prática na contramão da LGPD, ao que as empresas devem começar a se adaptar tendo em vista que será a principal regulação sobre o tema em vigor a partir de agosto deste ano.
3. Resolução do caso
Em um primeiro momento a Promotoria de Justiça do Consumidor da Capital de São Paulo manifestou-se favoravelmente a concessão da tutela de urgência, eis que (i) havia elementos suficientes a corroborar a imputação de que a concessionária realizava coleta e tratamento de imagens e dados pessoais obtidos dos passageiros; (ii) restou comprovada a ausência de informação clara, prévia e adequada quanto à coleta e tratamento de dados ao usuário do metrô que assistia aos anúncios publicitários, ou simplesmente passava no raio de captação de imagens de câmera; e (iii) não havia qualquer garantia de que o tratamento dos dados e seu eventual armazenamento atendesse aos padrões de segurança digital. Tendo isso em vista, de acordo com o Ministério Público:
“Trata-se de prática comercial abusiva, dentre aquelas vedadas pelo rol exemplificativo do artigo 39 do CDC, por se valer a Via Quatro, em sua atividade, de método comercial desleal (art. 6º, IV) para enganar o consumidor, faltando com o dever de transparência (art. 4º, caput) e com cláusula geral de boa-fé objetiva (art. 4º,III), que devem pautar suas relações com os usuários de seus serviços, que devem ser, sobretudo, adequados (art. 6º, VIII)”.
Tendo isso em vista, a decisão proferida pelo Juízo da 37ª Vara Cível de São Paulo deferiu a tutela de urgência para que para que a concessionária interrompesse a utilização dos sensores de reconhecimento facial dos passageiros nas plataformas em que estavam instalados, sob o fundamento de que, as evidências do caso concreto apontam no sentido de ter havido violação ao direito básico de informação dos consumidores.
Considerando as provas produzidas, o Ministério Público manteve sua posição no sentido de que:
“Há flagrante ofensa ao artigo 6º, inciso IV c.c. artigo 39, ambos do Código de Defesa do Consumidor. Nada justificando a compulsoriedade da pesquisa demográfica. Nem de longe a pesquisa pode ser incluída na permissão de exploração de espaço publicitário, porque com a mesma não se confunde. O consumidor sequer é informado de que são coletadas e analisadas suas expressões e impressões (de aprovação ou reprovação da publicidade) mediante a filmagem de seu rosto, violando-se os artigos 4º , caput e 6º, inciso III, ambos do Código de Defesa do Consumidor. Além do mais, a pesquisa é inteiramente inútil para a atividade fim, uma vez que que os dados não são empregados para melhorar a qualidade do serviço público de transporte, mas para atender propósitos mercadológicos.
Há indisfarçável afronta ao artigo 5º, inciso X, da Constituição Federal, por violação da intimidade, da vida privada, da honra e da imagem das pessoas. (…) Mas o problema não se encerra aí. O parecer do IBP é superficial e incapaz de trazer certeza quando ao destino das imagens coletadas e, espacialmente, sobre a extensão o uso comercial que pode ser realizado pela AdMobilize”.
Desse modo, a decisão foi imposta pela “Via Quatro” aos passageiros, que se viam obrigados a aceitá-la caso quisessem utilizar o transporte público, pois a instalação ficava na porta dos vagões, por onde, necessariamente, passariam as pessoas que fossem embarcar ou desembarcar. Portanto, a única alternativa ao passageiro que não quisesse se submeter a tal sistema era simplesmente usar outro meio de locomoção pela cidade. Além de tudo, os passageiros não ganhavam nada com isso, ao contrário, ainda pagavam as passagens do metrô.
A ação encontra-se em fase de conhecimento, por esse motivo ainda não se tem decisão definitiva a seu respeito. Contudo, tendo em vista a crescente utilização de reconhecimento facial, o caso é emblemático para a análise da proteção de dados pessoais no ordenamento jurídico brasileiro diante dos novos desafios à privacidade trazidos pela inovação tecnológica como o desenvolvimento de objetos inteligentes e a abundante quantidade de bancos de dados.
Conclusão
Da análise do caso das Portas Interativas Digitais é possível extrair importantes observações acerca da proteção aos dados pessoais no Brasil. Ao longo do estudo, confirmou-se a premissa de que tecnologias que promovem o reconhecimento facial afetam de forma mais gravosa a privacidade do indivíduo comparada a outras. Isso porque, primeiro ela permite identificar individualmente a pessoa; coleta dados biométricos, isto é, dados que permitem revelar não apenas a identidade, mas também informações que podem ser utilizadas contra o sujeito de forma discriminatória, podendo, até mesmo, impedir o gozo de direitos fundamentais; e, ainda, permite revelar a localização da pessoa. Além disso, os dispositivos que o realizam podem estar instalados em qualquer lugar, às vezes, inclusive, podem estar escondidos, possibilitando que a pessoa tenha sua imagem captada sem, ao menos, saber.
Por tudo isso, é preciso tomar muito cuidado com a banalização do emprego de tecnologias que realizam reconhecimento facial. É inegável que ele tem sua utilidade dentro da sociedade, mas considerando seu potencial danoso à privacidade é preciso usá-lo somente quando extremamente necessário e que não contemple realização de pesquisa de opinião, como ocorreu, aparentemente, no caso das Portas Interativas. A proteção aos dados pessoais enquanto desdobramento do Direito à privacidade é Direito fundamental e deve, portanto, receber tutela compatível com a posição que ocupa na expressão da dignidade da pessoa humana, fundamento da República Federativa do Brasil (Art. 1º, III, da Constituição Federal). Pelo Princípio da Proporcionalidade, diante de mais de uma medida igualmente aptas, o Direito deve, sempre que possível, priorizar a solução menos gravosa aos direitos fundamentais, assim, corretamente, a operação realizada pelas Portas Interativas foi afastada pelo Judiciário, tendo em vista que o mesmo fim poderia ser alcançado por métodos menos invasivo à privacidade dos usuários do metrô, como, por exemplo, por meio do preenchimento de questionários.
Da análise do caso envolvendo as Portas Interativas Digitais, a alegação da “Via Quatro” de que os dados coletados eram impessoais, não se coaduna com a coleta de dados biométricos pelo sistema de sensores instalados nas portas do metrô, de modo que a conduta praticada consistia em verdadeiro tratamento de dados pessoais, violando a regulamentação brasileira a respeito da temática, sobretudo, no que tange às relações de consumo, eis que ausente o consentimento dos titulares dos dados e que a concessionária não observou seu dever de prestar informações quanto à finalidade e ao funcionamento do tratamento dos dados.
Verificando o ordenamento jurídico brasileiro, constata-se que há um arcabouço de proteção de dados pessoais que necessita ser interpretado sistematicamente para garantir proteção ao titular de dados. Quanto à Lei nº 13.709/18 que regula especificamente a proteção de dados pessoais, apesar desta contemplar uma sólida regulamentação quanto às especificidades da questão, promovendo a autodeterminação informativa, a análise do caso revela alguns aspectos em que a lei deixa uma lacuna para que as empresas, na prática, afastem os efeitos esperados da normatização.
No caso, em razão da LGPD ainda não estar em vigor, a interpretação sistemática das legislações esparsas que compõem o arcabouço jurídico que tutela a proteção de dados brasileira é fundamental para efetiva garantia desse direito. Não obstante, parece que a resolução do caso dependerá fortemente da normativa consumerista. Mais que tudo, considerando a compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, as portas interativas concretizam eminente prática abusiva no fornecimento do serviço de transporte público, caracterizando verdadeira afronta ao princípio da boa-fé das relações jurídicas.
Ao mesmo tempo, o caso paulista antecipa alguns argumentos que muitas empresas poderão se valer quando da vigência da lei de dados. Nesse sentido, percebe-se que o ponto central da questão é o afastamento da pessoalidade dos dados sob o fundamento da anonimização. Não obstante, essa argumentação não se aplica ao caso das Portas Digitais, como visto, por envolver dados sensíveis e se fundar em bases consumerista, porém, muitas situações poderão ficar de fora do âmbito de aplicação da Lei nº 13.709/18 em virtude da anonimização.
Outro ponto que merece destaque é que o fenômeno do Big Data aliado ao desenvolvimento de dispositivos inteligentes revolucionou as operações de tratamentos de dados, tornando a linha divisória entre dados pessoais e dados anonimizados bastante tênue. Com a enorme diversidade e quantidade de dados existentes, cada indivíduo deixa seu rastro digital, assim, mesmo que um dado seja suprimido para garantir a privacidade do usuário, é possível reidentificá-lo por meio do cruzamento de outras informações disponíveis na rede.
A LGPD, embora preveja a possibilidade de anonimização ser revertida, não delimita os contornos da anonimização, ao passo que atrela a possibilidade de reversão à condição de que seja feita por esforços razoáveis e por meios próprios, conceitos esses que não são esclarecidos pela lei. Portanto, ficará a cargo da Autoridade Nacional de Proteção de Dados, delimitar o processo de anonimização considerando a sensibilidade da questão. Enquanto tal esclarecimento não vier, os agentes de tratamento de dados deverão desenvolver políticas robustas de controle de anonimização para mitigar os riscos de eventual descumprimento da lei, e de prejuízos aos cidadãos. Todavia, tendo em vista como foi formulada a Autoridade pela Lei nº 13.853/2019, há contundente preocupação a respeito de sua autonomia para orientar a aplicação da lei com efetiva segurança jurídica.
Referências:
ADUANA. Sistema de reconhecimento facial da Receita Federal é destaque em revista internacional. Revista da Organização da Aviação Civil Internacional. [s. l.], 1 nov. 2017. Disponível em:http://receita.economia.gov.br/noticias/ascom/2017/novembro/sistema-de-reconhecimento-facial-da-receita-federal-e-destaque-em-revista-internacional . Acesso em: 9 jun. 2019.
AMIGO, Ignacio. As estações de metrô de São Paulo que lêem seu rosto. City Lab. São Paulo, 08 mai. 2018. Disponível em:https://www.citylab.com/design/2018/05/the-metro-stations-of-sao-paulo-that-read-your-face/559811/. Acesso em: 11 abr. 2019.
APPLE INC. Sobre a tecnologia avançada do Face ID: saiba como o Face ID ajuda a proteger as informações no iPhone e no iPad Pro. [s. l.]. 14 nov. 2018. Disponível em: https://support.apple.com/pt-br/HT208108.Acessoem: 11 jun. 2019.
AUTORITEIT PERSOONSGEGEVENS. AP informeertbranche over norm camera’s in reclamezuilen. Nieuwsbericht, 26 jun. 2018. Disponível em: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-informeert-branche-over-norm-camera%E2%80%99s-reclamezuilen. Acesso em: 20 maio 2019.
BIONI, Bruno. A produção normativa no cenário transfronteiriço. In: CONPENDI/UFSC (org.). Direito e novas tecnologias: XXIII Encontro Nacional do CONPEDI. Florianópolis: CONPENDI, 2014. Disponível em: http://www.publicadireito.com.br/artigos/?cod=575dc1140c7f1254. Acesso em: 17 ago. 2018.
BRANCO, Sérgio; TEFFÉ, Chiara de (Org.). Privacidade em perspectivas. Rio de Janeiro: Lumen Juris, 2018.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil. Diário Oficial da União: Seção 1, Brasília, DF, ano 126, n. 191-A, p. 1-32, 05 out. 1988.
______ . Lei nº 10.406 de 10 de janeiro de 2002. Institui o Código Civil. Diário Oficial da União: Seção 1, Brasília, DF, ano 139, n. 8, p. 1-74, 11 jan. 2002.
______ . Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União: Seção 1, Brasília, DF, p. 1-4, 18 nov. 2011.
______ . Lei nº 12.414, de 9 de junho de 2011. Disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito. Diário Oficial da União: Seção 1, Brasília, DF, p. 2, 10 jun. 2011, alterada pela Lei Complementar n° 166, de 8 de abril de 2019. Altera a Lei Complementar nº 105, de 10 de janeiro de 2001, e a Lei nº 12.414, de 9 de junho de 2011, para dispor sobre os cadastros positivos de crédito e regular a responsabilidade civil dos operadores. Diário Oficial da União: Seção 1, Brasília, DF, ano 157, n. 68, p. 1, 9 abr. 2019.
______ . Lei n° 12.965 de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da internet no brasil. Diário Oficial da União: Seção 1, Brasília, DF, ano 151, n. 77, p. 1, 24 abr. 2014.
______ . Lei n° 13.709 de 14 de agosto 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União: Seção 1, Brasília, DF, n. 157, p. 59, 15 ago. 2018, alterada pela Medida Provisória n° 689 de 2018.
CEROY, Frederico Meinberg. Dados pessoais sensíveis: Três projetos de lei que tramitam no Congresso Nacional abordam o tema. Jota. [s. l.], 29 nov. 2017. Disponível em:https://www.jota.info/opiniao-e-analise/artigos/dados-pessoais-sensiveis-29112017. Acesso em: 30 maio 2019.
DADOS de 87 milhões foram usados pela Cambridge Analytica diz Facebook: antes, informação era de que 50 milhões de usuários tinham sido afetados. O Globo. Rio de Janeiro, 4 abr. 2018. Disponível em: https://oglobo.globo.com/economia/dados-de-87-milhoes-foram-usados-pela-cambridge-analytica-diz-facebook-22556605. Acesso em: 10 jun. 2019.
DIANIN, Antonio Henrique. As diferenças entre detecção de rosto e reconhecimento de rosto. Portal Educação. [s. l.], [20–]. Disponível em: https://www.portaleducacao.com.br/conteudo/artigos/informatica/as-diferencas-entre-deteccao-de-rosto-e-reconhecimento-de-rosto/67656. Acesso em: 18 maio 2019.
DONEDA, Danilo. A tutela da privacidade no Código Civil de 2002. Anima: Revista Eletrônica do Curso de Direito da Opet, v. 1, p. 89-100, Curitiba, 2009. Disponível em: http://www.anima-opet.com.br/pdf/anima1/artigo_Danilo_Doneda_a_tutela.pdf. Acesso em: 10 fev. 2019.
______ . Da Privacidade à Proteção de Dados Pessoais. Rio de Janeiro: Saraiva, 2006.
DUARTE, Júlia. A aplicação da tutela da proteção de dados pessoais no caso das portas interativas digitais do metrô de São Paulo. 2019 Monografia (Graduação em Direito) – Faculdade Nacional de Direito, UFRJ. Rio de Janeiro, 2019.
FRAZÃO, Ana. Nova LGPD: o tratamento dos dados pessoais sensíveis: A quinta parte de uma série sobre as repercussões para a atividade empresarial. Jota. [s. l.], 26 set. 2018. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-o-tratamento-dos-dados-pessoais-sensiveis-26092018. Acesso em: 30 maio 2019.
GREENWALD, Glenn; KAZ, Roberto; CASADO, José. EUA espionaram milhões de e-mails e ligações de brasileiros: país aparece como alvo na vigilância de dados e é o mais monitorado na América Latina: País aparece como alvo na vigilância de dados e é o mais monitorado na América Latina. O Globo. Rio de Janeiro, 6 jul. 2013. Disponível em: https://oglobo.globo.com/mundo/eua-espionaram-milhoes-de-mails-ligacoes-de-brasileiros-8940934. Acesso em: 10 jun. 2019.
MAGRANI, Eduardo. Internet das Coisas. Rio de Janeiro: FGV Editora, 2018.
MARTINS, Guilherme Magalhães (coord.); LONGHI, João Victor Rozatti (coord.). Direito digital: direito privado e internet. 2 ed. Indaiatuba, SP: Editora Foco, 2019.
MAYER-SCHÖNBERGER, Viktor. General development of data protection in Europe. In: AGRE, Philip; ROTENBERG, Marc (org.). Technology and privacy: the new landscape. Cambridge: MIT Press, 1997, p. 219-242.
MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, n. 106, jul/ago, 2016. Disponível em: http://www.mpsp.mp.br/portal/page/portal/documentacao_e_divulgacao/doc_biblioteca/bibli_servicos_produtos/bibli_boletim/bibli_bol_2006/RDCons_n.106.02.PDF. Acesso em 16 jun. 2019.
PITLER, Robert M. The Fruit of the Poisonous Tree Revisited and Shepardized, 56 Cal. L. Rev. 579 (1968). Disponível em: <http://scholarship.law.berkeley.edu/californialawreview/vol56/iss3/2>. Acesso em 09 abr. 2019.
RINALDI, Camila. Entidades combatem câmeras do metrô de SP que leem emoções de passageiros para vender publicidade. The Intercept Brasil. 31 ago. 2018. Disponível em: https://theintercept.com/2018/08/31/metro-cameras-acao-civil/. Acesso em 11 abr. 2019.
RODOTÁ, Stefano. A vida na sociedade de vigilância: a privacidade hoje. Organização, seleção e apresentação de: Maria Celina Bodin de Moraes. Tradução: Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
REIA, Jhessicaet al. (org.).Horizonte presente: tecnologia e sociedade em debate. Belo Horizonte: Casa do Direito; FGV – Fundação Getúlio Vargas, 2019.
SANTOS, MaikeWile dos. O big data somos nós: a humanidade de nossos dados. Jota, [s. l.],16 mar. 2017. Disponível em: https://jota.info/ colunas/agenda-da-privacidade-e-da-protecao-de-dados/o-big-data-somos-nos-a-humanidade-de-nossos-dados-16032017. Acesso em: 27 mar. 2019.
SÃO PAULO. Tribunal de Justiça do Estado de São Paul. 9ª Vara Cível. Decisão de antecipação de tutela. Ação civil pública nº 5009507-78.2018.4.03.6100. São Paulo, 27 abr. 2018. Disponível em: http://www.omci.org.br/m/jurisprudencias/arquivos/2018/jfsp_50095077820184036100_27042018.pdf. Acesso em: 20 maio 2019.
______ . Tribunal de Justiça do Estado de São Paulo. 37ª Vara Cível. Decisão de antecipação de tutela. Ação civil pública nº 1090663-42.2018.8.26.0100. São Paulo, 14 set. 2018.
SINGER, Natasha. Esforços de reconhecimento facial do Facebook geram preocupação sobre privacidade. Traduzido por Paulo Migliacci. Folha de São Paulo. São Paulo, 11 jun. 2018. Disponível em: https://www1.folha.uol.com.br/mercado/2018/07/esforcos-de-reconhecimento-facial-do-facebook-geram-preocupacao-sobre-privacidade.shtml. Acesso em: 9 jun. 2019.
SCHEREIBER, Anderson. Direitos da personalidade. São Paulo: Atlas, 2014.
VETTORAZZO, Lucas; PITOMBO, João Pedro. Rio e Salvador terão sistema de reconhecimento facial no carnaval: capital baiana utilizará o mesmo sistema vigente na China, em que as próprias câmeras detectam rostos. Folha de São Paulo. Rio de Janeiro e Salvador, 27 fev. 2019. Disponível em: https://www1.folha.uol.com.br/cotidiano/2019/02/rio-e-salvador-terao-sistema-de-reconhecimento-facial-no-carnaval.shtml. Acesso em: 9 jun. 2019.
[1] Mestra em Direito (UFRJ). Docente na Universidade Estácio de Sá. Pesquisadora no Laboratório de Estudos em Tecnologia e Sociedade – LETS/UFRJ. Advogada.
[2] Professor Adjunto Doutor na UFRJ. Coordenador do LETS/UFRJ.
[3] Bacharel em Direito pela UFRJ. Pesquisadora do LETS/UFRJ.
[4] APPLE INC. Sobre a tecnologia avançada do Face ID: saiba como o Face ID ajuda a proteger as informações no iPhone e no iPad Pro. [s. l.], 14 nov. 2018. Disponível em: https://support.apple.com/pt-br/HT208108. Acesso em: 11 jun. 2019.
[5] Big Data consiste na análise e a interpretação de uma quantidade volumosa de dados estruturados, semiestruturados ou não estruturados que têm o potencial de ser explorados para obter informações. “Big Data significa, em essência, que tudo o que fazemos, tanto online como offline, deixa vestígios digitais. Cada compra que fazemos com nossos cartões, cada busca que digitamos no Google, cada movimento que fazemos quando nosso telefone celular está em nosso bolso, cada like é armazenado. Especialmente cada like. Durante muito tempo, não era inteiramente claro o uso que esses dados poderiam ter — exceto, talvez, que poderíamos encontrar anúncios de remédios par a hipertensão logo após termos pesquisado no Google ‘reduzir a pressão arterial’”. (GRASSEGGER, Hannes; KROGERUS, Mikael. The data that turned the world upside down. In MAGRANI, Eduardo. Internet das Coisas. Rio de Janeiro: FGV Editora, 2018.).
[6] “O âmbito de aplicação do CDC é definido em seu art. 3.°, § 2.°, segundo o qual o Código é aplicável aos serviços fornecidos no mercado de consumo mediante remuneração. Esse conceito abrange as transações realizadas pela internet, incluindo aquelas que não acarretam diretamente ônus aos usuários. Conforme interpretação dominante da jurisprudência, um serviço pode ser oferecido gratuitamente ao consumidor e, ainda assim, ser considerado remunerado, tendo em vista que obtém ganhos indiretos. É o que ocorre com diversos serviços e aplicações na internet, que, embora aparentemente gratuitos, se remuneram por meio de publicidade e da comercialização dos dados de navegação do usuário.O Código de Defesa do Consumidor foi um dos precursores na previsão de normas sobre proteção de dados pessoais no ordenamento jurídico brasileiro, como se percebe a partir de seu art. 43. Este inovou na forma de regulamentação dos cadastros e bancos de dados de consumo no Brasil, permitindo o funcionamento desses bancos de dados dentro de parâmetros legais claros”. (MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, n. 106, jul/ago, 2016, p. 3. Disponível em: http://www.mpsp.mp.br/portal/page/portal/documentacao_e_divulgacao/doc_biblioteca/bibli_servicos_produtos/bibli_boletim/bibli_bol_2006/RDCons_n.106.02.PDF. Acesso em 16 jun. 2019).
[7] A Lei nº 13.709/2018 teve alguns de seus dispositivos alterados pela Lei nº 13.853/2019, assim, para todos os efeitos, quando mencionada, aqui, faz-se alusão à redação atualizada pela lei de 2019.
[8] À época, a linha amarela do metrô transportava cerca de 700.000 pessoas diariamente, de acordo com informações divulgadas pela concessionária.
[9] RINALDI, Camila. Entidades combatem câmeras do metrô de SP que leem emoções de passageiros para vender publicidade. The Intercept Brasil. 31 ago. 2018. Disponível em: https://theintercept.com/2018/08/31/metro-cameras-acao-civil/. Acesso em 11 abr. 2019.
[10] Trata-se da ação civil pública nº 1090663-42.2018.8.26.0100; TJSP. Salienta-se que o processo está em trâmite, e que, até 24/04/2020 – data de finalização deste artigo – não houve sentença proferida.
[11] Art. 3º, § 3º da Lei n° 12.414/2011(Lei do Cadastro Positivo): Ficam proibidas as anotações de:
II – informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas.
Art. 5º, II da Lei nº 13.709/2018 (LGPD). Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[12] “A detecção de faces é o processo que o software de computador precisa percorrer para determinar se há realmente uma ou mais faces na imagem de uma foto ou vídeo. Ele não determina de quem são os rostos que estão na foto, apenas detecta se existem rostos na mesma. Portanto detecção facial por si só não se lembra ou armazena detalhes de rostos. Se o software detecta um rosto de uma pessoa em particular em uma imagem, e depois detecta o mesmo rosto em outra imagem, ele não reconhece que eles são a mesma pessoa, apenas reconhece que há um rosto de alguém em cada imagem. A detecção de rostos pode ser capaz de pegar algumas informações demográficas, por exemplo, a idade ou o sexo da pessoa em cada imagem, mas não muito mais do que isso. O software de detecção facial por si só não é capaz de reconhecer indivíduos.” (DIANIN, Antonio Henrique. As diferenças entre detecção de rosto e reconhecimento de rosto. Portal Educação. [s. l.], [20–]. Disponível em: https://www.portaleducacao.com.br/conteudo/artigos/informatica/as-diferencas-entre-deteccao-de-rosto-e-reconhecimento-de-rosto/67656. Acesso em: 18 maio 2019).
[13] Cf. Laudo pericial apresentado pela Via Quatro na ação civil pública. (IBP
[14] Cf. Art. 5°, I da Lei n° 13.709/2018 e art. 4º, IV da Lei n° 12.527/2011.
[15] Cf. Parecer do IRIS apresentado na ação pelo Idec: “Os esclarecimentos técnicos sobre softwares, para serem conclusivos, demandam um processo para descobrir os princípios tecnológicos e o funcionamento de um dispositivo, objeto ou sistema, através da análise de sua estrutura, função e operação. Esses elementos não são encontrados no parecer apresentado pela ViaQuatro, o qual, de forma ampla, apenas analisou o produto final do tratamento de dados que é fornecido à ViaQuatro, sem maiores ponderações quanto ao papel da AdMobilize (…) Dessa forma, o parecer técnico não pode ser considerado conclusivo, uma vez que não apresenta parâmetros técnicos do funcionamento do algoritmo, sobre o fluxo de dados entre as câmeras, a AdMobilize e a ViaQuatro, ou as eventuais possibilidades de armazenamento ou não de identificador único dos usuários do serviço de metrô”.
[16] No mesmo sentido aponta o parecer do Instituto de Referência em Internet e Sociedade – IRIS nos autos da ação.
[17] A terceira fase da cadeia de tratamento de dados pessoa será analisada no tópico a seguir.
[18] Há empresas interessadas em adquirir e comercializar bancos de dados – as chamadas data brokers. Esse modelo de negócios é fundado na compra e oferta de bancos de dados pessoais a terceiros que possam utilizá-los para avaliar valores de planos de saúde, seguros de vida, admissão em vagas de emprego e outros processos seletivos.
[19] Cf. Art. 5º, III c/c art. 12 ambos da Lei n° 13.709/2018.
[20] Como se analisará no tópico 2.
[21] Esse entendimento é comparável à doutrina dos “frutos da árvore envenenada” em: PITLER, Robert M. The Fruit of the Poisonous Tree Revisited and Shepardized, 56 Cal. L. Rev. 579, 1968. Disponível em: http://scholarship.law.berkeley.edu/californialawreview/vol56/iss3/2. Acesso em 09 abr. 2019
[22] Cf. Art. 12, caput e §1º da Lei 13.709/2018.
[23] O que será analisado com mais clareza no tópico 2.1.
[24] Art. 12, § 3º da Lei nº 13.709/2018. A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
[25] Art. 55-A da Lei n° 13.709/2018. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República. (Incluído pela Lei nº 13.853, de 2019)
- 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. (Incluído pela Lei nº 13.853, de 2019)
[26] Quanto a esse ponto, importante considerar que a política pública de transporte público na cidade e no estado de São Paulo vem avançando no sentido de cada pessoa ter um identificador único no transporte, por meio do Bilhete Único Identificado, de modo que o cruzamento de informações para identificação dos usuários a partir do uso de câmeras por reconhecimento facial não só é possível, como facilmente exequível com o apoio de recursos tecnológicos pouco elaborados e amplamente disponíveis.
[27] MAGRANI, Eduardo. Internet das Coisas. Rio de Janeiro: FGV Editora, 2018, p.97.
[28] MAGRANI, Eduardo. Internet das Coisas. Rio de Janeiro: FGV Editora, 2018, p.97.
[29] A divulgação da tecnologia implementada no transporte paulistano restringiu-se a uma nota destinada à imprensa na página eletrônica da Via Quatro poucos dias antes do início da execução do projeto, que consistia no seguinte teor: “Conectada a inovações tecnológicas que resultam em prestação de serviço com qualidade aos usuários, a Via Quatro, concessionária que opera a Linha 4-Amarela de metrô, inaugura, dia 18 de abril, um novo recurso visual, que auxiliará a comunicação com passageiros. A novidade é a instalação de portas de plataforma interativas nas estações Luz, Paulista e Pinheiros, com funcionamento durante todo o horário de operação da linha. As portas interativas digitais serão estratégicas para a comunicação da Via Quatro e seus parceiros com os usuários. Cada estação receberá quatro portas interativas, na área central da plataforma, sendo a instalação em pares e de forma espelhada. Modelo inédito de interatividade com o público, as portas digitais interativas são um recurso visual tecnológico, que visa incrementar a comunicação com o passageiro, por meio de transmissão de campanhas de orientação, mensagens de prestação de serviço e anúncios publicitários. Sua tecnologia é formada por uma lente com sensor que reconhece a presença humana e identifica a quantidade de pessoas que passam e olham para tela. Basicamente os dados gerados são identificação de expressão de emoção (raiva, alegria, neutralidade) e características gerais que podem indicar se é um rosto feminino ou masculino. ‘As portas de plataforma interativas são uma tecnologia inovadora desenvolvida pela Via Quatro para aprimorar transmissão de informações aos passageiros da Linha 4-Amarela. Essa nova ferramenta na área de comunicação e marketing, com recursos sofisticados, pode colaborar na criação de novas estratégias para públicos específicos, visando mais efetividade na troca de mensagens importantes ou mesmo o incremento em vendas’, explica Harald Zwetkoff, presidente da Via Quatro.” Cf. nota integral divulgada, à época, da instalação dos painéis no site da Via Quatro apresentada nos autos do processo.
[30] Tais suspeitas foram reforçadas com a declaração do presidente da Via Quatro ao portal eletrônico CityLab, em que informou que o projeto tinha a multinacional LG e a empresa farmacêutica HyperaPharma, detentora das marcas Epocler e Apracur, como anunciantes.Cf. AMIGO, Ignacio. As estações de metrô de São Paulo que lêem seu rosto. City Lab. São Paulo, 08 mai. 2018. Disponível em: https://www.citylab.com/design/2018/05/the-metro-stations-of-sao-paulo-that-read-your-face/559811/. Acesso em 11 abr. 2019.
[31] “Conectada a inovações tecnológicas que resultam em prestação de serviço com qualidade aos passageiros, a Via Quatro, concessionária responsável pela operação e manutenção da Linha-4-Amarela do metrô, dispõe de um novo recurso visual. A novidade, em funcionamento há menos de um mês, está presente nas estações Luz, República, Paulista, Fradique Coutinho, Faria Lima, Pinheiros e Butantã. Localizada na área central das plataformas, as portas digitais são um recurso visual-tecnológico, que incrementa a comunicação com o passageiro, por meio de veiculação de campanhas de orientação, mensagens de prestação de serviço, além de anúncios publicitários.” Cf. Nota integral divulgada no site da Via Quatro em 2018.
[32] Cf. Art. 4º, §4º da Lei nº 14.414/2011 com a redação dada pela Lei Complementar nº 166/2019.
[33] Cf. Art. 5° da Lei nº 14.414/2011com a redação dada pela Lei Complementar nº 166/2019.
[34] Ver tópico 2.2.
[35] Ver tópico 2.2.
[36] Cf. Incisos VII e IX do art. 7º da Lei 12.965/2014.
[37] MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, n. 106, jul/ago, 2016, p. 5. Disponível em:http://www.mpsp.mp.br/portal/page/portal/documentacao_e_divulgacao/doc_biblioteca/bibli_servicos_produtos/bibli_boletim/bibli_bol_2006/RDCons_n.106.02.PDF. Acesso em 16 jun. 2019.
[38] AUTORITEIT PERSOONSGEGEVENS. AP informeert branche over norm camera’s in reclamezuilen. Nieuwsbericht, 26 jun. 2018. Disponível em: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-informeert-branche-over-norm-camera%E2%80%99s-reclamezuilen. Acesso em 20 maio 2019.
[39] O Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR), conjunto de normas da União Europeia que tratam da proteção e do processamento de dados dos cidadãos do bloco foi aprovado no Parlamento da União Europeia em 14 de abril de 2016, e passou a ter vigência em 25 de maio de 2018, substituindo a Diretiva 95/46, que regulava a questão até então. A alteração de diretiva para regulamento tem um grande impacto, uma vez que agora os membros da UE no lugar de terem que internalizar os regramentos da diretiva por meio da legislação nacional, o que permitia distinções de um país para o outro, a regulação cria um regime jurídico único em todos os 28 países membros, conferindo uma maior segurança jurídica. Além disso, a nova regulação europeia diferencia-se da antiga não apenas por assegurar mais direitos aos usuários e obrigações aos responsáveis pelo tratamento de dados (data controllers), como também por possuir abrangência global.
[40] SÃO PAULO. Tribunal de Justiça do Estado de São Paul. 9ª Vara Cível. Decisão de antecipação de tutela. Ação civil pública nº 5009507-78.2018.4.03.6100. São Paulo, 27 abr. 2018. Disponível em: http://www.omci.org.br/m/jurisprudencias/arquivos/2018/jfsp_50095077820184036100_27042018.pdf. Acesso em 20 maio 2019.