A imprensa publicou em 25.05.2023 que uma rede de restaurantes do Estado de São Paulo está utilizando sistema de reconhecimento facial associado a inteligência artificial (IA), divulgando que não infringe a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
A
matéria informa que um sistema de tecnologia, por meio de câmeras com reconhecimento facial, capta e analisa informações valiosas sobre os clientes, como o seu comportamento de compra, preferências, satisfação, gênero e outras, com o fim de melhorar a experiência do cliente, podendo identificar rapidamente os momentos de pico para reforçar o atendimento e até mesmo já oferecer o que o cliente tem o hábito de consumir, acrescentando que, na opinião do proprietário do restaurante, o sistema serve a estabelecimentos com grande circulação de pessoas.
Chama a atenção a afirmação e divulgação pela empresa de que o sistema não infringe a LGPD. Isto porque uma conformidade neste sentido teria que cumprir uma série de requisitos, dos quais abordaremos alguns neste artigo.
Todo tratamento de dados pessoais precisa ter uma finalidade legítima, específica, informada ao titular daquelas informações, e os dados coletados devem ser mesmo necessários para se alcançar aquele propósito.
O reconhecimento facial de uma pessoa se faz pelo tratamento de um dado pessoal sensível – a sua biometria. Em princípio, somente se pode utilizar a biometria de um indivíduo mediante a obtenção do seu consentimento. As outras hipóteses legais impõem os ônus da demonstração da indispensabilidade daquele tratamento de dados.
Portanto, o restaurante precisaria do consentimento dos clientes para estar autorizado a captar a sua biometria, realizar o reconhecimento facial e proceder a análises comportamentais.
O consentimento para tratamento de dados é uma manifestação de vontade qualificada, exigindo a LGPD que ele seja expresso, inequívoco, específico para a finalidade informada, devendo o cliente ser devidamente esclarecido quanto à finalidade específica, forma e duração daquele tratamento de dados, se há compartilhamento destes dados com terceiros, para quais fins, qual a responsabilidade de cada um e a identidade destes terceiros, além de ser informado dos seus direitos e do contato do responsável pelo tratamento dos seus dados.
A LGPD fulmina de nulidade o consentimento dado, caso as informações fornecidas tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
A exigência de transparência permeia toda a atividade de tratamento de dados, representando uma salvaguarda para os titulares dos dados pessoais, por possibilitar o exercício do controle sobre as suas informações.
A coleta e o uso de dados pessoais de terceiros é uma relação de confiança e deve se assentar no equilíbrio e na lealdade. A atividade de tratamento de dados não deve representar nenhuma surpresa para o titular dos dados, de modo que não podem estes ser utilizados num segundo momento para finalidades diversas que não sejam compatíveis com aquelas para as quais os dados foram coletados.
Outro princípio da proteção de dados que precisa ser cumprido é o da adequação das informações coletadas para o propósito em causa. Considerando ser a biometria um dado sensível, que sujeita o seu titular a riscos mais graves para os seus direitos e liberdades, parece-nos desproporcional a utilização da biometria neste caso. É ônus do responsável pelo restaurante demonstrar, mediante Relatório de Impacto em Proteção de Dados-RIPD realizado previamente à implementação da funcionalidade, a análise dos riscos envolvidos e as salvaguardas implementadas, capazes de ultrapassar a desproporção verificada no uso da biometria e de colocar a relação em ponto de equilíbrio.
Não somente pela natureza do dado pessoal em comento, o Relatório de Impacto em Proteção de Dados também se impõe, neste caso, pelo fato de se tratar de um cenário de grande circulação de pessoas, segundo declaração do responsável.
De acordo com a Autoridade Nacional de Proteção de Dados – ANPD, é considerado de alto risco o tratamento de dados realizado em larga escala (abrange número significativo de indivíduos) e que, simultaneamente, utiliza tecnologias inovadoras ou exerça vigilância de zonas acessíveis ao público; ou envolva a definição de perfil pessoal ou de consumo dos titulares dos dados; ou ainda, utilize dados sensíveis, de crianças, adolescentes ou idosos.
O sistema em causa se enquadra em todas os critérios específicos que, juntamente com o critério geral da realização em larga escala, fazem com que este tratamento de dados seja classificado como de alto risco.
Para estar em conformidade com a LGPD, portanto, o uso deste sistema precisa ultrapassar os pontos expostos, dentre outros, e adotar medidas reforçadas no sentido da sua responsabilização e prestação de contas.