É legal usar câmeras de reconhecimento facial em espaços públicos?

Câmeras de reconhecimento facial se infiltraram em aeroportos, empresas, estádios e até supermercados.E cada vez mais nos vemos fazendo a mesma pergunta: se meu rosto for gravado na rua ou em uma loja, isso é legal ou não? Não se trata apenas de uma questão tecnológica; estamos falando de direitos fundamentais, privacidade e até que ponto estamos dispostos a ser monitorados para nos sentirmos mais seguros.

Ao mesmo tempo, A União Europeia aprovou um quadro regulamentar bastante exigente. (RGPD, LOPDGDD e agora a Lei Europeia sobre Inteligência artificialIsso estabelece um padrão muito elevado no que diz respeito ao tratamento de dados biométricos, como o reconhecimento facial. Portanto, embora vejamos muitas câmeras "inteligentes" no mercado e em propagandas, seu uso real é cercado por nuances legais, exceções muito específicas e riscos consideráveis ​​se não for feito corretamente.

O que exatamente é reconhecimento facial e por que é considerado tão sensível?

O reconhecimento facial é um tipo de tecnologia biométrica. que permite a identificação ou verificação de uma pessoa com base em suas características faciais. Não se limita simplesmente a "assistir a um vídeo": a câmera ou o sistema captura a imagem do rosto, o software a traduz em um modelo matemático (uma espécie de impressão digital facial) e, a partir daí, compara-o com outros modelos armazenados em um banco de dados. Em alguns projetos, parte do processamento pode ser feita no próprio dispositivo por meio de processamento de borda, ou seja, processamento no próprio dispositivoIsso reduz a necessidade de enviar dados para a nuvem.

Essa tecnologia não é nova.Já na década de 60, projetos pioneiros utilizavam coordenadas em fotografias para localizar olhos, narizes, bocas ou linhas do cabelo e compará-los manualmente. o tempo, os algoritmos de aprendizagem profunda Eles transformaram esse processo em algo automático, rápido e massivo, capaz de reconhecer rostos quase em tempo real em fluxos de vídeo de câmeras de vigilância.

Hoje em dia, o reconhecimento facial está integrado em uma infinidade de serviços do cotidiano.. Como Kit de ML GoogleDesbloqueie seu telefone e faça login. Aplicativos, pagar, entrar em um prédio, passar pela segurança do aeroporto ou até mesmo marcar amigos nas redes sociais. FacebookPor exemplo, o sistema etiquetava automaticamente centenas de milhões de fotos por dia, o que gerou enorme controvérsia sobre a privacidade do usuário e a falta de transparência em relação à forma como essas etiquetas eram criadas e utilizadas. bases de dados de rostos.

A questão jurídica fundamental é que o rosto constitui um dado biométrico. Os dados pessoais destinam-se a identificar de forma inequívoca uma pessoa singular. O Regulamento Geral sobre a Proteção de Dados (RGPD) classifica-os nas “categorias especiais de dados”, juntamente com os dados relativos à saúde, orientação sexual ou opiniões políticas. Isto significa que, em regra geral, o seu tratamento é proibido, salvo se existir uma base jurídica muito sólida (consentimento explícito, interesse público essencial, segurança pública protegida por lei, etc.).

Além da componente legal, existem problemas técnicos e éticos.Os algoritmos podem ser mais propensos a erros com certos grupos raciais, mulheres, jovens ou idosos, criando um viés que já foi relatado em inúmeros estudos. Esses erros não são inofensivos: podem levar a identificações incorretas, suspeitas infundadas e consequências legais injustas para pessoas que não fizeram absolutamente nada de errado.

Riscos e controvérsias: da vigilância em massa aos vieses algorítmicos

O uso generalizado do reconhecimento facial em espaços públicos levanta preocupações quanto à privacidade.Estamos falando de sistemas capazes de escanear o rosto de qualquer pessoa que passe em frente a uma câmera, compará-lo a enormes bancos de dados e rastrear seus movimentos sem seu conhecimento ou consentimento. Esse modelo de vigilância em massa, comum em países como a China, entra em conflito direto com direitos fundamentais europeus, como a privacidade, a liberdade de expressão e a liberdade de reunião.

Organizações de direitos humanos e autoridades de proteção de dados vêm alertando sobre isso há anos. A ideia de que uma rede de câmeras de reconhecimento facial em ruas, estações ou centros comerciais permitiria a localização de cidadãos 24 horas por dia, 7 dias por semana, é um mito. Além disso, ninguém explicou completamente de onde vêm todas as imagens que alimentam os bancos de dados comerciais ou policiais, por quanto tempo são armazenadas, quem tem acesso a elas ou se podem ser reutilizadas para outros fins (publicidade, monitoramento no local de trabalho, vigilância política etc.).

Os vieses tecnológicos representam outro risco importante.Diversas auditorias demonstraram que alguns sistemas reconhecem rostos de pessoas brancas muito melhor em condições ideais de iluminação, e falham com mais frequência com pessoas negras ou asiáticas. Para entender por que isso ocorre, é preciso considerar aspectos técnicos como... campos receptivos e a qualidade dos dados de treinamento. Essas deficiências podem levar a suspeitas infundadas, controles desproporcionais ou mesmo acusações errôneas, com um impacto particularmente grave em grupos já vulneráveis ​​ou discriminados.

Do ponto de vista da cibersegurançaBancos de dados de modelos faciais também são um alvo muito tentador.Se ocorrer uma violação de segurança, não estamos falando de uma senha que você pode alterar: seu rosto será seu rosto para sempre. Isso torna qualquer vazamento um problema potencialmente permanente, com a possibilidade de esses dados serem reutilizados em fraudes de identidade ou esquemas de falsificação.

Por todos esses motivos, as autoridades insistem que o reconhecimento facial deve ser considerado a opção mais invasiva. e só deve ser usado quando não houver alternativas menos intrusivas que alcancem o mesmo objetivo. Não basta dizer "é mais conveniente assim" ou "é mais moderno do que um cartão de acesso"; é preciso justificá-lo legal e eticamente.

O que dizem o RGPD, a LOPDGDD e a legislação espanhola sobre reconhecimento facial?

Na União Europeia, o RGPD é o regulamento-quadro que rege o tratamento de dados pessoais., incluindo dados biométricos. O Artigo 9º estabelece que o tratamento de dados biométricos destinados à identificação inequívoca de uma pessoa é proibido, salvo se se aplicar uma das exceções previstas, incluindo:

• Consentimento explícito da parte interessadaLivre, bem fundamentado, específico e verificável.
• Razões de interesse público essencialcontanto que esteja previsto em lei e que sejam estabelecidas salvaguardas adequadas.
• Razões de interesse público na área da saúde ou segurança pública, também amparado por lei.

Na Espanha, o RGPD é implementado por meio da LOPDGDD. (Lei Orgânica de Proteção de Dados e Garantia dos Direitos Digitais), que reforça os requisitos de proporcionalidade, minimização e segurança dos dados biométricos. A Agência Espanhola de Proteção de Dados (AEPD) chegou a publicar documentos específicos sobre identificação e autenticação biométrica, enfatizando que o reconhecimento facial não pode ser utilizado simplesmente por ser “mais conveniente”.

A Agência Espanhola de Proteção de Dados (AEPD) insiste que, antes de implementar um sistema de reconhecimento facial, é necessário verificar a disponibilidade do sistema.A organização deve realizar uma avaliação de impacto sobre a proteção de dados (AIPD). Essa avaliação deve analisar quais dados são coletados, para qual finalidade, quais riscos representam para os direitos e liberdades dos indivíduos e quais medidas técnicas e organizacionais serão implementadas para mitigar esses riscos.

As penalidades por uso indevido podem ser muito elevadas.O RGPD estipula multas de até 20 milhões de euros ou 4% do volume de negócios global anual total de uma empresa (o regulamento da IA ​​permite até 6% em certos casos). Em Espanha, já foram iniciados processos e emitidos avisos relativamente a sistemas biométricos mal concebidos, particularmente no local de trabalho e no retalho.

Em ambientes de trabalho, o uso do reconhecimento facial para controlar o acesso ou o registro de ponto é especialmente delicado.O consentimento do funcionário dificilmente pode ser considerado "livre" devido à relação de subordinação, portanto, a base legal geralmente busca se fundamentar no interesse público essencial ou em uma regulamentação específica. Os tribunais e a Agência Espanhola de Proteção de Dados (AEPD) deixaram claro que as empresas devem justificar por que não utilizam meios menos invasivos, como cartões, códigos ou impressões digitais, e que alegar simplesmente eficiência ou redução de fraudes é insuficiente.

A nova Lei Europeia de Inteligência Artificial (Lei de IA da UE) e o reconhecimento facial.

A Lei de Inteligência Artificial da União Europeia (Lei de IA da UE) deu mais um passo em frente. na regulamentação da IA, incluindo, muito importante, sistemas de videovigilância com reconhecimento facial. Entrou em vigor em agosto de 2024 e prevê uma implementação faseada das suas obrigações até 2026, mas algumas proibições já estão em vigor desde fevereiro de 2025.

Esta norma classifica os sistemas de IA em quatro níveis de risco.: inaceitável (proibido), alto, limitado e mínimo. A categoria de risco inaceitável inclui práticas como certos sistemas de vigilância biométrica em massa ou ferramentas de manipulação subliminar, que simplesmente não são permitidas na UE.

Em relação ao reconhecimento facial, a Lei de Inteligência Artificial distingue entre identificação biométrica remota em tempo real e identificação biométrica retrospectiva.Ambos os usos são geralmente considerados sistemas de alto risco e estão sujeitos a requisitos rigorosos: avaliação de riscos, supervisão humana, registros detalhados, alta qualidade de dados e medidas robustas de segurança cibernética.

Existe uma questão particularmente sensível: a identificação biométrica remota em tempo real em espaços de acesso público para fins policiais.A regulamentação classifica essa prática como um risco inaceitável e a proíbe, mas estabelece algumas exceções muito específicas, quase sempre ligadas à persecução de crimes graves ou ameaças terroristas.

Exceções são permitidas, mas sob condições muito rigorosas.Devem ser amparadas por regulamentação, exigir autorização judicial prévia, ser limitadas a um período de tempo e área geográfica específicos e ser comunicadas à autoridade competente de proteção de dados. Além disso, deve ser realizada uma avaliação de impacto específica e deve ser demonstrado que não existem alternativas menos intrusivas.

A polícia pode usar reconhecimento facial em espaços públicos?

No âmbito da legislação vigente, a polícia pode utilizar sistemas biométricos de reconhecimento facial. para a prevenção, detecção, investigação e repressão de infrações penais, bem como para a execução de sanções, desde que haja amparo legal e sejam respeitadas as garantias exigidas pelo RGPD e pela Lei de Inteligência Artificial.

O uso em tempo real em espaços públicos é o ponto mais problemático.A Lei de Inteligência Artificial considera, desde o início, uma prática proibida, mas inclui diversas exceções: busca por vítimas específicas de sequestro, tráfico ou exploração sexual; busca por pessoas desaparecidas; prevenção de uma ameaça específica, iminente e grave à vida ou à segurança física (por exemplo, um ataque terrorista); ou localização/identificação de suspeitos de certos crimes graves (terrorismo, homicídio, estupro, tráfico de armas ou drogas, etc.).

Essas exceções têm um alcance muito amplo em termos da gravidade dos crimes envolvidos.No entanto, não podem ser aplicadas de forma genérica ou preventiva. Requerem autorização judicial, um âmbito temporal e espacial muito específico e uma avaliação prévia do impacto nos direitos fundamentais, com notificação à autoridade de proteção de dados (em Espanha, a AEPD).

Fora do contexto de uso policial em tempo real, a identificação biométrica remota ocorre após o ocorrido. (Por exemplo, comparar imagens gravadas de um crime já cometido com um banco de dados de suspeitos) ainda é considerado de alto risco, mas não é proibido. É permitido com autorização judicial e desde que esteja vinculado a uma investigação criminal específica, evitando qualquer tentação de vigilância em massa ou prospectiva.

A decisão do governo francês de não utilizar o reconhecimento facial automático em tempo real nos Jogos Olímpicos de Paris 2024. Isso reflete a sensibilidade da opinião pública a essa questão. Embora a lei permitisse que tal vigilância se enquadrasse nas exceções para o combate ao terrorismo, na França, as preocupações com o impacto sobre as liberdades e o risco de normalizar um modelo de vigilância contínua de todos os participantes pesaram mais.

Reconhecimento facial em empresas e lojas: o que pode e o que não pode ser feito?

Para uma empresa privada, instalar câmeras de reconhecimento facial não é algo que possa ser feito de forma leviana.Em geral, não é legal usar essa tecnologia para monitorar clientes, visitantes ou funcionários em espaços públicos, a menos que haja uma base legal muito clara, o que quase nunca se encontra no setor privado.

A Agência Espanhola de Proteção de Dados (AEPD) reiterou que não basta citar razões de segurança ou eficiência.Para uma loja, supermercado ou mesmo um shopping center, as câmeras de vigilância tradicionais sem identificação biométrica geralmente são mais do que suficientes para prevenir furtos ou outros incidentes. A transição para o reconhecimento facial representa uma mudança significativa no nível de intrusão e exige que se justifique por que ela é estritamente necessária e proporcional.

Um exemplo bastante conhecido na Espanha é o chamado “caso Mercadona”.A rede testou um sistema de câmeras de reconhecimento facial em alguns supermercados para detectar automaticamente pessoas com ordens de restrição contra elas, proibindo-as de entrar nas lojas ou de interagir com seus funcionários. O objetivo declarado era alertar a polícia quando esses indivíduos entrassem nas instalações.

Embora a empresa afirmasse que as imagens eram processadas em apenas décimos de segundo e depois apagadas,Os tribunais e a Agência Espanhola de Proteção de Dados (AEPD) questionaram a proporcionalidade e a legitimidade da medida. O Tribunal Provincial de Barcelona decidiu que Mercadona Não pude continuar usando esse sistema: prevenir roubos ou inseguranças não era suficiente para legitimar um processamento tão intrusivo de dados biométricos, e também se considerava que o interesse protegido era basicamente privado, e não um interesse público essencial.

Este caso serviu de referência para outras empresas.Isso demonstra que, por ora, o reconhecimento facial em empresas para identificar pessoas com antecedentes criminais, devedores ou indivíduos em listas negras não atende aos padrões legais de proporcionalidade e fundamento jurídico. As empresas devem continuar a depender de medidas tradicionais, como videovigilância, segurança física e colaboração com as autoridades policiais.

Uso em espaços privados: residências, escritórios e condomínios residenciais.

Quando falamos de espaços privados, a situação muda um pouco.Mas ainda existem limites. Em uma residência particular, por exemplo, é possível instalar câmeras de segurança e, em princípio, dispositivos com capacidade de reconhecimento facial, desde que seu uso seja estritamente doméstico e que não capturem sistematicamente imagens de vias públicas ou propriedades alheias. É comum conectar esses dispositivos a aplicativos de gerenciamento, por exemplo. iPolis MobilePara visualizar as câmeras pelo seu celular.

Em escritórios e centros comerciais, o reconhecimento facial pode ser usado para controle de acesso ou registro de ponto. Desde que haja uma base legal adequada, os trabalhadores e visitantes são claramente informados e, de preferência, são oferecidas alternativas menos intrusivas para aqueles que não desejam utilizar esse sistema. Na Espanha, certos usos biométricos para controle de ponto ou acesso são permitidos, mas sob condições rigorosas e com uma avaliação prévia de impacto.

A Agência Espanhola de Proteção de Dados (AEPD) também alertou sobre o uso de câmeras "inteligentes" com funções de IA. (como as de alguns fabricantes de videovigilância) em condomínios residenciais, garagens ou áreas comuns. Se o sistema incorporar análise facial para identificar pessoas, simplesmente colocar uma placa genérica de videovigilância não é suficiente: isso configuraria o processamento de dados biométricos, o que, na prática, será difícil de justificar e poderá resultar em penalidades.

A recomendação geral para empresas e indivíduos é que ajam com prudência.Desative as funções de reconhecimento facial em dispositivos comerciais se não houver uma base legal muito clara, limite-se à vigilância por vídeo tradicional e reforce a segurança com outras medidas (controle de acesso, fechaduras inteligentes, alarmes, etc.) que sejam menos invasivas à privacidade.

Em qualquer caso, mesmo em cenários onde o reconhecimento facial possa ser considerado legítimo.É obrigatório informar claramente os indivíduos afetados, estabelecer políticas de privacidade acessíveis, aplicar medidas de segurança robustas (como criptografia e controle de acesso ao sistema) e minimizar a quantidade de dados coletados e o tempo de retenção.

Aglomerações, segurança pública e proporcionalidade.

Eventos de massa como concertos, jogos de futebol ou grandes celebrações desportivas. Esses são cenários tentadores para testar tecnologias de videovigilância com inteligência artificial. Não é coincidência que seu uso tenha sido considerado durante as Olimpíadas de Paris: são ocasiões em que a segurança é uma preocupação central e em que os governos temem particularmente ataques terroristas.

Do ponto de vista jurídico, a legitimidade do uso do reconhecimento facial nesses contextos deve ser analisada caso a caso.São avaliados fatores como a existência de ameaças específicas, a magnitude do evento, o nível de risco à vida ou à integridade física das pessoas e a existência (ou não) de alternativas menos invasivas que ofereçam um grau suficiente de proteção.

O clima geopolítico internacional e os alertas sobre possíveis ataques terroristas. Eles defendem que se considere um reforço específico da vigilância por vídeo proporcional, mas mesmo assim, o uso do reconhecimento facial automático pode ser considerado excessivo se envolver a identificação e o registro indiscriminado de todos os participantes.

O exemplo francês ilustra bem essa tensão.Apesar de dispor das ferramentas legais e técnicas para implementar o reconhecimento facial em estádios e áreas destinadas a torcedores, o governo optou por utilizar a análise de comportamentos suspeitos sem a identificação biométrica individualizada. O receio de normalizar a vigilância constante da população supera o potencial benefício adicional em comparação com outras medidas de segurança mais tradicionais.

Na Europa, a mensagem geral é que a segurança não pode ser usada como desculpa para estabelecer vigilância permanente.Qualquer medida tecnológica deve ser necessária, proporcional e limitada no tempo e no espaço, com forte controle parlamentar, judicial e administrativo, e com mecanismos de auditoria independentes.

Portanto, na prática, mesmo quando a lei abre caminho para certos usos excepcionais do reconhecimento facial,Muitos governos e organizadores de eventos preferem não ultrapassar esse limite, cientes da rejeição social e das possíveis consequências legais caso se considere que a essência dos direitos fundamentais foi violada.

Atualmente, a fotografia para reconhecimento facial, tanto do ponto de vista legal quanto tecnológico, é complexa e está em constante evolução.Atualmente, na Europa, e particularmente na Espanha, seu uso em espaços públicos abertos, especialmente em tempo real, é fortemente restrito e, em muitos casos, proibido. Somente a polícia, sob condições muito específicas e com autorização judicial, pode utilizá-la para crimes graves ou ameaças terroristas, enquanto empresas privadas têm um escopo muito limitado para seu uso além de contextos muito específicos de controle de acesso, e sempre com salvaguardas reforçadas. Para qualquer organização ou indivíduo que considere implementar essa tecnologia, a chave é entender que ela não é "apenas mais uma câmera", mas uma ferramenta extremamente intrusiva que exige uma sólida justificativa legal, uma avaliação de impacto completa e absoluto respeito aos direitos humanos.