Reconhecimento facial em condomínios: Segurança ou riscos agravados?

Muitos condomínios residenciais (mas não somente os residenciais) têm utilizado sistemas de reconhecimento facial por razões de segurança. Contudo, o próprio sistema pode agravar os riscos pessoais e patrimoniais, na medida em que as empresas gestoras destes controles acabam por promover uma concentração das informações pessoais dos condôminos e moradores, incluindo os dados biométricos utilizados no reconhecimento facial. Em razão disso, estas empresas se convertem em verdadeiros bancos de valores - bancos dos valiosos dados pessoais sob sua custódia, que despertam os mais variados interesses e se sujeitam a violação. Afinal, a posse destes dados, para além da violação da privacidade, possibilita ao seu detentor a prática de fraudes e outros crimes, colocando os condôminos e moradores sob riscos pessoais e patrimoniais - os mesmos riscos dos quais pretendiam se proteger com a implantação do sistema de reconhecimento facial.

Encontra-se sob investigação uma denúncia de vazamento de dados do sistema de reconhecimento facial de uma empresa que administra condomínios no interior de São Paulo e em Minas Gerais.¹

Além das fotos para autenticação da identidade dos moradores, os invasores teriam acessado outros dados, tendo disponibilizado informações em forma de capturas de tela de cadastros do sistema, com CPF, RG, data de nascimento, telefone, e-mail, modelo e placa dos veículos.²

A empresa nega que o seu sistema tenha sido invadido, mas sabe-se ser possível que ele tenha sido invadido sem "deixar rastros", como afirmou o Professor de Segurança da Informação ouvido pela reportagem.

Do ponto de vista do direito à proteção de dados pessoais, impõem-se algumas reflexões.

Uma delas diz respeito à situação da empresa no que tange à conformidade em proteção de dados, o que tem relação direta com a gravidade da sua conduta e o seu grau de sua responsabilização. A observância das normas e parâmetros impostos pela LGPD -  lei 13.709/18 tem o propósito de reduzir os riscos associados ao tratamento dos dados pessoais e isto significa, essencialmente, concretizar os princípios da Lei e implementar os direitos dos titulares dos dados.

A conjugação dos princípios da finalidade, adequação e necessidade impõe um juízo valorativo acerca dos dados coletados, sobre a legitimidade e especificidade do seu propósito, bem como a adequação e efetiva necessidade de utilização destes dados, numa perspectiva de proporcionalidade e minimização.

Por exemplo, embora a biometria se compreenda num espectro de adequação para a finalidade de autenticação da identidade de uma pessoa, deve-se avaliar e justificar racionalmente, para fim de registro com vistas à responsabilização e prestação de contas (art. 6º, X da LGPD), a opção pela sua utilização e não de outra forma de se chegar ao mesmo objetivo. Isto porque o princípio da necessidade, na sua vertente da minimização, impõe que se afigura como indicado, para alcançar cada finalidade específica, o dado pessoal menos invasivo da esfera jurídica do titular. Significa dizer que, se for possível alcançar o propósito almejado por outro meio, que seja menos invasivo, aquele dado biométrico utilizado viola o princípio da necessidade.

Esta avaliação tem lugar no necessário RIPD - Relatório de Impacto em Proteção de Dados, documento indispensável para as operações de tratamento de dados pessoais que importem num elevado grau de risco para os titulares dos dados. A utilização de autenticação biométrica é um destes casos, dado o grau de risco que a utilização deste dado pessoal, por si só, representa para o seu titular. Na elaboração do RIPD, a empresa necessariamente tem de fazer e responder questões-chave, de modo que a análise do conjunto destas respostas conduza a uma tomada de decisão criteriosa e responsável. Neste processo, são avaliados os possíveis riscos para os titulares de dados e as medidas que possam ser implementadas para a sua mitigação. Este documento constituirá um elemento central da defesa da empresa responsável pelo tratamento dos dados, em caso de violação destes dados e sua responsabilização. Isto porque o princípio da prevenção impõe que as medidas técnicas e administrativas, destinadas a proteger os dados de acessos não autorizados, ou de situações de tratamento inadequado ou ilícito, ainda que acidentais, devem ser implementadas com o objetivo de prevenir a ocorrência de violação e dano. Em outros termos, quando a empresa tiver que se defender, a situação de violação dos dados já terá acontecido, de modo que dela será exigido que demonstre as medidas implementadas preventivamente para evitar a violação e os danos, bem como a aptidão de tais medidas para os fins visados (princípio da accountability).

A LGPD obriga as empresas a manter o registro das suas operações de tratamento de dados, o que constitui uma obrigação autônoma (a inexistência dos registros importa em descumprimento da Lei), e que gera evidências acerca do modo como é realizado o tratamento dos dados pessoais. Na perspectiva da empresa, tais registros são também importante peça de defesa para as situações em que ocorre a violação dos dados.

Numa situação como a do caso concreto mencionado no início e que se encontra sob investigação policial, são relevantes também o grau de informação e de acesso que os titulares de dados tinham em relação à forma como os seus dados, incluindo os biométricos, eram tratados - o grau de transparência aplicado pela empresa no tratamento destes dados - além da hipótese legal utilizada para tais operações. A LGPD determina que o tratamento de dados sensíveis, como os biométricos, depende do consentimento do titular, sendo o consentimento um ato de manifestação de vontade qualificado, que para ser válido deve cumprir alguns requisitos, tais como ser expresso, livre, inequívoco, devidamente informado. Dentre as informações que deveriam ter sido disponibilizadas para os condôminos, para que o consentimento fosse considerado informado, estão o software utilizado e como ele funciona, os dados de identificação pessoal efetivamente capturados e utilizados na autenticação, como e onde são armazenados os dados, se são compartilhados com terceiros (e quais os terceiros), o tempo de manutenção destes dados, a sua forma de descarte, os principais riscos concretos a que estariam sujeitos os condôminos e moradores, dentre outras.

Um consentimento para tratamento de dados, para ser válido, deve munir o titular destes dados de informações que lhe confiram condições de compreender e avaliar os riscos inerentes ao tratamento dos seus dados. Esta é informação central para um titular de dados exercer o seu direito à autodeterminação informacional - compreender os riscos a que está sujeito - e implica na observância dos princípios da boa fé (lealdade), da transparência e da proporcionalidade, no sentido de equilibrar as posições jurídicas das partes nesta relação.

Há quem defenda o uso da identificação biométrica sem o consentimento do titular, com fundamento na hipótese legal de "garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos" (art. 11, II, "g" da LGPD). Entretanto, a LGPD dispõe que, no que tange aos dados sensíveis, para realizar o seu tratamento sem o consentimento do titular, é preciso demonstrar a indispensabilidade deste tratamento de dados para o propósito específico e legítimo almejado (art. 11, II, caput). Tal indispensabilidade pode, por exemplo, restar demonstrada no Relatório de Impacto (RIPD) realizado antes de iniciado o uso dos dados biométricos para reconhecimento facial.

O Idec - Instituto Brasileiro de Defesa dos Consumidores manifestou o entendimento de que o reconhecimento facial somente deve ser implantado mediante o consentimento de cada morador ou condômino,³ devendo ser estabelecidas vias alternativas de autenticação para quem não consentir. Alerta que estas pessoas não podem sofrer tratamento discriminatório, restrições ou penalidades em razão da sua decisão. E aqueles que consentirem podem revogar o consentimento a qualquer tempo, porque a revogação do consentimento dado é um dos direitos do titular dos dados.

Outra vertente que suscita importante reflexão diz respeito à possibilidade de responsabilização civil da empresa e/ou do condomínio, relativamente à questão específica da configuração do dano passível de ser indenizado.

O STJ, quando decidiu que na hipótese de vazamento de dados o dano não seria presumido (AREsp 2130619/ SP), ressaltou que a situação seria diferente se se tratasse de dados sensíveis, como é o caso dos dados biométricos utilizados para o reconhecimento facial.

O TJ/UE, no julgamento do processo C-340/21, em dezembro de 2023, decidiu que, numa situação de vazamento de dados, o receio que um titular de dados sinta de uma eventual utilização abusiva dos seus dados pessoais por terceiros é suscetível, por si só, de constituir "danos [...] imateriais" a serem indenizados. Segundo o TJUE, configura dano indenizável a "perda de controle" do titular sobre os seus próprios dados, em decorrência de uma violação do Regulamento Geral de Proteção de Dados (GDPR), ainda que não tenha havido uma utilização efetivamente abusiva dos dados.

Considerando-se que o Ordenamento Jurídico brasileiro contém as bases para um entendimento semelhante àquele do TJUE, de que o receio de uso indevido dos dados pessoais, em decorrência de uma violação da LGPD, pode se qualificar, por si só, como dano indenizável, consoante expusemos no artigo "O receio de uso indevido dos dados pessoais vazados é dano indenizável"⁴, publicado no portal migalhas.com.br, e ainda, o entendimento do STJ de que o vazamento de dados sensíveis pode ensejar a configuração de dano presumido, a utilização de sistemas de reconhecimento facial em condomínios deve ser avaliada também sob o prisma da intensidade da repercussão da responsabilidade civil para as empresas, em caso de incidentes de segurança que importem em violação de dados pessoais, e se dispõem estas de meios técnicos e recursos financeiros para reduzir e reparar danos materiais e imateriais (morais).

Estes são alguns pontos de reflexão que indicam que a decisão pela instalação de um sistema de reconhecimento facial não deve se pautar por uma visão unidirecional dirigida à segurança pessoal e patrimonial direta dos condôminos e moradores do condomínio. A implementação de um sistema desta natureza promove o deslocamento do risco de segurança pessoal e patrimonial, da portaria do condomínio para os bancos de dados da empresa administradora de condomínios. O fato do risco ser indireto, por passar primeiro por uma violação da privacidade dos titulares dos dados, não o torna menos concreto para as pessoas e patrimônios envolvidos. A empresa gestora dos dados pessoais precisará demonstrar e manter um rigoroso estado de conformidade em proteção de dados pessoais. E a decisão pela instalação ou não do sistema deve ser uma decisão responsável, fundada em indicadores concretos e realistas, que considerem os riscos e as respectivas medidas de mitigação, numa perspectiva de proporcionalidade. Esta tomada de decisão implica em responsabilidade tanto para o decisor, quanto para a empresa administradora do condomínio e/ou gestora do sistema de reconhecimento facial.