A atuação do judiciário em litígios envolvendo uso de ferramentas de reconhecimento fácil e sua correlação com a LGPD

Por Juliana Peixinho

A aplicação das penalidades administrativas da Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 1° de agosto de 2021 e esta novidade já vem causando ansiedade no mercado com relação a possíveis penalidades que podem vir a ser aplicadas pela ANPD. 

No entanto, é importante destacar que além das previsões da LGPD, as empresas também devem se preocupar com a atuações dos demais órgãos de defesa do consumidor, que por sua vez podem fiscalizar questões relacionadas à proteção de dados de consumidores. 

Para ilustrar como estes órgãos têm agido no cenário jurídico mesmo antes da entrada em vigor da LGPD, analisaremos dois casos emblemáticos levados ao judiciário. Veremos que, em ambos os casos, o foco foi a utilização de ferramentas de reconhecimento facial sem a devida informação ao consumidor.

Uso de reconhecimento facial em lojas de roupas

Para entendermos o caso, precisamos conhecer um de seus protagonistas: o Idec – Instituto Brasileiro de Defesa do Consumidor – uma associação de consumidores sem fins lucrativos que atua ativamente na representação dos interesses de consumidores. 

Em 2019, antes mesmo da entrada em vigor da LGPD, o Idec notificou uma conhecida marca de vestuários em razão do uso de câmeras de reconhecimento facial e identificação de radiofrequência em uma de suas lojas conceito.  

A empresa utilizava ferramentas de reconhecimento facial para captar as reações dos consumidores aos produtos disponíveis e assim realizar análises para fins de marketing e publicidade. Os consumidores, por sua vez, não recebiam qualquer informação sobre a referida captura de reações ou sobre a finalidade para as quais eram utilizadas. 

Ao tomar conhecimento de tal prática, o Idec notificou a empresa para que prestasse esclarecimentos. Posteriormente, foi aberto processo administrativo junto à Secretaria Nacional do Consumidor (SENACON) e ao Ministério da Justiça e Segurança Pública (MJSP), por meio do Departamento de Proteção e Defesa do Consumidor (DPDC). 

A SENACON entendeu que houve violação no dever de informação ao consumidor, bem como a utilização de práticas abusivas decorrente da utilização de tecnologia para a coleta de dados de consumidores sem a devida comunicação.

Embora a loja tenha posteriormente cessado a utilização da tecnologia e eliminado os registros dos dados captados, o órgão levou em consideração as possíveis violações aos direitos básicos previstos no CDC à época dos fatos e multou a empresa.

É importante destacar que embora a LGPD não estivesse em vigor à época dos fatos, tal prática ensejaria possível aplicação da lei, sobretudo em razão da inobservância do princípio da transparência. 

A transparência em relação ao tratamento dos dados pessoais é um dos pilares da LGPD. Os titulares devem ter fácil acesso a informações claras e precisas sobre a realização do tratamento e os respectivos agentes de tratamento. 

Uso de reconhecimento facial no transporte público

Outro caso que movimentou o judiciário brasileiro está relacionado ao uso de ferramentas de reconhecimento facial em estação metroviária, por concessionária de serviços de transporte público. 

A empresa teria utilizado ferramentas de reconhecimento facial em suas “portas interativas digitais”, que possuíam câmeras capazes de detectar a presença humana e captar as expressões emocionais, gênero e faixa etária do indivíduo, sempre que ele estivesse posicionado em frente ao sensor. 

Novamente, o Idec protagonizou o caso e protocolou, em 2018, ação civil pública contra a empresa exigindo a imediata cessação da coleta de dados e o desligamento e retirada definitiva das câmeras já instaladas. 

Segundo o Idec, faltou transparência com os usuários, pois as câmaras eram praticamente imperceptíveis e não havia qualquer indicação nas intermediações do metrô acerca da existência das portas interativas. No decorrer do processo, houve ainda ampla discussão sobre a coleta de dados biométricos e sobre a imposição de obrigações excessivas ao consumidor para utilização de serviço de transporte público.

De acordo com o relatado no processo, a ação tinha como objetivo obter receita a partir da venda desses dados para terceiros, que por sua vez poderiam utilizá-los para direcionar suas estratégias de publicidade a partir das reações identificadas. 

Em decisão de primeira instância, a empresa foi condenada a pagar a multa de cem mil reais sendo vedado a reativação do sistema de reconhecimento facial. 

A decisão do Tribunal de Justiça do Estado de São Paulo foi a primeira do gênero no país em uma ação coletiva e previu expressamente em sentença a importância de conceder transparência aos consumidores no seguinte trecho: “Os usuários não foram advertidos ou comunicados prévia ou posteriormente acerca da utilização ou captação de sua imagem pelos totens instalados nas plataformas, ou seja, os usuários nem mesmo tem conhecimento da prática realizada”.

O caso ocorreu antes da entrada em vigor da LGPD, mas sua análise é fundamental para que possamos observar a atuação do judiciário nestes casos e sua correlação com os princípios da LGPD. 

Note que, em ambos os casos, o princípio da transparência esteve em foco, demonstrando que a transmissão de informações claras e acessíveis aos titulares é requisito primordial a ser observado pelas empresas.

É recomendável que as empresas busquem transmitir aos titulares ao menos as seguintes informações: (i) quais são as finalidades pretendidas com o tratamento; (ii) como os dados serão tratados e por quanto tempo (observados os segredos comercial e industrial); (iii) a identificação do controlador, nos termos da LGPD; (iv) as informações de contato do controlador; (v) as informações acerca do uso compartilhado de dados pelo controlador com outros agentes e a finalidade; (vi) como contatar o encarregado da empresa; (vii) as responsabilidades dos agentes envolvidos no tratamento dos dados e (viii) os direitos do titular. 

Note que uma informação genérica pode ser considerada insuficiente para atender o dever de transparência. As empresas devem ter cautela em como tais informações serão transmitidas, facilitando, sempre que possível, a compreensão pelos titulares de dados. 

Atualmente, diversas empresas optam por promover transparência sobre a forma como tratam dados pessoais por meio de políticas de privacidade e proteção de dados. A inclusão de notas com informações sobre a forma de tratamento de dados pessoais em formulários e meios de coleta de dados também é bem-vinda.  

Paralelamente, lembramos que é fundamental investir na capacitação e formação dos colaboradores que terão contato com dados pessoais, para que sigam as melhores práticas no tratamento de dados pessoais e entendam a importância do tema para a empresa. 

Contar com uma assessoria especializada na confecção de documentos e no treinamento de funcionários pode ser de grande valia para sua empresa. Caso opte por produzir estes documentos internamente, considere submetê-los à análise de um advogado especialista antes de implementá-los.