A videovigilância no contexto das recentes posições da União Europeia: tendências futuras

Texto originalmente publicado no número 41 da Revista Proteger (páginas 23-25) da Associação Portuguesa de Segurança (APSEI).

1- Os últimos tempos têm sido férteis em documentos e tomadas de posição relativos à utilização de meios de videovigilância por parte de instituições da União Europeia. Assim, (i) foram aprovadas definitivamente as Guidelines 3/2019, pelo Comité Europeu para a Proteção de Dados relativas ao tratamento de dados pessoais através de mecanismos de vídeo (29/1/2020) [1], e (ii) foi conhecido publicamente um draft futuro documento que, entre outros temas, propõe restrições muito sérias ao reconhecimento facial através da videovigilância (12/12/2019). [2]

2- As Guidelines encontram-se dentro das competências do Comité previstas no artigo 70.º articulado com o artigo 93.º, ambos do RGPD. Atendendo a que os tratamentos de dados relativos a videovigilância não se encontram previstos no RGPD, o tema carecia de uma interpretação, não vinculando porém os Estados a uma interpretação única.

O documento distingue entre camaras de videovigilância utilizadas apenas com uma finalidade e outras que se transformam em smart cameras, explorando as imagens e, eventualmente, o som, obtendo destes elementos informação suplementar – gerando risks of secondary use ou risks of misuse - que deve estar subordinada aos princípios previstos no artigo 5.º do RGPD: princípio da limitação das finalidades; princípio da minimização dos dados; princípio da exatidão; princípio da limitação da conservação; princípio da proporcionalidade; princípio da integridade e confidencialidade e princípio da responsabilidade. [3]

3- A utilização de camaras de videovigilância no espaço público ou aberto ao público deve estar limitada ao princípio da proporcionalidade. Ou seja, o risco da existência de crimes, que pode surgir em qualquer momento e qualquer espaço, deve ser fundamentado, por exemplo, através da apresentação de estatísticas que demonstrem uma elevada taxa de criminalidade ou de comportamentos que coloquem em causa a segurança pública.

Ao conseguir demonstrar-se estas condições o Comité considera que, como fundamento de legitimidade, se está perante um situação de interesse legítimo, que se traduz em: “a existência de um tratamento legítimo requere uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade”. [4]

As Guidelines do Comité identificam, ainda, a videovigilância com o um tratamento de dados pessoais residual, que só deve ser utilizado se não existir outro de caráter menos intrusivo para a finalidade de segurança que se pretenda prosseguir. A prioridade deve ser dada a espaços mais iluminados, à criação de barreiras físicas, ao patrulhamento físico, entre outras formas de proteção das pessoas e do espaço citadas no texto.

3.1. Com menção ao reconhecimento facial [5] , ele integra-se na informação biométrica que, de acordo com o RGPD faz parte da categoria especial de dados (artigo 9.º) e, segundo o Comité pode causar riscos muito intensos para os titulares dos dados, daí que se recomende a elaboração de estudos de impacte para aferir se se trata de um mecanismo de controlo efetivamente necessário.

Há que tomar em atenção o Considerando 51 do RGPD que distingue entre fotografias e imagens biométricas: “O tratamento de fotografias não deverá ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que são abrangidas pela definição de dados biométricos apenas quando forem processadas por meios técnicos específicos.”

No caso português, por exemplo, a captação de imagens de pessoas e matrículas de automóveis (que constituem, também, dados pessoais) integram-se dentro das matérias que a abrangidas pela necessidade de avaliação de impacto de acordo com o artigo 29.º da Lei n.º 59/2019, de 8 de agosto.

De acordo com o n.º 1 dessa disposição: “no caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos, liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das operações que o compõem antes de lhe dar início”, sendo necessária a consulta prévia da autoridade de controlo nos termos do artigo 30.º da mesma lei.

4- De acordo com a Agência Europeia de Direitos Fundamentais (FRA), a tecnologia de identificação facial permite comparar automaticamente dois ou mais rostos através de imagens digitais identificando uma imagem e comprando-a com outras. [6]

Mais rigorosamente o Grupo do Artigo 29 (criado no âmbito da Diretiva 95/46/CE e cujos trabalhos fazem parte do acervo do Comité Europeu para a proteção de Dados) no Parecer 2/2012 definiu o reconhecimento facial como o processo automático de tratamento de imagens automáticas com a finalidade de identificação, autenticação, verificação da identidade ou categorização de indivíduos determinados. [7]

Os recentes desenvolvimentos da Inteligência Artificial permitiram o desenvolvimento desta tecnologia não só na Europa, como no mundo, abrindo a possibilidade a formas mais eficazes de garantir a segurança pública, mas, também, à utilização do reconhecimento facial de forma ofensiva a direitos, liberdades e garantias, como ocorre em larga extensão do território chinês.

Os perigos para os direitos fundamentais do reconhecimento facial para os direitos fundamentais levaram a Comissão Europeia a apresentar um draft em que se defende que no espaço público o reconhecimento facial seja proibido – ban - por um período definido, por exemplo de 3 a 5 anos, durante os quais sejam estudados e eliminados os riscos de uma utilização desta tecnologia que não tome em atenção os riscos da sua adoção [8]. Trata-se de salvaguardar direitos fundamentais contra eventuais abusos tecnológicos.

5- O caso português – recentes decisões da CNPD

A Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de julho de 2016 (sobre proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados), no seu considerando 26 refere expressamente a possibilidade de recurso à videovigilância para efeitos de “prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, desde que estejam previstas na lei e constituam uma medida necessária e proporcionada numa sociedade democrática”. Ou seja, a legislação permite uma utilização necessariamente limitada da videovigilância no espaço público com o fim de garantir a segurança pública.

Nos tempos mais recentes a Comissão Nacional de Proteção de Dados (CNPD) aprovou dois pareceres negativos – 92/2019 [9] e 93/2019 [10] - relativos à utilização de camaras de videovigilância em Portimão e em Leiria que dispunham de tecnologias de soft recognition e de machine learning. Ou seja, no limite, situações em que a capacidade de autoaprendizagem da máquina não está ligada diretamente a uma intervenção humana.

A autoridade de controlo portuguesa referiu ser necessária a avaliação de impacto prevista na Lei n.º 59/2019, de 8 de agosto, referindo-se igualmente a opacidade com que se verificava todo o processo de análise da informação, não permitindo garantir direitos de particulares.

Os pareceres da CNPD não tornam insuperável a utilização da tecnologia apresentada em Portugal desde que exista um estudo e uma justificação mais aturada para o efeito.

De todo o modo, a CNPD acompanha nesta matéria as preocupações das instituições da União Europeia sobre a implantação de tecnologis que podem ser nocivas para a proteção de direitos fundamentais.

[1] Disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices.pdf (consultado em 31 de janeiro de 2020).

[2] https://www.euractiv.com/section/digital/news/leak-commission-considers-facial-recognition-ban-in-ai-white-paper/ : (consultado em 31 de janeiro de 2020).

[3] Alexandre Sousa Pinheiro e Carlos Jorge Gonçalves, “Comentário ao artigo 5.º” in Alexandre Sousa Pinheiro (coord.), Cristina Pimenta Coelho, Tatiana Duarte, Carlos Jorge Gonçalves e Catarina Pina Gonçalves in “Comentário ao Regulamento Geral de Proteção de Dados”, Coimbra, Almedina, 2018, p. 206 e ss.

[4] Alexandre Sousa Pinheiro e Carlos Jorge Gonçalves, “Comentário ao artigo 6.º”, op. cit., p. 221.

[5] Sobre a sua origem ver: Shaun Raviv, “The Secret Story of Facial Recognition” in “Wired”, Janeiro 2019: disponível em: https://www.wired.com/story/secret-history-facial-recognition/ (consultado a 31 de janeiro de 2020).

[6] In “Facial recognition technology: fundamental rights considerations in the context of la enforcement FRA Focus”, 2019, p. 2.

[7] Disponível em: https://www.pdpjournals.com/docs/87997.pdf (consultado a 31 de janeiro de 2020).

[8] https://www.euractiv.com/section/digital/news/leak-commission-considers-facial-recognition-ban-in-ai-white-paper/ : (consultado em 31 de janeiro de 2020).

[9] Disponível em: https://www.cnpd.pt/bin/decisoes/Par/PAR_2019_92.pdf (consultado em 31 de janeiro de 2020).

[10] Disponível em: https://www.cnpd.pt/bin/decisoes/Par/PAR_2019_93.pdf (consultado em 31 de janeiro de 2020).