Por Marcela Ejnisman e Isadora Fingermann*
Do mesmo modo como ocorreu recentemente com a Autoridade Canadense, a Autoridade Nacional de Proteção de Dados da Suécia (IMY) apurou que a Polícia Sueca realizava o tratamento de dados pessoais em desconformidade com a legislação daquele país sobre tratamento de dados pessoais no âmbito criminal, em razão do uso da tecnologia de reconhecimento facial da empresa americana Clearview AI, especializada em tecnologia de reconhecimento facial. No Canadá, o cerne da irregularidade da atividade da empresa foi a coleta de dados biométricos altamente sensíveis sem qualquer conhecimento e consentimento de seus titulares.
A IMY concluiu que a Polícia Sueca não cumpria suas obrigações como controladora de dados em relação ao uso da tecnologia da Clearview AI, especialmente no que diz respeito ao tratamento de dados biométricos para reconhecimento facial, o qual era realizado pela Polícia sem a implementação do data protection impact assessment (relatório de impacto à proteção de dados pessoais), que seria um relatório do controlador com a descrição dos processos de tratamento de dados pessoais capazes de gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Tendo em vista a não observância da legislação sueca aplicável ao tratamento de dados realizado para fins investigatórios, a IMY impôs uma multa administrativa de aproximadamente 250 mil euros, além de determinar que a Polícia conduza treinamentos de seus funcionários a fim de evitar qualquer tratamento de dados pessoais futuros em desrespeito às normas de proteção de dados pessoais. Além disso, a Polícia foi condenada a informar os titulares cujos dados foram divulgados para a Clearview AI e a garantir que quaisquer dados pessoais transferidos à empresa sejam eliminados.
No cenário brasileiro, o anteprojeto sobre tratamento de dados pessoais na área criminal (LGPD Penal) foi entregue à Presidência da Câmara dos Deputados em novembro de 2020. Assim como a legislação sueca, a LGPD Penal prevê a obrigatoriedade de elaboração do relatório de impacto à proteção de dados pessoais para tratamento de dados pessoais sensíveis, sigilosos, ou em operações que apresentem elevado risco aos direitos fundamentais, liberdades e garantias individuais dos titulares de dados. Cabe destacar ainda que a requisição deste relatório pode ser feita pelo Conselho Nacional de Justiça, Ministério Público e Defensoria Pública.
Nos termos da Exposição de Motivos do Anteprojeto da LGPD Penal, a utilização de dados pessoais para fins de segurança pública e persecução penal demanda um regime jurídico diferenciado diante dos interesses conflitantes a serem equalizados: por um lado, é preciso harmonizar os deveres do Estado na prevenção e na repressão de crimes, protegendo a ordem pública; por outro, é preciso assegurar a observância das garantias processuais e das prerrogativas fundamentais dos cidadãos submetidos a investigações criminais.
Nessa perspectiva, imprescindível referido relatório de impacto, na medida em que a LGPD Penal não pode jamais perder de vista a necessidade de se harmonizar os princípios aplicáveis à proteção de dados pessoais, como os da proporcionalidade e da necessidade, às atividades persecutórias do Estado, preservando acima de tudo direitos fundamentais.
* Sócias de TozziniFreire Advogados
Martha Becker Connections
Daniel Rodrigues
daniel@marthabecker.com.br
F.: (51) 3029-7471/ 99979-0261