O reconhecimento facial no metrô de São Paulo e a LGPD

A concessionária que administra a Linha 4 – Amarela do metrô de São Paulo, foi condenada pelo Tribunal de Justiça de São Paulo – TJSP – ao pagamento de indenização por danos morais coletivos no valor de R$500.000,00. Nas plataformas das linhas Luz, República, Paulista, Fradique Coutinho, Faria Lima, Pinheiros e Butantã, foram instaladas câmeras com um sistema que, além do reconhecimento facial, captava, para fins de pesquisa do mercado publicitário, outras informações, como gênero, faixa etária e expressão emocional. O sensor instalado nas portas, logo acima de uma propaganda, contabilizava quantas pessoas passavam por ela e qual a reação que os passageiros expressavam: neutralidade, raiva e alegria. Não havia qualquer informação aos usuários nas plataformas sobre esta captação e sua finalidade.

Na ação civil pública movida pelo Instituto Brasileiro de Defesa do Consumidor (Idec), foi requerido: i) o encerramento da coleta de dados das portas interativas; ii) implementação de ferramenta de informação e coleta de consentimento expresso do usuário para a coleta de dados biométricos; iii) pagamento de indenização por danos coletivos e morais. A decisão de Primeiro Grau apontou que apesar da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) ser posterior ao início da captação das imagens objeto dos autos, a questão acerca das determinações da sentença quanto à obrigação de fazer e de não fazer, por ter efeitos futuros, se submetem à regência da LGPD.

Diante disso, o juízo apontou que a LGPD estabelece a proteção aos dados pessoais observando o princípio da finalidade, que prevê que o tratamento deve ter propósitos legítimos, específicos, explícitos e informados ao titular, não sendo permitido tratamento posterior que não se alinhe a essas finalidades. Aqui, cabe salientar a necessidade de saneamento das bases de dados cuja coleta é anterior à LGPD, visto que a adequação contempla o tratamento de dados pessoais sem distinção de ser posterior ou anterior à lei. A concessionária argumentou que os equipamentos não armazenavam as informações coletadas, visto que não contavam com dispositivos de memória para tanto, utilizando, assim, os dados, apenas para fins de estatística, o que não comprovou no processo. A condenação do primeiro grau foi mantida em grau de recurso. Em que pese, o processo tenha sido movido com fundamento também no Código de Defesa do Consumidor, as questões pertinentes à proteção de dados pessoais devem ser observadas.

Os dados pessoais considerados sensíveis estão relacionados às características da personalidade e honra de pessoa física, nesta categoria, se pode classificar o dado genético, o dado biométrico, a opinião política, a origem racial ou étnica, os dados de caráter religioso ou filosófico (art. 5º, II, LGPD). O reconhecimento facial pode fazer parte desta categoria de dados considerados sensíveis, para os quais a Lei , no inciso I do artigo 11, ressalta que  o titular ou seu responsável legal deve consentir o tratamento, de forma específica e destacada, para finalidades específicas, ou seja, devidamente informado sobre objetivo da coleta.

A LGPD apresenta algumas situações em que o consentimento explícito do titular de dados pessoais não é obrigatório, são “exceções ao consentimento”, que se encontram no inciso II do artigo 11. O reconhecimento facial pode, dependendo do contexto, estar entre esses casos de exceção. Isso não quer dizer que a legislação permite tratar os dados sem transparência, sem observar as finalidades, a base legal, ou, ainda, negligenciando os riscos de tratamento para fins discriminatórios. A segurança dos dados, igualmente, deve ser observada em toda a rotina de tratamento e, se houver, garantindo o compartilhamento com grau semelhante de proteção, o que implica em conhecer os prestadores de serviços, parceiros e fornecedores com acesso às informações. Uma governança de dados segura e eficaz eleva o nível de reputação empresarial e possui relação direta com o compliance.

Em situações pontuais, como aquelas que envolvem segurança, os agentes de tratamento públicos ou privados têm a obrigação de informação ao titular sobre a coleta de dados, o que pode ser feito por meio de placas, informativos, QR Code, por exemplo, sem que isso obrigue à declaração de consentimento. A finalidade declarada pelo agente de tratamento ao titular, seguindo a hipótese legal estabelecida na LGPD, acaba por ser vinculativa. Se, por qualquer motivo, os dados já coletados tiverem tratamento para fim diverso, o titular deverá ser informado e consentir ou não.

O tratamento de dados pessoais sempre deve observar a LGPD. Nos casos em que a coleta for anterior à Lei, é recomendado que seja feito o adequado saneamento para que o agente esteja adequado e, por consequência, em compliance. Essas são políticas de governança corporativa que podem integrar as práticas em ESG, tornando a empresa mais ética, idônea, confiável e com melhor reputação no mercado.