Segurança digital: quem cuida dos dados de câmeras de reconhecimento facial?
O Brasil já tem cerca de um milhão de condomínios onde a entrada é feita por reconhecimento facial, segundo estimativa da Associação Brasileira de Síndicos de Condomínio (Abrascond) com o Instituto Brasileiro de Geografia e Estatística (IBGE).
Mas o avanço no uso dessa tecnologia acontece sem transparência sobre quem coleta e guarda esses dados que são considerados sensíveis pela Lei Geral de Proteção de Dados (LGPD).
Sou obrigado a fazer reconhecimento facial no meu prédio? Entenda
Na prática, empresas que fornecem o serviço têm em mãos dados sensíveis de moradores, inclusive de crianças com pouca ou nenhuma supervisão. Entre essas informações estão imagem do rosto, CPF, número de apartamento e controle de acesso diário.
Casos como o vazamento e a venda de fotos de moradores de prédios de Jundiaí (SP) e a fraude de perfis no gov.br para obter empréstimos no INSS mostram a gravidade dos riscos envolvendo esse tipo de informação.
🔎 A LGPD determina que cabe à Autoridade Nacional de Proteção de Dados (ANPD) zelar e supervisionar o cumprimento da lei. Após receber uma denúncia formal, o órgão pode aplicar sanções.
A lei também exige que o consentimento para coleta de dados sensíveis — como a imagem facial — seja livre, informado e opcional.
Condomínios que não demonstrarem capacidade para armazenar corretamente imagens de rostos de moradores e visitantes podem ser multados em até R$ 50 milhões, explica Ronaldo Lemos, cientista-chefe do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio).
Ao g1, a ANPD diz ter ciência da crescente adoção do reconhecimento facial em condomínios e reconhece os desafios que isso representa para a proteção de dados sensíveis.
Ela afirma que o uso de reconhecimento facial em áreas de acesso público é uma das prioridades da fiscalização em 2024-2025. "Embora o tema dos condomínios não se encaixe exatamente nesse foco, a autoridade afirma estar atenta a essa tendência", informa a nota da ANPD.
O órgão não respondeu se realizou alguma auditoria ligada ao tema até hoje.
Em fevereiro, a ANPD viu indícios de irregularidades no uso de reconhecimento facial para venda de ingressos e acesso em estádios de 23 clubes de futebol. As falhas estavam relacionadas a falta de transparência e ao tratamento inadequado dos dados de crianças e adolescentes.
A agência destacou que o reconhecimento facial é tema de uma consulta pública aberta desde junho. Ela ficará disponível até 1º de agosto e qualquer pessoa pode participar (veja como). Até a última sexta-feira (11), a ANPD tinha recebido apenas 22 contribuições.
Entre os temas da consulta pública estão os cuidados necessários para prevenir fraudes no uso de dados biométricos e as formas de garantir os direitos dos titulares — como o acesso às informações, a correção de dados pessoais e o direito a informações claras.
"Assim que esse tipo de tecnologia (reconhecimento facial) começou a avançar nos prédios, a ANPD já deveria ter se movimentado. Agora começou, mas pode ser tarde demais, porque o uso já está muito disseminado. As imagens dos nossos rostos estão armazenadas por diversas empresas", afirma Lemos.
Sistema de reconhecimento facial no Tatuapé, Zona Leste de SP. — Foto: Cadu Lando/g1
Patrícia Peck, advogada de direito digital, destaca que, as fiscalizações da ANPD ocorrem apenas a partir de denúncias — ou seja, não há atuação ativa. E que, embora a ANPD seja o principal fiscalizador das empresas de biometria facial, não deveria atuar sozinha.
Quem lembra do surto que foi a TV 3D? Ou que a escolha de uma "tela plana" era ir até a loja e perguntar as diferenças entre LCD e plasma? E que tinha que ver filmes em DVD, porque simplesmente não existia nenhum serviço de streaming?
Você já se frustrou tentando desenformar um bolo e viu ele se despedaçar ou ficar grudado na forma? Ou pior, teve que usar uma faca para tentar soltar o bolo e quase estragou a assadeira?
“A Agência Nacional de Telecomunicações (Anatel) também poderia atuar, no que diz respeito aos equipamentos (câmeras), além do Ministério da Justiça e Segurança Pública (MJSP) e do Ministério Público, no que se refere ao cidadão", diz.
Nem os condomínios responsáveis por contratar as empresas que guardam os dados têm um relatório para requisitar às prestadoras a comprovação da segurança das biometrias em caso de vazamento, explica o advogado Robson César, do Sindicato dos Condomínios do Estado de São Paulo (Sindicond).
“O armazenamento das fotos é responsabilidade da empresa fornecedora do software, mas o uso dos dados cabe a quem acessa: síndico ou zelador. Esses pontos devem ser discutidos claramente na implementação do sistema”, explica David Brunstein, da Intersafe, empresa de segurança que instala esses equipamentos.
“Hoje, o síndico acredita que a empresa está fazendo o que foi combinado, mas não tem relatório, não tem confirmação de exclusão dos dados em caso de mudança do morador. É tudo um pouco informal”, diz Robson César.
“É uma tecnologia que precisa de uma adoção cuidadosa, devido à necessidade de segurança para evitar vazamentos e usos não autorizados, assim como falhas de autenticação, erro e viés discriminatório”, analisa Peck.
Brasil está entre os países com mais redes de reconhecimento facial
Reconhecimento facial — Foto: DELPHOS/Divulgação
O Brasil já ocupa o 15º lugar no ranking global de países com mais redes de câmeras de vigilância equipadas com reconhecimento facial, atrás do Vietnã, EUA, México e Reino Unido, segundo levantamento da Top10VPN, organização internacional de monitoramento de privacidade digital.
São mais de 266 mil redes mapeadas no Brasil, com predominância das marcas chinesas Hikvision e Dahua.
Usualmente o sistema de reconhecimento facial é implementado por duas empresas: a que disponibiliza o equipamento (câmeras e sensores) e a que guarda os dados.
“Isso cria uma cadeia de responsabilidade pouco clara, em que nem sempre se sabe quem realmente está com os dados”, explica Thallita Lima, coordenadora do projeto O Panóptico, que monitora o uso de tecnologias de vigilância no Brasil, no Centro de Estudos de Segurança e Cidadania (CESeC).
Falta de controle pode virar brecha para crimes
A pesquisadora explica que o sistema biométrico transforma o rosto em uma identidade digital única e intransferível. Mas, diferente de uma senha, essa “chave” não pode ser trocada caso vaze.
“Com o rosto e o CPF, já se consegue abrir conta em banco, pedir empréstimos, assinar procurações. E ainda há quem não saiba que forneceu esses dados”, alerta Thallita Lima.
Foi o que aconteceu em um dos maiores esquemas de fraude com biometria no país. Em maio deste ano, a Polícia Federal desbaratou uma quadrilha que burlava o sistema do gov.br com uso de alteração facial — uma técnica para simular traços de outras pessoas.
As vítimas eram tanto vivas quanto mortas. Com os dados faciais em mãos, os criminosos acessavam benefícios, autorizavam empréstimos consignados e até simulavam prova de vida em nome de terceiros (leia mais).
Em Jundiaí (SP), moradores denunciaram que seus dados biométricos teriam sido expostos em fóruns da dark web, como o g1 noticiou em maio do ano passado.
As informações incluíam nome completo, CPF, telefone, e-mail, número da placa do carro e imagem facial — tudo coletado no momento do cadastro para entrada no condomínio. A suspeita recaiu sobre uma empresa terceirizada que opera o sistema em prédios da região.
A empresa disse, à época, que foi alvo de tentativas de invasão e que o ataque teria sido neutralizado pelo sistema de segurança. Em nota, a Secretaria de Segurança Pública de São Paulo (SSP) afirmou nesta segunda-feira (7) que o caso não foi concluído e acabou arquivado.
Posso negar usar o reconhecimento facial?
O uso do reconhecimento facial, na maioria dos prédios residenciais, não oferece alternativa. Porém, de acordo com a LGPD, o condomínio teria que ser obrigado a apresentar uma alternativa.
“É comum as pessoas nem saberem que têm o direito de dizer não. E, se mudarem de ideia, não há garantias de que seus dados serão realmente apagados”, destaca Lima.
O advogado Robson César confirma que a remoção dos dados costuma ser feita de maneira informal, via e-mail ou por WhatsApp, sem registro oficial de que a exclusão de fato ocorreu.
“É uma relação de confiança. O síndico avisa que o morador saiu e a empresa promete deletar. Mas não há comprovante, nem protocolo. Fica tudo na palavra”, descreve.
Segundo Clayton Aparecido Pinto, diretor de relações institucionais do Sindicond, o síndico é legalmente o principal responsável pelos dados coletados no condomínio e deve agir com cautela na escolha das empresas e na definição do tempo de armazenamento dos dados.
📱 Em muitos casos, a imagem do rosto é cadastrada por WhatsApp: o próprio morador tira uma foto e envia ao condomínio por mensagem. A imagem é então inserida no sistema para liberar o acesso. Para Ronaldo Lemos, esse método é grave e escancara a fragilidade do processo.
O especialista explica que a biometria facial possui três níveis de segurança — básico, intermediário e avançado. A maioria dos condomínios adota o nível básico, considerado o mais vulnerável. Nesse caso, é comum ocorrerem falsos positivos: basta uma pessoa parecida se aproximar para que o portão abra automaticamente.
"Eu mesmo já ouvi relatos de irmãs que conseguiram entrar no condomínio uma da outra por causa disso", afirma Ronaldo.
Atualmente, a LGPD não define o tempo de guarda desses dados, e diz que a regulamentação fica sob responsabilidade da ANPD, que também não aponta orientações específicas sobre este tipo de dado.
Diante da falta de orientações da Autoridade, a representação nacional de condomínios do Brasil, a Abrascond, tem orientado aos síndicos a coleta de relatórios semestrais com as empresas responsáveis pela guarda dos dados.
Estes relatórios devem detalhar as medidas de segurança adotadas, o fluxo de tratamento e acesso aos dados, notificações de incidentes ou acessos indevidos em conformidade com a LGPD.
"Caso não exista um padrão, sugere-se aprovar na assembleia um modelo de relatório e incluir como obrigação contratual junto à fornecedora”, explica Reginaldo Silva, presidente da Abrascond.
Direitos dos moradores para uso de biometria facial em condomínios — Foto: Artes/g1
O que você pode perguntar para proteger seus dados biométricos — Foto: Arte/g1
Como é feito um reconhecimento facial — Foto: Artes/g1
LEIA TAMBÉM:
Multas por falta de indicação de condutor crescem no paísPor que o ataque hacker a instituições financeiras é um dos mais graves já registrados no Brasil, segundo especialistasComo identificar e-mails falsos para não cair em golpes
Por que a nova IA do Google virou a queridinha dos vídeos bizarros e bobos no TikTok
Windows decreta fim da temida 'tela azul'; veja como será nova versão
Como criar uma senha forte9d, difícil de ser violada, e proteger suas contas
Autoridade Nacional de Proteção de Dados (ANPD)
