GRUPO DE PROTEÇÃO DE DADOS DO ARTIGO 29.º 00727/12/PT GT 192 Parecer 02/2012 sobre o reconhecimento facial nos serviços em linha e móveis Adotado em 22 de março de 2012 Este Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e privacidade. As suas atribuições são descritas no artigo 30.º da Directiva 95/46/CE e no artigo 14.º da Directiva 97/66/CE. O secretariado é assegurado pela Direção C (Direitos Fundamentais e Cidadania da União) da Comissão Europeia, Direção-Geral da Justiça, B-1049 Bruxelas, Bélgica, Gabinete MO-59 02/013. Sítio: http://ec.europa.eu/justice/data-protection/index_en.htm 1. Introdução Tem-se verificado nos últimos anos um rápido aumento da disponibilidade e fiabilidade da tecnologia do reconhecimento facial. Além disso, esta tecnologia foi integrada nos serviços em linha e móveis, para a identificação, autenticação/verificação ou categorização de pessoas. A tecnologia, que já foi tema de ficção científica, encontra-se agora disponível e pode ser utilizado tanto por organizações públicas como privadas. Os exemplos de utilização nos serviços em linha e móveis incluem as redes sociais e os fabricantes de smartphones. A capacidade de captar automaticamente dados e reconhecer uma cara a partir de uma imagem digital foi anteriormente analisada pelo Grupo de Trabalho do Artigo 29.º (GT29) no documento de trabalho sobre a biometria (GT80) e no Parecer 03/2012 (GT193) sobre a evolução das tecnologias biométricas, recentemente publicado. O reconhecimento facial é analisado no âmbito da biometria, visto que, em muitos casos, contém pormenores suficientes para identificar inequivocamente uma pessoa. O Parecer 03/012 refere que: «[a biometria] permite o seguimento, localização ou estabelecimento do perfil automatizados de pessoas e, como tal, os seus potenciais efeitos sobre a privacidade e o direito à proteção dos dados pessoais são significativos.» Esta afirmação é especialmente verdadeira no caso do reconhecimento facial nos serviços em linha e móveis que possam captar imagens de uma pessoa (com ou sem o seu conhecimento) e depois transmitidas para um servidor remoto para ulterior tratamento. Os serviços em linha, muitos dos quais propostos e prestados por organizações privadas, foram colecionando vastas arquivos de imagens carregadas pelos próprios fotografados. Em alguns casos, estas imagens podem até ter sido obtidas de forma ilícita, recuperando-as noutros sites públicos como as memórias cache dos motores de pesquisa. Os pequenos dispositivos móveis com câmaras de alta resolução permitem que os utilizadores captem imagens e se liguem em tempo real a serviços em linha, através de conexões permanentes. Deste modo, os utilizadores podem partilhar essas imagens com outros ou proceder à identificação, autenticação/verificação ou categorização para aceder a informações adicionais sobre a pessoa, conhecida ou desconhecida, que se encontra à sua frente. Por conseguinte, o reconhecimento facial nos serviços em linha e móveis merece atenção especial do Grupo de Trabalho do Artigo 29.º, visto que a utilização desta tecnologia suscita uma vasta gama de preocupações em matéria de proteção de dados. O objetivo do presente parecer é analisar o quadro normativo e apresentar recomendações adequadas aplicáveis à tecnologia de reconhecimento facial, sempre que utilizada no contexto de serviços em linha e móveis. O presente parecer destina-se às autoridades legislativas europeias e nacionais, aos responsáveis pelo tratamento de dados e aos utilizadores dessas tecnologias. O parecer não pretende repetir os princípios já enunciados no Parecer 03/012, mas baseia-se neles para analisar o setor dos serviços em linha e móveis. 2. Definições O reconhecimento facial não é novo e existem diversas definições e interpretações deste termo. Por conseguinte, é útil definir claramente a tecnologia que constitui o tema do presente parecer. 1 Imagem digital: A imagem digital é a representação de uma imagem bidimensional em formato digital. No entanto, a recente evolução da tecnologia de reconhecimento facial exige que sejam incluídas imagens tridimensionais, além das imagens estáticas e em movimento (ou seja, fotografias e vídeos gravados ou ao vivo). Reconhecimento facial: O reconhecimento facial é o tratamento automático de imagens digitais que contêm a cara de pessoas para efeitos da sua identificação, autenticação/verificação ou categorização1. O processo de reconhecimento facial é composto por uma série de subprocessos diferenciados: a) Obtenção da imagem: Processo de captar a cara de uma pessoa e convertê-la em formato digital (a imagem digital). Num serviço em linha e móvel, a imagem pode ter sido obtida com um sistema diferente, nomeadamente tirando, com uma câmara digital, uma fotografia que é depois transferida para um serviço em linha. b) Deteção da cara: Processo de detetar a presença de uma cara numa imagem digital e de marcar essa zona. c) Normalização: Processo de reduzir as variações entre as regiões faciais detetadas, por exemplo convertendo-as numa dimensão-padrão, rodando-as ou afinando a distribuição de cores. d) Extração de características: Processo de isolar e transferir características reproduzíveis e distintivas da imagem digital de uma pessoa. A extração de características pode ser holística2, com base nas características3 ou uma combinação dos dois métodos4. O conjunto de características essenciais pode ser armazenado num padrão de referência para ulterior comparação5. e) Registo: Se for a primeira vez que uma pessoa é encontrada pelo sistema de reconhecimento facial, a imagem e/ou padrão de referência pode ser armazenado como registo para ulterior comparação. f) Comparação: Processo de medição das semelhanças entre um conjunto de características (a amostra) e outro previamente registado no sistema. Os objetivos principais da comparação são a identificação e a autenticação/verificação. Um terceiro objetivo da comparação é a categorização, que consiste no processo de extração de características a partir da imagem de uma pessoa, a fim de a integrar em uma ou várias categorias amplas (nomeadamente, idade, sexo, cor da roupa, etc.). Não é necessário que o sistema de categorização tenha um processo de registo. 1 Identificação, autenticação/verificação e categorização são definidas no Parecer 03/012. 2 Extração holística: representação matemática de toda a imagem, como a que resulta da análise dos componentes principais. 3 Extração com base nas características: identificar a localização de características faciais específicas como os olhos, o nariz e a boca. 4 Também conhecida como método de extração híbrida de características. 5 O padrão é definido no Parecer 03/2012 como «características essenciais extraídas a partir da forma bruta dos dados biométricos (por exemplo, medições faciais a partir de uma imagem) e armazenados para ulterior tratamento, em lugar dos dados brutos em si.» 2 3. Exemplos de reconhecimento facial nos serviços em linha e móveis O reconhecimento facial pode ser incorporado nos serviços em linha e móveis de formas muito diferentes e com diversas finalidades. No âmbito do presente parecer, o Grupo de Trabalho do Artigo 29.º debruça-se sobre uma série de exemplos diferentes que se destinam fornecer contexto adicional à análise jurídica e incluem a utilização do reconhecimento facial para efeitos de identificação, autenticação/verificação e categorização. 3.1. Reconhecimento facial como meio de identificação Exemplo 1: Os serviços de redes sociais (social networking services – SNS)6 permitem que os utilizadores juntem uma imagem digital ao respetivo perfil. Além disso, os utilizadores podem carregar imagens para partilhar com outros utilizadores, registados ou não. Os utilizadores registados podem identificar manualmente e etiquetar outras pessoas (que tanto podem ser utilizadores registados como não registados) nas imagens que publicarem em linha. Estas etiquetas (tags) podem ser vistas pelo autor, partilhadas com um grupo de amigos mais vasto ou partilhadas com todos os utilizadores, registados ou não. O serviço de rede social pode usar as imagens etiquetadas para criar um padrão de referência para cada utilizador e, recorrendo ao sistema de reconhecimento facial, sugerir automaticamente etiquetas para as novas fotografias que forem sendo publicadas em linha. Estas imagens de pessoas publicadas pelos utilizadores poderão em seguida ser encontradas e armazenadas numa memória cache por um motor de pesquisa da internet. O motor de pesquisa pode querer melhorar as suas funções de pesquisa permitindo aos utilizadores que forneçam a imagem de uma pessoa e dando os resultados que apresentam a maior correspondência, junto com uma ligação para a página de perfis da rede social. A imagem carregada pode ser captada diretamente por uma câmara de smartphone. 3.2. Reconhecimento facial como meio de autenticação/verificação Exemplo 2: Utiliza-se um sistema de reconhecimento facial em vez do nome do utilizador/palavra-passe para aceder a um serviço ou dispositivo em linha ou móvel. Durante o registo, a câmara do dispositivo é utilizada para captar uma imagem do utilizador autorizado e é criado um padrão de referência que pode ser armazenado no dispositivo ou num servidor remoto do serviço em linha. Para ter acesso ao serviço ou ao dispositivo, é captada uma nova imagem da pessoas que está a tentar aceder, que será comparada com o padrão de referência. O acesso é concedido se o sistema encontrar uma correspondência positiva. 3.3. Reconhecimento facial como meio de categorização Exemplo 3: O serviço de rede social descrito no exemplo 1 pode autorizar o acesso ao arquivo de imagens por parte de um terceiro que preste um serviço de reconhecimento facial em linha. O serviço autoriza os clientes deste terceiro a incorporar a tecnologia de reconhecimento facial noutros produtos. Esta funcionalidade permite que estes outros produtos apresentem imagens de pessoas para detetar e categorizar as caras de acordo com um conjunto de critérios predefinidos, como idade, sexo e preferências. 6 Os serviços de redes sociais são definidos, em sentido lato, no Parecer 05/2009 sobre as redes sociais em linha, como «plataformas de comunicação em linha que permitem a indivíduos aderirem a redes de utilizadores com interesses semelhantes ou criarem redes deste tipo». 3 Exemplo 4: Uma consola de jogos dispõe de um sistema de controlo gestual que deteta os movimentos do utilizador para controlar o jogo. A ou as câmaras usadas pelo sistema de controlo gestual partilham imagens de pessoas com o sistema de reconhecimento facial, que prevê a provável idade, sexo e preferências prováveis dos jogadores. Os dados, incluindo os de outros fatores plurimodais, podem então alterar a configuração do jogo para melhorar a experiência do utilizador ou mudar o ambiente, a fim de o adaptar ao perfil de jogador previsto. De igual modo, um sistema poderia classificar os utilizadores para permitir-lhes ou negar-lhes o acesso a conteúdos que não são próprios para menores ou para mostrar publicidade seletiva dentro do jogo. 4. Quadro normativo A legislação aplicável ao reconhecimento facial é a Diretiva da Proteção de Dados (95/46/CE), que foi analisada a este respeito no Parecer 03/012. Este ponto 4 destina-se apenas a fazer um resumo do quadro normativo aplicável ao reconhecimento facial nos serviços em linha e móveis, com base nos exemplos apresentados no ponto 3. No Parecer 03/012 são analisados outros exemplos de reconhecimento facial. 4.1. Imagens digitais enquanto dados pessoais Sempre que uma imagem digital contém a cara de uma pessoa, claramente visível e que permite a sua identificação, será considerada como dado pessoal. Isto dependerá de determinados parâmetros, como a qualidade da imagem ou o seu enquadramento. As imagens de cenas que contêm pessoas à distância ou em que as caras estejam desfocados muito raramente serão consideradas dados pessoais. No entanto, é importante salientar que as imagens digitais podem conter dados pessoais de mais do que uma pessoa (no exemplo 4, por exemplo, podem aparecer múltiplos jogadores no visor da câmara) e a presença de outros na fotografia pode implicar a existência de uma relação. O Parecer 04/2007, sobre o conceito de dados pessoais, reafirma que se os dados se referirem a «características ou comportamento de uma pessoa ou se estas informações forem utilizadas para determinar ou influenciar o modo em que essa pessoa é tratada ou avaliada» devem ser considerados dados pessoais. Por definição, um padrão de referência criado a partir da imagem de uma pessoa também é um dado pessoal, visto que contém uma série de características distintivas da sua cara, que serão depois ligadas a uma pessoa concreta e armazenadas como referência nas comparações ulteriores para efeitos de identificação e autenticação/verificação. Um padrão ou conjunto de características distintivas utilizadas apenas num sistema de categorização não contêm, em princípio, informações suficientes para identificar uma pessoa. Deve conter apenas as informações necessárias para proceder à categorização (por exemplo, homem ou mulher). Neste caso, não será um dado pessoal se o padrão (ou o resultado) não for associado ao registo, ao perfil ou à imagem original da pessoa em causa (que serão, em qualquer caso, considerados dados pessoais). Além disso, dado que tanto as imagens digitais das pessoas como os padrões se referem a «propriedades biológicas, aspetos comportamentais, características fisiológicas, traços de personalidade ou ações reproduzíveis, que são, simultaneamente, atribuíveis a uma única pessoa e mensuráveis»7 devem ser considerados dados biométricos. 7 Definição de dados biométricos do Parecer 03/012. 4 4.2. Imagens digitais como categoria especial de dados pessoais As imagens digitais de pessoas podem, em determinados casos, ser consideradas uma categoria especial de dados pessoais8. Se as imagens digitais de pessoas ou os padrões forem ulteriormente tratados para dar origem a categorias especiais de dados, devem inequivocamente ser incluídos nesta categoria. É o que acontece se forem utilizados para obter informações quanto à origem étnica, a religião ou a saúde das pessoas em causa. 4.3. Tratamento de dados pessoais no contexto de um sistema de reconhecimento facial O reconhecimento facial assenta, como vimos, numa série de fases de tratamento automatizado. Assim, o reconhecimento facial constitui uma forma automatizada de tratamento de dados pessoais, incluindo dados biométricos. Através da utilização de dados biométricos, os sistemas de reconhecimento facial podem ser submetidos a controlos ou legislação adicionais nos Estados-Membros, nomeadamente em matéria de autorização prévia ou emprego. O recurso à biometria no contexto laboral é analisado com mais pormenor no Parecer 03/012. 4.4. Responsável pelo tratamento dos dados Relativamente aos exemplos fornecidos, os responsáveis pelo tratamento dos dados serão habitualmente donos de sítios Web e/ou prestadores de serviços em linha, bem como operadores de aplicações móveis que utilizam o reconhecimento facial, posto que determinam os objetivos e/ou os meios do tratamento9. Isto incluirá a conclusão do Parecer 05/2009 sobre as redes sociais em linha, segundo a qual «os prestadores de redes sociais em linha são responsáveis pelo tratamento dos dados na aceção da diretiva da proteção dos dados». 4.5. Motivo legítimo A Diretiva 95/46/CE estabelece as condições para efetuar o tratamento dos dados pessoais. Assim, o tratamento deve, em primeiro lugar, respeitar os requisitos de qualidade dos dados (artigo 6.º). Neste caso, as imagens digitais das pessoas e respetivos padrões devem ser «pertinentes» e «não excessivos» para efeitos do tratamento mediante reconhecimento facial. Além disso, o tratamento só pode ser efetuado se um dos critérios previstos no artigo 7.º se verificar. Devido aos riscos específicos ligados aos dados biométricos, será portanto necessário o consentimento informado da pessoa em causa antes de dar início ao tratamento de imagens digitais para efeitos de reconhecimento facial. No entanto, em alguns casos, o responsável pelo tratamento dos dados pode necessitar de proceder, temporariamente, a algumas fases do processo de reconhecimento facial precisamente para avaliar se o utilizador deu o consentimento prévio ou não, como base jurídica para o tratamento. O tratamento inicial (isto é, obtenção da imagem, deteção da cara, comparação, etc.) pode ter, nesse caso, uma base jurídica diferente, nomeadamente o interesse legítimo do responsável pelo tratamento em cumprir as normas de proteção de dados. Os dados tratados durante estas fases devem ser utilizados exclusivamente para verificar o consentimento do utilizador, pelo que devem ser apagados imediatamente a seguir. No exemplo 1, o responsável pelo tratamento determinou que todas as novas imagens publicadas em linha por utilizadores registados das redes sociais devem ser submetidas à deteção da cara, extração de características e comparação. Só os utilizadores registados que 8 9 Em alguns países, a jurisprudência classificou as imagens digitais de caras como uma categoria especial de dados – LJN BK6331 Supremo Tribunal dos Países Baixos, 23 de março de 2010. Cf. Parecer 01/2010 quanto aos conceitos de «responsável pelo tratamento» e «subcontratante». 5 tenham um padrão de referência inscrito na base de dados de identificação irão corresponder às novas imagens e, por conseguinte, será automaticamente sugerido uma etiqueta (tag). Se o consentimento da pessoa fosse considerado a única base legítima possível para todo o tratamento, seria bloqueada a integralidade do serviço, visto que, por exemplo, não há forma de obter o consentimento de utilizadores não registados cujos dados pessoais possam eventualmente ser tratados durante a deteção da cara e a extração de características. Além disso, não seria possível fazer a distinção entre as caras dos utilizadores registados que tivessem dado (ou não) o consentimento sem proceder primeiro ao reconhecimento facial. Só depois de proceder à identificação (ou de não conseguir fazê-lo) é que o responsável pelo tratamento dos dados teria capacidade para determinar se tem ou não o consentimento adequado para o tratamento em questão. Antes de publicarem imagens em redes sociais, os utilizadores registados devem ser claramente informados de que as imagens serão submetidas a um sistema de reconhecimento facial. Mais importante ainda, os utilizadores registados devem ter ainda a opção adicional de consentir ou não que o seu padrão de referência seja inscrito na base de dados de identificação. O nome dos utilizadores não registados e os utilizadores registados que não tiverem dado o consentimento para o tratamento não será, por conseguinte, automaticamente sugerido para uma etiqueta, porque as imagens em que aparecem não corresponderão a nenhum dos padrões. O consentimento dado pela pessoa que publicar a imagem não deve ser confundido com a necessidade de uma base legítima para o tratamento de dados pessoais de outras pessoas que nela possam aparecer. Para este efeito, o responsável pelo tratamento pode querer basear-se num motivo legítimo diferente para o tratamento nas fases intermédias (deteção da cara, normalização e comparação), desde que seja no interesse legítimo do responsável pelo tratamento e se se aplicarem as restrições e os controlos suficientes para proteger os direitos e liberdades fundamentais das pessoas em causa que não sejam a pessoa que tiver publicado a imagem. Estes controlos incluem a garantia de que nenhum dos dados resultante do tratamento é retido depois de obtido um resultado negativo, sem correspondências (isto é, todos os padrões e dados associados são apagados de forma segura). O responsável pelo tratamento poderá também pensar em fornecer aos utilizadores ferramentas que permitam à pessoa que publicar a imagem desfocar as caras das pessoas que não correspondem a nenhum padrão da base de dados de referência. A inscrição do padrão de uma pessoa numa base de dados de identificação (permitindo assim um resultado positivo e as subsequentes sugestões de identificação com etiqueta) só seria possível com o consentimento informado da pessoa em causa. No exemplo 2, durante o processo de registo, é possível obter o consentimento da pessoa à qual se autoriza o acesso. Para que este consentimento seja válido, é necessário que exista um sistema alternativo, igualmente seguro, de controlo do acesso (nomeadamente uma palavrapasse forte). Esta opção alternativa que protege a privacidade deve ser a opção por defeito. Se o utilizador se apresentar em frente a uma câmara ligada ao dispositivo, no intuito específico de conseguir aceder, pode-se considerar que está a dar o seu consentimento para o tratamento dos dados faciais necessário à autenticação, mesmo que não seja um utilizador autorizado do dispositivo. No entanto, as informações prestadas devem continuar a ser suficientes para garantir a validade do consentimento. A ulterior exploração do arquivo de fotografias do serviço de redes sociais descrita no exemplo 3 seria um exemplo claro de violação da regra da limitação da finalidade, pelo que a pessoa em causa terá de dar o consentimento de forma válida antes do aparecimento da função que indique claramente que esse tratamento de imagens irá ocorrer. É também o caso 6 do motor de pesquisa descrito no exemplo 1. As imagens obtidas pelo motor de pesquisa foram disponibilizadas para serem vistas e não para serem tratadas por um sistema de reconhecimento facial. O prestador do motor de pesquisa deve obter o consentimento das pessoas em causa para a inscrição no segundo sistema de reconhecimento facial. Também seria este o caso do exemplo 4, visto que o utilizador pode não supor que as imagens captadas para o controlo gestual sejam submetidas a tratamento ulterior. Se o responsável pelo tratamento estiver a pedir o consentimento para o tratamento de longo prazo (isto é, ao longo do tempo ou durante os jogos), deve também enviar lembretes periódicos aos utilizadores de que o sistema está ativado e será desativado por defeito. O Parecer 15/2011 sobre a definição de consentimento analisa a qualidade, acessibilidade e visibilidade das informações relativas ao tratamento de dados pessoais. Segundo este parecer: «As informações devem ser dadas diretamente às pessoas, não basta que estejam “disponíveis” algures.» Deste modo, as informações relativas à função de reconhecimento facial de um serviço móvel ou em linha não devem ser escondidas, mas sim estar disponíveis de forma facilmente acessível e compreensível. Isto inclui a garantia de que as próprias câmaras não se encontram a funcionar de forma dissimulada. Os responsáveis pelo tratamento dos dados devem ter em consideração as expectativas razoáveis do público quanto ao respeito da privacidade ao aplicarem a tecnologia do reconhecimento facial e responder adequadamente a estas expectativas. Neste contexto, o consentimento para a inscrição não pode decorrer da aceitação das condições gerais do serviço subjacente por parte dos utilizadores, a menos que a finalidade primária do serviço implique necessariamente o reconhecimento facial. Isto deve-se ao facto de, na maioria dos casos, a inscrição ser uma função adicional e não diretamente relacionada com o funcionamento do serviço em linha ou móvel. Os utilizadores podem não esperar que essa função seja necessariamente ativada durante a utilização do serviço. Para este efeito, os utilizadores devem ter a oportunidade explícita de dar o respetivo consentimento para a ativação desta função durante o registo ou em data posterior, dependendo do momento em que a função for introduzida. Para que o consentimento seja considerado válido, devem ser dadas informações adequadas acerca do tratamento dos dados. Os utilizadores devem ter sempre a possibilidade de retirar o consentimento de forma simples. Se o consentimento for retirado, o tratamento para efeitos de reconhecimento facial deve cessar de imediato. 5. Riscos específicos e recomendações Os riscos que o reconhecimento facial representa para a privacidade dependerão inteiramente do tipo de tratamento e da(s) finalidade(s). Existem, porém, determinados riscos que são mais relevantes em determinadas fases do reconhecimento facial. Os pontos seguintes assinalam os riscos principais e incluem recomendações de boas práticas. 5.1. Tratamento ilícito para efeitos de reconhecimento facial Em linha, o responsável pelo tratamento dos dados pode obter imagens de muitas formas, nomeadamente as imagens publicadas pelos utilizadores do serviço em linha ou móvel, pelos seus amigos e colegas ou por terceiros. Nas imagens podem figurar as caras dos próprios utilizadores e/ou de outros utilizadores registados ou não registados ou obtidas sem o 7 conhecimento das pessoas em causa. Independentemente dos meios de obtenção das imagens, é necessária uma base jurídica para proceder ao seu tratamento. Recomendação 1: Se o responsável pelo tratamento dos dados estiver a obter a imagem diretamente (como nos exemplos 2 e 4), deve assegurar-se de que tem o consentimento válido das pessoas em causa antes da obtenção e fornecer informações suficientes acerca do momento em que a câmara está a funcionar para efeitos de reconhecimento facial. Recomendação 2: Se os utilizadores estiverem a obter imagens digitais e a publicá-las em serviços em linha e móveis para efeitos de reconhecimento facial, o responsável pelo tratamento dos dados deve assegurar-se de que as pessoas que publicaram as imagens deram o consentimento para o tratamento das mesmas, que pode ser efetuado para efeitos de reconhecimento facial. Recomendação 3: Se o responsável pelo tratamento dos dados estiver a obter imagens digitais de pessoas a partir de terceiros (por exemplo, copiadas de um sítio Web ou compradas a outro responsável pelo tratamento), deve analisar cuidadosamente a fonte e o contexto em que as imagens originais foram obtidas e tratadas, mas apenas se as pessoas em causa tiverem dado o consentimento para o tratamento. Recomendação 4: Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais e os padrões são utilizados apenas para o objetivo específico para que foram fornecidas. Devem também estabelecer os controlos técnicos necessários para reduzir o risco de que as imagens digitais sejam submetidas a tratamento ulterior por terceiros para finalidades para as quais o utilizador não tiver sido dado o seu consentimento. Os responsáveis pelo tratamento dos dados devem incorporar ferramentas para que os utilizadores possam controlar a visibilidade das imagens que tiverem publicado, sempre que a configuração por defeito limite o acesso de terceiros. Recomendação 5: Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais de pessoas que não sejam utilizadores registados do serviço ou que não tiverem dado, de qualquer outra forma, o seu consentimento para o tratamento só serão tratadas se o responsável pelo tratamento tiver um interesse legítimo em fazê-lo. Por exemplo, no caso do exemplo 1, para cessar o tratamento e apagar todos os dados em caso de resultado negativo, sem correspondências. Violação da segurança durante o trânsito No caso dos serviços em linha e móveis, é provável que os dados sejam transferidos entre o momento de obtenção da imagem e as restantes fases de tratamento (por exemplo, quando se transfere uma imagem de uma câmara para um sítio Web para extração de características e comparação). Recomendação 6: O responsável pelo tratamento dos dados deve tomar as medidas necessárias para garantir a segurança da transferência dos dados. Isto pode incluir canais de comunicação codificada ou codificação da própria imagem. Sempre que possível, sobretudo no caso da autenticação/verificação, deverá optar-se pelo tratamento local dos dados. 8 5.2. Deteção da cara, normalização e extração de características Minimização dos dados Os padrões gerados por um sistema de reconhecimento facial podem conter mais dados do que os necessários para cumprir os objetivos especificados. Recomendação 7: Os responsáveis pelo tratamento dos dados devem garantir que os dados extraídos de uma imagem digital para criar um padrão não são excessivos e contêm apenas as informações exigidas pelo objetivo específico, evitando assim eventuais tratamentos ulteriores. Os padrões não devem ser transferíveis entre sistemas de reconhecimento facial. Violação da segurança durante o armazenamento dos dados É provável que a identificação e a autenticação/verificação exijam o armazenamento do padrão, para o utilizar em comparações posteriores. Recomendação 8: O responsável pelo tratamento dos dados deve analisar qual o local mais apropriado para o armazenamento. Tanto pode ser no dispositivo do utilizador como no interior dos sistemas do responsável pelo tratamento. O responsável pelo tratamento dos dados deve tomar as medidas necessárias para garantir a segurança dos dados armazenados, incluindo a eventual codificação do padrão. Recomendação 9: Não deve ser possível aceder de forma não autorizada ao padrão ou ao local de armazenamento. Especialmente no caso de reconhecimento facial para efeitos de verificação, podem ser usadas técnicas biométricas de codificação; com estas técnicas, a chave criptográfica está diretamente ligada aos dados biométricos e só será recriada se no momento da verificação se apresentar a amostra biométrica correta em direto, sem se proceder ao armazenamento de qualquer padrão ou imagem (formando assim um tipo de «biometria indetetável»). Acesso das pessoas em causa Recomendação 10: O responsável pelo tratamento dos dados deve fornecer às pessoas em causa os mecanismos adequados para exercer os respetivos direitos de acesso, se for o caso, tanto às imagens originais como aos padrões gerados no contexto do reconhecimento facial. Feito em Bruxelas, a 22 de março de 2012 Pelo Grupo de Trabalho O Presidente Jacob KOHNSTAMM 9