GRUPO DE PROTEÇÃO DE DADOS DO ARTIGO 29.º
00727/12/PT
GT 192
Parecer 02/2012 sobre o reconhecimento facial nos serviços em linha e
móveis
Adotado em 22 de março de 2012
Este Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu
independente em matéria de protecção de dados e privacidade. As suas atribuições são descritas no artigo 30.º da Directiva
95/46/CE e no artigo 14.º da Directiva 97/66/CE.
O secretariado é assegurado pela Direção C (Direitos Fundamentais e Cidadania da União) da Comissão Europeia,
Direção-Geral da Justiça, B-1049 Bruxelas, Bélgica, Gabinete MO-59 02/013.
Sítio: http://ec.europa.eu/justice/data-protection/index_en.htm
1. Introdução
Tem-se verificado nos últimos anos um rápido aumento da disponibilidade e fiabilidade da
tecnologia do reconhecimento facial. Além disso, esta tecnologia foi integrada nos serviços
em linha e móveis, para a identificação, autenticação/verificação ou categorização de pessoas.
A tecnologia, que já foi tema de ficção científica, encontra-se agora disponível e pode ser
utilizado tanto por organizações públicas como privadas. Os exemplos de utilização nos
serviços em linha e móveis incluem as redes sociais e os fabricantes de smartphones.
A capacidade de captar automaticamente dados e reconhecer uma cara a partir de uma
imagem digital foi anteriormente analisada pelo Grupo de Trabalho do Artigo 29.º (GT29) no
documento de trabalho sobre a biometria (GT80) e no Parecer 03/2012 (GT193) sobre a
evolução das tecnologias biométricas, recentemente publicado. O reconhecimento facial é
analisado no âmbito da biometria, visto que, em muitos casos, contém pormenores suficientes
para identificar inequivocamente uma pessoa.
O Parecer 03/012 refere que:
«[a biometria] permite o seguimento, localização ou estabelecimento do perfil
automatizados de pessoas e, como tal, os seus potenciais efeitos sobre a
privacidade e o direito à proteção dos dados pessoais são significativos.»
Esta afirmação é especialmente verdadeira no caso do reconhecimento facial nos serviços em
linha e móveis que possam captar imagens de uma pessoa (com ou sem o seu conhecimento)
e depois transmitidas para um servidor remoto para ulterior tratamento. Os serviços em linha,
muitos dos quais propostos e prestados por organizações privadas, foram colecionando vastas
arquivos de imagens carregadas pelos próprios fotografados. Em alguns casos, estas imagens
podem até ter sido obtidas de forma ilícita, recuperando-as noutros sites públicos como as
memórias cache dos motores de pesquisa. Os pequenos dispositivos móveis com câmaras de
alta resolução permitem que os utilizadores captem imagens e se liguem em tempo real a
serviços em linha, através de conexões permanentes. Deste modo, os utilizadores podem
partilhar essas imagens com outros ou proceder à identificação, autenticação/verificação ou
categorização para aceder a informações adicionais sobre a pessoa, conhecida ou
desconhecida, que se encontra à sua frente.
Por conseguinte, o reconhecimento facial nos serviços em linha e móveis merece atenção
especial do Grupo de Trabalho do Artigo 29.º, visto que a utilização desta tecnologia suscita
uma vasta gama de preocupações em matéria de proteção de dados.
O objetivo do presente parecer é analisar o quadro normativo e apresentar recomendações
adequadas aplicáveis à tecnologia de reconhecimento facial, sempre que utilizada no contexto
de serviços em linha e móveis. O presente parecer destina-se às autoridades legislativas
europeias e nacionais, aos responsáveis pelo tratamento de dados e aos utilizadores dessas
tecnologias. O parecer não pretende repetir os princípios já enunciados no Parecer 03/012,
mas baseia-se neles para analisar o setor dos serviços em linha e móveis.
2. Definições
O reconhecimento facial não é novo e existem diversas definições e interpretações deste
termo. Por conseguinte, é útil definir claramente a tecnologia que constitui o tema do presente
parecer.
1
Imagem digital: A imagem digital é a representação de uma imagem bidimensional em
formato digital. No entanto, a recente evolução da tecnologia de reconhecimento facial exige
que sejam incluídas imagens tridimensionais, além das imagens estáticas e em movimento
(ou seja, fotografias e vídeos gravados ou ao vivo).
Reconhecimento facial: O reconhecimento facial é o tratamento automático de imagens
digitais que contêm a cara de pessoas para efeitos da sua identificação,
autenticação/verificação ou categorização1. O processo de reconhecimento facial é composto
por uma série de subprocessos diferenciados:
a) Obtenção da imagem: Processo de captar a cara de uma pessoa e convertê-la em
formato digital (a imagem digital). Num serviço em linha e móvel, a imagem pode ter
sido obtida com um sistema diferente, nomeadamente tirando, com uma câmara
digital, uma fotografia que é depois transferida para um serviço em linha.
b) Deteção da cara: Processo de detetar a presença de uma cara numa imagem digital
e de marcar essa zona.
c) Normalização: Processo de reduzir as variações entre as regiões faciais detetadas,
por exemplo convertendo-as numa dimensão-padrão, rodando-as ou afinando a
distribuição de cores.
d) Extração de características: Processo de isolar e transferir características
reproduzíveis e distintivas da imagem digital de uma pessoa. A extração de
características pode ser holística2, com base nas características3 ou uma combinação
dos dois métodos4. O conjunto de características essenciais pode ser armazenado num
padrão de referência para ulterior comparação5.
e) Registo: Se for a primeira vez que uma pessoa é encontrada pelo sistema de
reconhecimento facial, a imagem e/ou padrão de referência pode ser armazenado
como registo para ulterior comparação.
f) Comparação: Processo de medição das semelhanças entre um conjunto de
características (a amostra) e outro previamente registado no sistema. Os objetivos
principais da comparação são a identificação e a autenticação/verificação. Um terceiro
objetivo da comparação é a categorização, que consiste no processo de extração de
características a partir da imagem de uma pessoa, a fim de a integrar em uma ou
várias categorias amplas (nomeadamente, idade, sexo, cor da roupa, etc.). Não é
necessário que o sistema de categorização tenha um processo de registo.
1
Identificação, autenticação/verificação e categorização são definidas no Parecer 03/012.
2 Extração holística: representação matemática de toda a imagem, como a que resulta da análise dos
componentes principais.
3 Extração com base nas características: identificar a localização de características faciais específicas como
os olhos, o nariz e a boca.
4 Também conhecida como método de extração híbrida de características.
5
O padrão é definido no Parecer 03/2012 como «características essenciais extraídas a partir da forma bruta
dos dados biométricos (por exemplo, medições faciais a partir de uma imagem) e armazenados para ulterior
tratamento, em lugar dos dados brutos em si.»
2
3. Exemplos de reconhecimento facial nos serviços em linha e
móveis
O reconhecimento facial pode ser incorporado nos serviços em linha e móveis de formas
muito diferentes e com diversas finalidades. No âmbito do presente parecer, o Grupo de
Trabalho do Artigo 29.º debruça-se sobre uma série de exemplos diferentes que se destinam
fornecer contexto adicional à análise jurídica e incluem a utilização do reconhecimento facial
para efeitos de identificação, autenticação/verificação e categorização.
3.1.
Reconhecimento facial como meio de identificação
Exemplo 1: Os serviços de redes sociais (social networking services – SNS)6 permitem que
os utilizadores juntem uma imagem digital ao respetivo perfil. Além disso, os utilizadores
podem carregar imagens para partilhar com outros utilizadores, registados ou não. Os
utilizadores registados podem identificar manualmente e etiquetar outras pessoas (que tanto
podem ser utilizadores registados como não registados) nas imagens que publicarem em
linha. Estas etiquetas (tags) podem ser vistas pelo autor, partilhadas com um grupo de amigos
mais vasto ou partilhadas com todos os utilizadores, registados ou não. O serviço de rede
social pode usar as imagens etiquetadas para criar um padrão de referência para cada
utilizador e, recorrendo ao sistema de reconhecimento facial, sugerir automaticamente
etiquetas para as novas fotografias que forem sendo publicadas em linha.
Estas imagens de pessoas publicadas pelos utilizadores poderão em seguida ser encontradas e
armazenadas numa memória cache por um motor de pesquisa da internet. O motor de
pesquisa pode querer melhorar as suas funções de pesquisa permitindo aos utilizadores que
forneçam a imagem de uma pessoa e dando os resultados que apresentam a maior
correspondência, junto com uma ligação para a página de perfis da rede social. A imagem
carregada pode ser captada diretamente por uma câmara de smartphone.
3.2.
Reconhecimento facial como meio de autenticação/verificação
Exemplo 2: Utiliza-se um sistema de reconhecimento facial em vez do nome do
utilizador/palavra-passe para aceder a um serviço ou dispositivo em linha ou móvel. Durante
o registo, a câmara do dispositivo é utilizada para captar uma imagem do utilizador
autorizado e é criado um padrão de referência que pode ser armazenado no dispositivo ou
num servidor remoto do serviço em linha. Para ter acesso ao serviço ou ao dispositivo, é
captada uma nova imagem da pessoas que está a tentar aceder, que será comparada com o
padrão de referência. O acesso é concedido se o sistema encontrar uma correspondência
positiva.
3.3.
Reconhecimento facial como meio de categorização
Exemplo 3: O serviço de rede social descrito no exemplo 1 pode autorizar o acesso ao
arquivo de imagens por parte de um terceiro que preste um serviço de reconhecimento facial
em linha. O serviço autoriza os clientes deste terceiro a incorporar a tecnologia de
reconhecimento facial noutros produtos. Esta funcionalidade permite que estes outros
produtos apresentem imagens de pessoas para detetar e categorizar as caras de acordo com
um conjunto de critérios predefinidos, como idade, sexo e preferências.
6
Os serviços de redes sociais são definidos, em sentido lato, no Parecer 05/2009 sobre as redes sociais em
linha, como «plataformas de comunicação em linha que permitem a indivíduos aderirem a redes de
utilizadores com interesses semelhantes ou criarem redes deste tipo».
3
Exemplo 4: Uma consola de jogos dispõe de um sistema de controlo gestual que deteta os
movimentos do utilizador para controlar o jogo. A ou as câmaras usadas pelo sistema de
controlo gestual partilham imagens de pessoas com o sistema de reconhecimento facial, que
prevê a provável idade, sexo e preferências prováveis dos jogadores. Os dados, incluindo os
de outros fatores plurimodais, podem então alterar a configuração do jogo para melhorar a
experiência do utilizador ou mudar o ambiente, a fim de o adaptar ao perfil de jogador
previsto. De igual modo, um sistema poderia classificar os utilizadores para permitir-lhes ou
negar-lhes o acesso a conteúdos que não são próprios para menores ou para mostrar
publicidade seletiva dentro do jogo.
4. Quadro normativo
A legislação aplicável ao reconhecimento facial é a Diretiva da Proteção de Dados
(95/46/CE), que foi analisada a este respeito no Parecer 03/012. Este ponto 4 destina-se
apenas a fazer um resumo do quadro normativo aplicável ao reconhecimento facial nos
serviços em linha e móveis, com base nos exemplos apresentados no ponto 3. No Parecer
03/012 são analisados outros exemplos de reconhecimento facial.
4.1.
Imagens digitais enquanto dados pessoais
Sempre que uma imagem digital contém a cara de uma pessoa, claramente visível e que
permite a sua identificação, será considerada como dado pessoal. Isto dependerá de
determinados parâmetros, como a qualidade da imagem ou o seu enquadramento. As imagens
de cenas que contêm pessoas à distância ou em que as caras estejam desfocados muito
raramente serão consideradas dados pessoais. No entanto, é importante salientar que as
imagens digitais podem conter dados pessoais de mais do que uma pessoa (no exemplo 4, por
exemplo, podem aparecer múltiplos jogadores no visor da câmara) e a presença de outros na
fotografia pode implicar a existência de uma relação.
O Parecer 04/2007, sobre o conceito de dados pessoais, reafirma que se os dados se referirem
a «características ou comportamento de uma pessoa ou se estas informações forem utilizadas
para determinar ou influenciar o modo em que essa pessoa é tratada ou avaliada» devem ser
considerados dados pessoais.
Por definição, um padrão de referência criado a partir da imagem de uma pessoa também é
um dado pessoal, visto que contém uma série de características distintivas da sua cara, que
serão depois ligadas a uma pessoa concreta e armazenadas como referência nas comparações
ulteriores para efeitos de identificação e autenticação/verificação.
Um padrão ou conjunto de características distintivas utilizadas apenas num sistema de
categorização não contêm, em princípio, informações suficientes para identificar uma pessoa.
Deve conter apenas as informações necessárias para proceder à categorização (por exemplo,
homem ou mulher). Neste caso, não será um dado pessoal se o padrão (ou o resultado) não
for associado ao registo, ao perfil ou à imagem original da pessoa em causa (que serão, em
qualquer caso, considerados dados pessoais).
Além disso, dado que tanto as imagens digitais das pessoas como os padrões se referem a
«propriedades biológicas, aspetos comportamentais, características fisiológicas, traços de
personalidade ou ações reproduzíveis, que são, simultaneamente, atribuíveis a uma única
pessoa e mensuráveis»7 devem ser considerados dados biométricos.
7
Definição de dados biométricos do Parecer 03/012.
4
4.2.
Imagens digitais como categoria especial de dados pessoais
As imagens digitais de pessoas podem, em determinados casos, ser consideradas uma
categoria especial de dados pessoais8. Se as imagens digitais de pessoas ou os padrões forem
ulteriormente tratados para dar origem a categorias especiais de dados, devem
inequivocamente ser incluídos nesta categoria. É o que acontece se forem utilizados para
obter informações quanto à origem étnica, a religião ou a saúde das pessoas em causa.
4.3.
Tratamento de dados pessoais no contexto de um sistema de reconhecimento
facial
O reconhecimento facial assenta, como vimos, numa série de fases de tratamento
automatizado. Assim, o reconhecimento facial constitui uma forma automatizada de
tratamento de dados pessoais, incluindo dados biométricos.
Através da utilização de dados biométricos, os sistemas de reconhecimento facial podem ser
submetidos a controlos ou legislação adicionais nos Estados-Membros, nomeadamente em
matéria de autorização prévia ou emprego. O recurso à biometria no contexto laboral é
analisado com mais pormenor no Parecer 03/012.
4.4.
Responsável pelo tratamento dos dados
Relativamente aos exemplos fornecidos, os responsáveis pelo tratamento dos dados serão
habitualmente donos de sítios Web e/ou prestadores de serviços em linha, bem como
operadores de aplicações móveis que utilizam o reconhecimento facial, posto que determinam
os objetivos e/ou os meios do tratamento9. Isto incluirá a conclusão do Parecer 05/2009 sobre
as redes sociais em linha, segundo a qual «os prestadores de redes sociais em linha são
responsáveis pelo tratamento dos dados na aceção da diretiva da proteção dos dados».
4.5.
Motivo legítimo
A Diretiva 95/46/CE estabelece as condições para efetuar o tratamento dos dados pessoais.
Assim, o tratamento deve, em primeiro lugar, respeitar os requisitos de qualidade dos dados
(artigo 6.º). Neste caso, as imagens digitais das pessoas e respetivos padrões devem ser
«pertinentes» e «não excessivos» para efeitos do tratamento mediante reconhecimento facial.
Além disso, o tratamento só pode ser efetuado se um dos critérios previstos no artigo 7.º se
verificar.
Devido aos riscos específicos ligados aos dados biométricos, será portanto necessário o
consentimento informado da pessoa em causa antes de dar início ao tratamento de imagens
digitais para efeitos de reconhecimento facial. No entanto, em alguns casos, o responsável
pelo tratamento dos dados pode necessitar de proceder, temporariamente, a algumas fases do
processo de reconhecimento facial precisamente para avaliar se o utilizador deu o
consentimento prévio ou não, como base jurídica para o tratamento. O tratamento inicial (isto
é, obtenção da imagem, deteção da cara, comparação, etc.) pode ter, nesse caso, uma base
jurídica diferente, nomeadamente o interesse legítimo do responsável pelo tratamento em
cumprir as normas de proteção de dados. Os dados tratados durante estas fases devem ser
utilizados exclusivamente para verificar o consentimento do utilizador, pelo que devem ser
apagados imediatamente a seguir.
No exemplo 1, o responsável pelo tratamento determinou que todas as novas imagens
publicadas em linha por utilizadores registados das redes sociais devem ser submetidas à
deteção da cara, extração de características e comparação. Só os utilizadores registados que
8
9
Em alguns países, a jurisprudência classificou as imagens digitais de caras como uma categoria especial de
dados – LJN BK6331 Supremo Tribunal dos Países Baixos, 23 de março de 2010.
Cf. Parecer 01/2010 quanto aos conceitos de «responsável pelo tratamento» e «subcontratante».
5
tenham um padrão de referência inscrito na base de dados de identificação irão corresponder
às novas imagens e, por conseguinte, será automaticamente sugerido uma etiqueta (tag). Se o
consentimento da pessoa fosse considerado a única base legítima possível para todo o
tratamento, seria bloqueada a integralidade do serviço, visto que, por exemplo, não há forma
de obter o consentimento de utilizadores não registados cujos dados pessoais possam
eventualmente ser tratados durante a deteção da cara e a extração de características. Além
disso, não seria possível fazer a distinção entre as caras dos utilizadores registados que
tivessem dado (ou não) o consentimento sem proceder primeiro ao reconhecimento facial. Só
depois de proceder à identificação (ou de não conseguir fazê-lo) é que o responsável pelo
tratamento dos dados teria capacidade para determinar se tem ou não o consentimento
adequado para o tratamento em questão.
Antes de publicarem imagens em redes sociais, os utilizadores registados devem ser
claramente informados de que as imagens serão submetidas a um sistema de reconhecimento
facial. Mais importante ainda, os utilizadores registados devem ter ainda a opção adicional de
consentir ou não que o seu padrão de referência seja inscrito na base de dados de
identificação. O nome dos utilizadores não registados e os utilizadores registados que não
tiverem dado o consentimento para o tratamento não será, por conseguinte, automaticamente
sugerido para uma etiqueta, porque as imagens em que aparecem não corresponderão a
nenhum dos padrões.
O consentimento dado pela pessoa que publicar a imagem não deve ser confundido com a
necessidade de uma base legítima para o tratamento de dados pessoais de outras pessoas que
nela possam aparecer. Para este efeito, o responsável pelo tratamento pode querer basear-se
num motivo legítimo diferente para o tratamento nas fases intermédias (deteção da cara,
normalização e comparação), desde que seja no interesse legítimo do responsável pelo
tratamento e se se aplicarem as restrições e os controlos suficientes para proteger os direitos e
liberdades fundamentais das pessoas em causa que não sejam a pessoa que tiver publicado a
imagem. Estes controlos incluem a garantia de que nenhum dos dados resultante do
tratamento é retido depois de obtido um resultado negativo, sem correspondências (isto é,
todos os padrões e dados associados são apagados de forma segura). O responsável pelo
tratamento poderá também pensar em fornecer aos utilizadores ferramentas que permitam à
pessoa que publicar a imagem desfocar as caras das pessoas que não correspondem a nenhum
padrão da base de dados de referência. A inscrição do padrão de uma pessoa numa base de
dados de identificação (permitindo assim um resultado positivo e as subsequentes sugestões
de identificação com etiqueta) só seria possível com o consentimento informado da pessoa
em causa.
No exemplo 2, durante o processo de registo, é possível obter o consentimento da pessoa à
qual se autoriza o acesso. Para que este consentimento seja válido, é necessário que exista um
sistema alternativo, igualmente seguro, de controlo do acesso (nomeadamente uma palavrapasse forte). Esta opção alternativa que protege a privacidade deve ser a opção por defeito. Se
o utilizador se apresentar em frente a uma câmara ligada ao dispositivo, no intuito específico
de conseguir aceder, pode-se considerar que está a dar o seu consentimento para o tratamento
dos dados faciais necessário à autenticação, mesmo que não seja um utilizador autorizado do
dispositivo. No entanto, as informações prestadas devem continuar a ser suficientes para
garantir a validade do consentimento.
A ulterior exploração do arquivo de fotografias do serviço de redes sociais descrita no
exemplo 3 seria um exemplo claro de violação da regra da limitação da finalidade, pelo que a
pessoa em causa terá de dar o consentimento de forma válida antes do aparecimento da
função que indique claramente que esse tratamento de imagens irá ocorrer. É também o caso
6
do motor de pesquisa descrito no exemplo 1. As imagens obtidas pelo motor de pesquisa
foram disponibilizadas para serem vistas e não para serem tratadas por um sistema de
reconhecimento facial. O prestador do motor de pesquisa deve obter o consentimento das
pessoas em causa para a inscrição no segundo sistema de reconhecimento facial.
Também seria este o caso do exemplo 4, visto que o utilizador pode não supor que as
imagens captadas para o controlo gestual sejam submetidas a tratamento ulterior. Se o
responsável pelo tratamento estiver a pedir o consentimento para o tratamento de longo prazo
(isto é, ao longo do tempo ou durante os jogos), deve também enviar lembretes periódicos aos
utilizadores de que o sistema está ativado e será desativado por defeito.
O Parecer 15/2011 sobre a definição de consentimento analisa a qualidade, acessibilidade e
visibilidade das informações relativas ao tratamento de dados pessoais. Segundo este parecer:
«As informações devem ser dadas diretamente às pessoas, não basta que
estejam “disponíveis” algures.»
Deste modo, as informações relativas à função de reconhecimento facial de um serviço móvel
ou em linha não devem ser escondidas, mas sim estar disponíveis de forma facilmente
acessível e compreensível. Isto inclui a garantia de que as próprias câmaras não se encontram
a funcionar de forma dissimulada. Os responsáveis pelo tratamento dos dados devem ter em
consideração as expectativas razoáveis do público quanto ao respeito da privacidade ao
aplicarem a tecnologia do reconhecimento facial e responder adequadamente a estas
expectativas.
Neste contexto, o consentimento para a inscrição não pode decorrer da aceitação das
condições gerais do serviço subjacente por parte dos utilizadores, a menos que a finalidade
primária do serviço implique necessariamente o reconhecimento facial. Isto deve-se ao facto
de, na maioria dos casos, a inscrição ser uma função adicional e não diretamente relacionada
com o funcionamento do serviço em linha ou móvel. Os utilizadores podem não esperar que
essa função seja necessariamente ativada durante a utilização do serviço. Para este efeito, os
utilizadores devem ter a oportunidade explícita de dar o respetivo consentimento para a
ativação desta função durante o registo ou em data posterior, dependendo do momento em
que a função for introduzida.
Para que o consentimento seja considerado válido, devem ser dadas informações adequadas
acerca do tratamento dos dados. Os utilizadores devem ter sempre a possibilidade de retirar o
consentimento de forma simples. Se o consentimento for retirado, o tratamento para efeitos
de reconhecimento facial deve cessar de imediato.
5. Riscos específicos e recomendações
Os riscos que o reconhecimento facial representa para a privacidade dependerão inteiramente
do tipo de tratamento e da(s) finalidade(s). Existem, porém, determinados riscos que são mais
relevantes em determinadas fases do reconhecimento facial. Os pontos seguintes assinalam os
riscos principais e incluem recomendações de boas práticas.
5.1. Tratamento ilícito para efeitos de reconhecimento facial
Em linha, o responsável pelo tratamento dos dados pode obter imagens de muitas formas,
nomeadamente as imagens publicadas pelos utilizadores do serviço em linha ou móvel, pelos
seus amigos e colegas ou por terceiros. Nas imagens podem figurar as caras dos próprios
utilizadores e/ou de outros utilizadores registados ou não registados ou obtidas sem o
7
conhecimento das pessoas em causa. Independentemente dos meios de obtenção das imagens,
é necessária uma base jurídica para proceder ao seu tratamento.
Recomendação 1: Se o responsável pelo tratamento dos dados estiver a obter a imagem
diretamente (como nos exemplos 2 e 4), deve assegurar-se de que tem o
consentimento válido das pessoas em causa antes da obtenção e fornecer informações
suficientes acerca do momento em que a câmara está a funcionar para efeitos de
reconhecimento facial.
Recomendação 2: Se os utilizadores estiverem a obter imagens digitais e a publicá-las em
serviços em linha e móveis para efeitos de reconhecimento facial, o responsável pelo
tratamento dos dados deve assegurar-se de que as pessoas que publicaram as imagens
deram o consentimento para o tratamento das mesmas, que pode ser efetuado para
efeitos de reconhecimento facial.
Recomendação 3: Se o responsável pelo tratamento dos dados estiver a obter imagens
digitais de pessoas a partir de terceiros (por exemplo, copiadas de um sítio Web ou
compradas a outro responsável pelo tratamento), deve analisar cuidadosamente a
fonte e o contexto em que as imagens originais foram obtidas e tratadas, mas apenas
se as pessoas em causa tiverem dado o consentimento para o tratamento.
Recomendação 4: Os responsáveis pelo tratamento dos dados devem assegurar-se de que as
imagens digitais e os padrões são utilizados apenas para o objetivo específico para
que foram fornecidas. Devem também estabelecer os controlos técnicos necessários
para reduzir o risco de que as imagens digitais sejam submetidas a tratamento ulterior
por terceiros para finalidades para as quais o utilizador não tiver sido dado o seu
consentimento. Os responsáveis pelo tratamento dos dados devem incorporar
ferramentas para que os utilizadores possam controlar a visibilidade das imagens que
tiverem publicado, sempre que a configuração por defeito limite o acesso de terceiros.
Recomendação 5: Os responsáveis pelo tratamento dos dados devem assegurar-se de que as
imagens digitais de pessoas que não sejam utilizadores registados do serviço ou que
não tiverem dado, de qualquer outra forma, o seu consentimento para o tratamento só
serão tratadas se o responsável pelo tratamento tiver um interesse legítimo em fazê-lo.
Por exemplo, no caso do exemplo 1, para cessar o tratamento e apagar todos os dados
em caso de resultado negativo, sem correspondências.
Violação da segurança durante o trânsito
No caso dos serviços em linha e móveis, é provável que os dados sejam transferidos entre o
momento de obtenção da imagem e as restantes fases de tratamento (por exemplo, quando se
transfere uma imagem de uma câmara para um sítio Web para extração de características e
comparação).
Recomendação 6: O responsável pelo tratamento dos dados deve tomar as medidas
necessárias para garantir a segurança da transferência dos dados. Isto pode incluir
canais de comunicação codificada ou codificação da própria imagem. Sempre que
possível, sobretudo no caso da autenticação/verificação, deverá optar-se pelo
tratamento local dos dados.
8
5.2. Deteção da cara, normalização e extração de características
Minimização dos dados
Os padrões gerados por um sistema de reconhecimento facial podem conter mais dados do
que os necessários para cumprir os objetivos especificados.
Recomendação 7: Os responsáveis pelo tratamento dos dados devem garantir que os dados
extraídos de uma imagem digital para criar um padrão não são excessivos e contêm
apenas as informações exigidas pelo objetivo específico, evitando assim eventuais
tratamentos ulteriores. Os padrões não devem ser transferíveis entre sistemas de
reconhecimento facial.
Violação da segurança durante o armazenamento dos dados
É provável que a identificação e a autenticação/verificação exijam o armazenamento do
padrão, para o utilizar em comparações posteriores.
Recomendação 8: O responsável pelo tratamento dos dados deve analisar qual o local mais
apropriado para o armazenamento. Tanto pode ser no dispositivo do utilizador como
no interior dos sistemas do responsável pelo tratamento. O responsável pelo
tratamento dos dados deve tomar as medidas necessárias para garantir a segurança dos
dados armazenados, incluindo a eventual codificação do padrão.
Recomendação 9: Não deve ser possível aceder de forma não autorizada ao padrão ou ao
local de armazenamento. Especialmente no caso de reconhecimento facial para efeitos
de verificação, podem ser usadas técnicas biométricas de codificação; com estas
técnicas, a chave criptográfica está diretamente ligada aos dados biométricos e só será
recriada se no momento da verificação se apresentar a amostra biométrica correta em
direto, sem se proceder ao armazenamento de qualquer padrão ou imagem (formando
assim um tipo de «biometria indetetável»).
Acesso das pessoas em causa
Recomendação 10: O responsável pelo tratamento dos dados deve fornecer às pessoas em
causa os mecanismos adequados para exercer os respetivos direitos de acesso, se for o
caso, tanto às imagens originais como aos padrões gerados no contexto do
reconhecimento facial.
Feito em Bruxelas, a 22 de março de 2012
Pelo Grupo de Trabalho
O Presidente
Jacob KOHNSTAMM
9