Brasil: Uso de Inteligência Artificial para fins de persecução penal

Seguindo o Regulamento Geral de Proteção de Dados Europeus (GDPR)^[1], o Brasil também adotou uma legislação geral com ampla aplicação nos mais diversos setores sociais e que exclui de seu escopo de atuação o uso de inteligência artificial e de tratamento de dados pessoais para fins de persecução penal. Enquanto no Brasil houve um vácuo regulatório a este respeito, na União Europeia o surgimento da Diretiva 2016/680 - que trata dos casos em que se permite o tratamento de dados pessoais para fins de segurança pública - ocorreu simultaneamente à criação do GDPR.

A LGPD por mais que não regule o uso de inteligência artificial para fins de persecução penal, apresenta algum nível de garantias que devem ser seguidas por uma futura lei mais específica que vise a segurança dos dados pessoais dos indivíduos. A existência dessa lei mais específica é necessária do ponto de vista da segurança jurídica, uma vez que é preciso viabilizar o tratamento de dados pelas autoridades de segurança pública com uma maior eficiência ao passo que possa também ser compatível com a garantia dos direitos fundamentais dos titulares de dados. Assim, visto que o uso de tecnologia de vigilância no contexto de investigações no processo penal é uma realidade que tende a se expandir cada vez mais, em novembro de 2019 uma Comissão de Juristas especializados na elaboração de um anteprojeto de lei, apresentou ao presidente da Câmara dos Deputados, um anteprojeto de lei sobre o tema em questão.

Em linhas gerais, o anteprojeto^[2] que se inspirou na LGPD, na Diretiva 2016/680 da União Europeia e em leis estadunidenses sobre tecnologia e monitoramento, traz balizas capazes de regulamentar o tratamento de dados pessoais nas atividades de caráter policial e judiciária sem que haja uma intromissão desproporcional na esfera de privacidade do indivíduo e sem que seus direitos sejam alvos de violações sistemáticas pelas autoridades públicas. O anteprojeto tenta, ao mesmo tempo, equilibrar a necessidade de tornar mais eficiente as investigações penais através do uso de ferramentas tecnológicas, com a proteção dos indivíduos contra o abuso das autoridades públicas. Para isso, esse dispositivo estabelece um conjunto de princípios que se aplicam ao uso de inteligência artificial e ao tratamento de dados para fins de persecução penal. Dentre esses princípios, alguns são semelhantes aos elencados pela LGPD e outros como a licitude e a legalidade estrita são exclusivas desse dispositivo.

A lacuna regulatória provoca (i) a ineficiência investigativa e decisória dos órgãos públicos e (ii) a falta de proteção dos titulares sobre seus dados pessoais. Em primeiro lugar, pela falta de regulamentação específica, as autoridades públicas não possuem acesso a modernas técnicas de investigações, o que afeta a eficiência dessas instituições e gera constantes debates acerca da validade jurídica dos atos relacionados à persecução penal.

Além disso, o vácuo regulatório ameaça os direitos e garantias fundamentais dos titulares de dados, vez que não são claros os limites de atuação das autoridades penais, o que gera intensa assimetria de poder entre Estado e cidadão. Nesse sentido, sem balizas mínimas que resguardem os direitos individuais, como liberdade, privacidade e observância ao devido processo legal, os cidadãos ficam à mercê de técnicas abusivas de vigilância e monitoramento em massa.

Desta forma, o anteprojeto é estruturado em 68 artigos dividido em 12 capítulos, que determina, em linhas gerais, que as autoridades, ao lidarem com dados pessoais dos indivíduos, devem, por lei, se atentarem à salvaguarda dos princípios de licitude, finalidade, adequação, necessidade, proporcionalidade, livre acesso, qualidade dos dados, transparência, segurança, privacidade, prevenção, não discriminação e, por fim, responsabilização e prestação de contas. É preciso que os agentes de tratamento somente façam o uso dessas ferramentas tecnológicas - como o uso do monitoramento biométrico - para fins de persecução penal em casos específicos autorizados previamente pela norma e se atentando aos riscos que essas atividades emanam a democracia e as liberdades individuais dos cidadãos dentro de suas esferas privadas.

Os capítulos do anteprojeto são elencados na seguinte ordem: (i) âmbito de aplicação da Lei; (ii) condições de aplicação; (iii) base principiológica; (iv) direitos e obrigações; (v) segurança da informação; (vi) tecnologias de monitoramento; (vii) transferência internacional de dados e; (viii) a autoridade de supervisão. No âmbito de aplicação da Lei, destaca-se a regra qie diz respeito à necessidade de se eleger um órgão "controlador" que possa exercer a responsabilidade de tratar os dados no contexto de segurança pública. As condições de aplicação são o escopo de legitimidade e licitude dentro do qual o tratamento de dados pessoais para fins de persecução penal é possível. Além disso, as bases principiológicas, nada mais são, senão, as bases legais disponíveis capazes de autorizar o tratamento de dados. Não obstante, o anteprojeto estabelece uma série de direitos aplicáveis aos titulares de dados pessoais, bem como as obrigações destinadas aos agentes de tratamento de dados como o dever de garantir a segurança da informação.

A questão do monitoramento biométrico, haja vista sua grande relevância temática, é tratado de forma diferenciadas pelo anteprojeto. Assim, o alto risco que essa tecnologia pode causar aos direitos fundamentais deve ser mitigado ao máximo, sendo usado apenas em situações em que o objetivo decorrente do uso dessa tecnologia não possa ser alcançado de outra forma menos lesiva às pessoas. Dessa forma, o anteprojeto, ao dedicar um capítulo específico sobre tecnologias de vigilância e tratamento de dados de elevado risco, deixa claro quais são as autoridades competentes para lidar com essas ferramentas, bem como as maneiras mais adequadas para uma melhor aplicação e controle de risco.

Ademais, vê-se que, como forma de mitigar os riscos proporcionados por uma vigilância em massa e um abuso de autoridades no contexto de tratamento de dados pessoais para atividades relacionadas a segurança pública, conforme elenca de forma taxativa o art. 9º do anteprojeto, esse tratamento só pode ser feito sob três hipóteses:

Quando necessário para o cumprimento de atribuição legal de autoridade competente, na persecução do interesse público, na forma de lei ou regulamento, observados os princípios gerais de proteção e os direitos do titular.
Para execução de políticas públicas previstas em lei, na forma de regulamento, observados os princípios gerais de proteção e os direitos do titular.
Para a proteção da vida ou da incolumidade física do titular ou de terceiro, contra perigo concreto e iminente.

Recentemente, foi editada a Lei Distrital nº 6.712/2020^[3] (Distrito Federal), que estabeleceu os parâmetros necessários para uso de tecnologia de reconhecimento facial para fins de persecução penal no Distrito Federal, haja visto a lacuna regulatória desse tema nas outras unidades da federação. Essa lei surge num contexto de intenso debate público sobre a implementação de sistemas de IA para fins de segurança pública no país e de um vácuo regulatório marcado pela ausência de leis federais ou estaduais que regulem esse tema e estabeleçam guias e recomendações às autoridades controladoras.

Em seu texto, é possível identificar aspectos positivos e negativos que devem ser levados em consideração por leis futuras similares que vierem a ser desenvolvidas sobre o tema. De um lado, vê-se que são múltiplas as vantagens que os sistemas de reconhecimento facial incorporam, como custos mais baixos para o processo investigatório, maior índice de qualidade dos resultados apresentados e realocação de capital humano. Em contrapartida, existem também uma série de riscos atrelados ao uso dessa tecnologia que devem ser objeto de discussão, como a possível violação do direito à proteção de dados e o cerceamento de liberdades individuais como a privacidade.

Dentre os pontos positivos trazidos pela lei estão: (i) a vedação ao uso de tecnologia de reconhecimento facial para vigilância em larga escala, (ii) obrigação de informar os indivíduos sobre o uso de TRF em locais públicos, (iii) a obrigação de revisões de possíveis identificações positivas por um agente humano, (iv) a delimitação do tratamento restritivo e automatizado de dados com caráter sensível, e (v) obrigação de protocolos seguros de acesso aos sistemas de IA.

Em relação ao primeiro ponto, da vigilância em massa, a Lei determina que a coleta de dados em locais públicos, por trazer riscos à privacidade e a proteção de dados pessoais, não deve ser feita de forma irrestrita e sem limites prévios definidos legalmente. A norma ainda prevê que essa coleta deve ser feita atentando-se às finalidades específicas do tratamento de dados pessoais, sem mitigar os direitos de liberdade de expressão, reunião e associação dos indivíduos. É preciso que o uso dessa tecnologia seja limitado a casos determinados, como em investigações específicas, evitando uma vigilância excessiva.

Além disso, a Lei especifica a obrigação de informar o indivíduo acerca dos locais em que o uso do TRF é feito. Essa regra vai ao encontro do princípio elencado pela LGPD de transparência quanto à implementação desses sistemas. É preciso que existam informações claras e acessíveis em locais visíveis a todos os indivíduos. Ainda nesse sentido, tendo em vista o alto risco de identificações falsas positivas que ensejam processos discriminatórios, a Lei determina a obrigação de revisões de todas as possíveis identificações positivas por um agente humano no momento do alerta emitido pelo sistema.

Ademais, conforme seu caráter sensível, o tratamento de dados pessoais deve ser restrito a seu uso autorizado, sendo expressamente vedado pela norma qualquer desvio de finalidade. Por fim, o controle de acesso aos dados por autoridades controladoras deve ser envolto por protocolos rígidos de segurança para evitar o uso desvirtuado dessa tecnologia.

Para além dos pontos positivos encontrados na Lei, há também alguns pontos preocupantes que não foram tratados pela lei mas que merecem especial atenção para a criação de futuros dispositivos que tratem sobre o respectivo tema. São eles, a questão da cibersegurança (medidas de segurança para a proteção de dados), a falta de especificação em relação a transparência algorítmica (critérios que devem estar claros quando a tomada de decisão por algoritmos) e a questão da acurácia da tecnologia que permite erros e vieses contra minorias em sistemas de reconhecimento facial, seja pelo eventual processo discriminatório decorrente de machine learning ou pela baixa qualidade das imagens tratadas.

Ainda para fins de persecução penal, foi decidido pelo STJ no julgamento do HC nº 65228[4] que a identificação do indivíduo pela foto não pode ser o único elemento de prova. Nesse sentido, a 6º Turma do Tribunal decidiu pela absolvição de um homem condenado por um assalto exclusivamente com base no reconhecimento de testemunha por foto.

Assim, restou claro que por possuir um alto grau de subjetividade que pode ser extremamente falível e não observar o procedimento processual mínimo necessário previsto no CPP, o reconhecimento por foto não basta para efeitos de condenação. Decidiu o Tribunal que o reconhecimento facial de pessoas deve necessariamente observar o procedimento previsto no art. 226 do CPP, cujas formalidades constituem garantia mínima para aferir a condição de suspeito da prática de delito. Além disso, a inobservância do procedimento descrito na referida norma processual torna inválido o reconhecimento da pessoa suspeita e não poderá servir para nova condenação. E por fim, desde que observado o devido procedimento probatório e os direitos fundamentais do indivíduo, o magistrado pode reconhecer o uso de tecnologias de reconhecimento facial para fins de persecução penal.

O uso de tecnologias de reconhecimento facial para fins de segurança pública pode sim auxiliar na eficácia do processo investigatório, mas deve-se levar em conta os constantes equívocos de identificação de sujeitos ocorridos no Brasil. Não são poucos os casos em que indivíduos sofreram vieses discriminatórios pelos algoritmos e tiveram seus direitos e garantias individuais cerceados em consequências da identificação falsa positiva. Na Bahia, o uso de reconhecimento facial ocorre desde 2018 e o sistema é alimentado pelo Banco Nacional de Mandados de Prisão, que possui cerca de 333,5 mil procurados pela Justiça[5]. Até o presente momento, mais de 209 procurados foram presos com o auxílio dessa tecnologia, mas, como nenhum algoritmo tem 100% de precisão, algumas dessas identificações foram equivocadas, fruto de processos falhos de reconhecimento facial, ainda mais quando se trata da população negra que é a mais afetada pela falta de acurácia tecnológica dos sistemas de IA[6].

Notas e Referências

^[1] Disponível em <<https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1532348683434>>. Acessado em 01.10.2021.

^[2] Disponível em <<https://www2.camara.leg.br/atividade-legislativa/comissoes/grupos-de-trabalho/56a-legislatura/comissao-de-juristas-dados-pessoais-seguranca-publica/documentos/outros-documentos/DADOSAnteprojetocomissaoprotecaodadossegurancapersecucaoFINAL.pdf>>. Acessado em 02.10.2021.

^[3] Disponível em <<https://www.tjdft.jus.br/institucional/relacoes-institucionais/arquivos/lei-no-6-712-de-10-de-novembro-de-2020.pdf>>. Acessado em 02.10.2021.

[4] STJ - HC: 652284 SC 2021/0076934-3, Relator: Ministro REYNALDO SOARES DA FONSECA, Data de Publicação: DJ 19/03/2021.

[5] Disponível em <<https://theintercept.com/2021/09/20/rui-costa-esta-transformando-a-bahia-em-um-laboratorio-de-vigilancia-com-reconhecimento-facial/>>. Acessado em 02.10.2021.

[6] Esta questão foi abordada em colunas anteriores. Para aprofundamento, ver (i) Reconhecimento Facial, Racismo e Privacidade, disponível em https://emporiododireito.com.br/leitura/reconhecimento-facial-racismo-e-privacidade; (ii) Sobre liberdades, escolhas e sugestões: as nossas decisões são n(v)ossas!, disponível em https://emporiododireito.com.br/leitura/sobre-liberdade-escolhas-e-sugestoes-as-nossas-decisoes-sao-n-v-ossas; (iii) Twitter, Youtube: seriam os algoritmos discriminatórios?, disponível em https://emporiododireito.com.br/leitura/twitter-youtube-seriam-os-algoritmos-discriminatorios e (iv) Inteligência Artificial e reconhecimento facial para fins de policiamento e política criminal: A Resolução nº 332 do CNJ e outras referências normativas, disponível em https://emporiododireito.com.br/leitura/inteligencia-artificial-e-reconhecimento-facial-para-fins-de-policiamento-e-politica-criminal-a-resolucao-n-332-do-cnj-e-outras-referencias-normativas.

Imagem Ilustrativa do Post: Albert V Bryan Federal District Courthouse – Alexandria Va – 0011 – 2012-03-10 / // Foto de: Tim Evanson // Sem alterações

Disponível em: https://www.flickr.com/photos/timevanson/6830726558

Licença de uso: http://creativecommons.org/licenses/by/4.0/legalcode