Tecnologia de reconhecimento facial: o caso Kmart

Hoje li o relatório de investigação sobre a Kmart da Austrália, uma gigante do retalho que utilizou a tecnologia de reconhecimento facial (TRF) em TODOS os clientes durante 2 anos sem consentimento. O que acontece quando as nobres intenções colidem com a falta de uma governação adequada?

Já aconteceu antes?

Sim! Em 2024, a Bunnings, uma grande cadeia de lojas de bricolage, também foi descoberta a utilizar TRF nas suas lojas, a mesma história - razões diferentes. Para a Bunnings, tratava-se de prevenir a agressão dos clientes para com os funcionários. A gerência da loja foi solicitada a publicar uma explicação sobre como a tecnologia funciona exatamente - o que eles fizeram.

(Fonte: https://www.bunnings.com.au/about-us/facial-recognition-technology)

A Kmart utilizou a tecnologia para tentar combater a fraude nas devoluções - coisas como devolver artigos roubados ou trocar códigos de barras, um problema sério: só nos EUA, cerca de 15% das devoluções envolveram algum tipo de fraude em 2024, custando milhares de milhões.

Porque é que a Comissária da Privacidade decidiu que não estava correto?

Apesar das boas razões por detrás da decisão de implementar a tecnologia, a Comissária da Privacidade decidiu que a Kmart tinha violado a Lei da Privacidade (na Austrália, não existe legislação específica sobre IA, pelo que se aplicam as leis existentes). “Só porque uma tecnologia pode ser útil ou conveniente, não significa que o seu uso seja justificável”, disse ela, abordando o tema da proporcionalidade: o benefício da utilização de uma tecnologia deve superar clara e esmagadoramente os riscos de privacidade que ela representa. As “impressões faciais” que a loja recolheu, mesmo que não tenham sido armazenadas por mais de um segundo, foram utilizadas para correspondência, o que transforma uma fotografia de informação pessoal em informação sensível - uma distinção muito importante.

O sistema digitalizava todas as pessoas que entravam, recolhendo dados biométricos de centenas de milhares de pessoas, não apenas dos poucos malfeitores. Mas não era muito bom no seu trabalho: a quantidade de fraude evitada era minúscula em comparação com o problema geral. O risco massivo para a privacidade de cada cliente não foi superado pelos benefícios muito limitados.

É importante notar que a empresa nunca explorou devidamente alternativas menos invasivas da privacidade, como uma melhor formação dos funcionários ou políticas de devolução mais rigorosas. A Comissária sublinhou que a empresa não precisava de encontrar uma alternativa que fosse igualmente eficaz na prevenção da fraude. Em vez disso, apenas tinham de mostrar que tinham considerado e rejeitado devidamente outros métodos menos invasivos da privacidade. A empresa não o fez.

Finalmente, embora a empresa tenha exibido um Aviso de Condições de Entrada “atualizado” na entrada da loja, declarando que a loja tinha “cobertura de videovigilância 24 horas, que inclui tecnologia de reconhecimento facial”, muitas lojas utilizaram a tecnologia durante meses antes de este aviso ser exibido, o que significa que um grande número de clientes não tinha conhecimento da utilização da tecnologia quando entraram. A política de privacidade, que esteve em vigor durante mais de um ano após o início do piloto, não mencionava de todo o reconhecimento facial.

Não se trata de envergonhar as empresas. Nem a Bunnings nem a Kmart foram multadas. É um lembrete para todas as organizações: transparência, necessidade e proporcionalidade são as principais considerações ao implementar sistemas de reconhecimento facial como este.

Quais são as suas opiniões sobre isto? As empresas devem ter o direito de utilizar a TRF para proteger os seus negócios, mesmo que isso afete a privacidade de cada cliente?