A Comissão de Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) abriu inquérito civil público para investigar as empresas CredDefense, Certibio e Acesso Digital pelo comércio de dados biométricos para fins de reconhecimento facial.

A ação surgiu de uma reportagem do UOL, divulgada no dia 6 de agosto, que diz que empresas como bancos e varejistas pagam até R$ 4,70 para consultar dados de brasileiros e evitar fraudes.

Empresas como as investigadas pelo MP oferecem um serviço de checagem ao cruzar as fotos que seus clientes captam dos cidadãos com as de seus bancos de dados privados. Além de fotos, eles têm outras informações biométricas.

Parte das empresas diz obter os dados com o consentimento dos próprios clientes.

Um caso, no entanto, chama a atenção. A Certibio, com um banco de 70 milhões de cadastros, afirmou ao UOL usar informações armazenadas pelo Serviço de Processamento de Dados (Serpro). O Serpro é uma empresa pública responsável por alguns serviços de tecnologia da administração federal. 

O problema é que o Serpro não tem base legal para transacionar dados com empresas privadas, de acordo com advogados ouvidos pela Folha.

"O Serpro sustenta que tem base legal para isso por meio de uma portaria do ministro da Fazenda, de 2016 [Henrique Meirelles]. No entanto, essa própria portaria não tem base legal e ela trata de comercialização com o setor público, não com o privado", diz Fabrício Mota, professor de privacidade e proteção de dados pessoais do Instituto Brasiliense de Direito Público.

No inquérito, o promotor de Justiça Frederico Ceroy cita o Marco Civil da Internet, que assegura aos titulares dos dados pessoais o direito de não fornecimento de dados a terceiros, "salvo mediante consentimento livre expresso e informado".

Ele também menciona o Código de Defesa do Consumidor e a nova Lei Geral de Proteção de Dados Pessoais, sancionada por Michel Temer na última terça-feira (14), que proíbe tal prática sem a autorização do cidadão.

Ceroy ainda justifica o inquérito ao afirmar que há "ausência de critérios públicos e claros em relação ao funcionamento dos algoritmos de reconhecimento facial usados pelas citadas empresas e as consequências dos erros durante a operação de identificação dos consumidores".

A tecnologia de reconhecimento facial tem sido usada como ferramenta de vigilância e identificação por empresas e governos. Na China, elas já substituem cartões de entrada em prédios e empresas. 

No Brasil, o SPC lançou serviço para que lojas possam confirmar a identidade de consumidores a partir de imagens na hora de dar crédito.

Em março deste ano, o MP apontou para um suposto esquema de venda de dados pessoais de brasileiros pelo Serpro. Ainda não houve julgamento do caso, mas o Serpro nega. 

OUTRO LADO

Em nota, a CredDefense afirmou que a empresa foi criada para ajudar a prevenir fraudes de falsidade ideológica e que "usa os mais modernos recursos tecnológicos disponíveis para proteger o consumidor do uso indevido de dados pessoais".
 
Também diz que todas as informações inseridas no banco de dados são fornecidas diretamente pelo titular quando este faz o seu cadastro.

"A CredDefense não compra bases de terceiros, e não usa dados fornecidos por qualquer órgão da administração pública direta ou indiretamente."
 
Por fim, a empresa diz que armazena os dados de forma segura e criptografada, em conformidade com as melhores práticas e que está à disposição para informações.

A Acesso Digital informou, também por meio de nota, que "tem como missão a proteção da identidade e dos dados dos brasileiros" e que não vende sua base de informações, "construída a partir da coleta dos dados biométricos e do CPF dos consumidores das empresas clientes, mediante o consentimento dos respectivos titulares".

"A Acesso Digital não extraiu ou obteve qualquer dado proveniente de órgãos de administração pública", diz a nota.

Já a Certibio disse que suas soluções foram desenhadas "de forma a preservar a privacidade e os direitos fundamentais dos indivíduos de acordo com a legislação vigente, prevendo inclusive o novo marco da Lei Geral de Proteção de Dados".

Em nota, a empresa  esclarece que "coleta a biometria do indivíduo, mediante o seu consentimento, e a envia ao serviço Datavalid do Serpro, que retorna na forma de um percentual de similaridade (anonimizado). A Certibio não acessa, armazena ou compartilha qualquer dado proveniente de banco de dados governamentais”, diz a nota.