Oito estudos de caso sobre a regulação da tecnologia biométrica nos mostram um caminho a seguir
Governança

Oito estudos de caso sobre a regulação da tecnologia biométrica nos mostram um caminho a seguir

Um novo relatório do AI Now Institute revela como diferentes abordagens regulatórias funcionam ou deixam de proteger as comunidades quando falamos de vigilância

Amba Kak estava cursando direito na Índia quando o país lançou o projeto Aadhaar em 2009. O sistema biométrico nacional de identificação, concebido como um programa abrangente de identidade, buscava coletar as impressões digitais, varreduras da íris e fotografias de todos os residentes. Não demorou muito, lembra Kak, para que as histórias sobre suas consequências devastadoras começassem a se espalhar. “De repente, começamos a ouvir relatos de como as impressões digitais dos trabalhadores manuais estavam falhando no sistema e eles não conseguiam ter acesso às necessidades básicas,” diz ela. “Na verdade, tivemos mortes por inanição na Índia que estavam sendo associadas às barreiras que esses sistemas de identificação biométrica estavam criando. Portanto, foi uma questão realmente crucial”.

Essas instâncias a levaram a pesquisar sistemas biométricos e as formas como a lei poderia responsabilizá-los. Em 2 de setembro, Kak, que agora é a diretora de estratégia e programas globais do AI Now Institute, com sede em Nova York, lançou um novo relatório detalhando oito estudos de caso de como os sistemas biométricos são regulamentados em todo o mundo. O documento abrange esforços municipais, estaduais, nacionais e globais, bem como alguns de organizações sem fins lucrativos. O objetivo é desenvolver uma compreensão mais profunda de como as diferentes abordagens funcionam ou são insuficientes. Falei com Kak sobre o que ela aprendeu e como devemos seguir em frente.

Esta entrevista foi editada e condensada para maior clareza.

O que motivou este projeto?

A tecnologia biométrica está se proliferando e se tornando normalizada, tanto nos domínios do governo quanto em nossas vidas privadas. Apenas este ano, tivemos o monitoramento de protestos por reconhecimento facial em cidades como Hong Kong (China), em Delhi (Índia), em Detroit e em Baltimore (ambas nos Estados Unidos). Sistemas de identificação biométrica, que são menos comentados, onde a biometria é usada como uma condição para acessar seus serviços de bem-estar – também se multiplicaram em países de baixa e média renda na Ásia, África e América Latina.

Mas o interessante é que a resistência contra esses sistemas também está no auge. A defesa de direitos está recebendo mais atenção do que nunca. Portanto, a questão é: onde entram as leis e as políticas? É aí que entra o compêndio desse trabalho. Este relatório tenta extrair o que podemos aprender com essas experiências em um momento em que parece que há muito apetite dos governos e dos grupos de defesa por mais regulamentação.

Qual é a situação atual da regulamentação biométrica globalmente? Quão maduras são as estruturas legais para lidar com essa tecnologia emergente?

Existem cerca de 130 países no mundo que possuem leis de proteção de dados. Quase todos cobrem biometria. Portanto, se estamos apenas perguntando se existem leis para regular os dados biométricos, a resposta seria, na maioria dos países, sim.

Mas quando você vai um pouco mais fundo, quais são as limitações de uma lei de proteção de dados? A melhor delas pode ajudá-lo a regular quando os dados biométricos são usados ​​e a garantir que eles não sejam usados ​​para fins para os quais não foi dado consentimento. Mas questões como precisão e discriminação, por exemplo, ainda receberam muito pouca atenção jurídica.

Por outro lado, o que aconteceria se baníssemos completamente a tecnologia? Vimos isso acontecendo nos EUA em nível municipal e estadual. Acho que às vezes as pessoas esquecem que a maior parte dessa atividade legislativa tem se concentrado no uso público e, mais especificamente, no uso policial.

Portanto, temos uma combinação de leis de proteção de dados que fornecem algumas garantias, mas são inerentemente limitadas. E então temos uma concentração dessas moratórias completas em nível municipal e estadual nos Estados Unidos.

Quais foram alguns dos temas comuns que emergiram desses estudos de caso?

Para mim, o mais claro foi o capítulo sobre a Índia, de Nayantara Ranganathan, e o capítulo sobre o banco de dados de reconhecimento facial australiano, de Monique Mann e Jake Goldenfein. Ambos os estudos tinham como objetivo eliminar silos técnicos entre diferentes estados e outros tipos de bancos de dados, além de garantir que eles estivessem centralizados. Portanto, foi criada esta enorme construção massiva de dados biométricos centralizados. Então, como um band-aid para este enorme problema, você está dizendo: “Ok, temos uma lei de proteção de dados, que diz que eles nunca devem ser usados ​​para uma finalidade que não foi imaginada ou antecipada”. Mas enquanto isso, a expectativa do que pode ser antecipado está mudando. Hoje, o banco de dados que era usado em um contexto de justiça criminal está sendo usado em um contexto de imigração.

Por exemplo, [nos EUA] a Imigração e Alfândega dos EUA (ICE, em inglês) agora está usando ou tentando usar bancos de dados do Departamento de Veículos Motorizados (DMV, em inglês) em diferentes estados no processo de fiscalização da imigração. Mas estamos falando de um banco de dados criado em um contexto civil, e agora eles estão tentando usá-lo para a imigração. Da mesma forma, na Austrália, você tem esse banco de dados gigante, que inclui dados de carteira de motorista, que agora será usado para fins ilimitados de justiça criminal e onde o departamento de assuntos internos terá controle total. E da mesma maneira na Índia, eles criaram uma lei, mas ela basicamente colocou a maior parte do arbítrio nas mãos da autoridade que criou o banco de dados. Então eu acho que a partir desses três exemplos, o que fica claro para mim é que você tem que ler a lei no contexto dos movimentos políticos mais amplos que estão acontecendo. Se eu tivesse que resumir a tendência mais ampla, é a securitização de todos os aspectos da governança, da justiça criminal à imigração e ao bem-estar, e isso está coincidindo com o impulso para a biometria. Essa é uma.

A segunda – e esta é uma lição que continuamos repetindo – o consentimento como uma ferramenta legal está muito quebrado, e definitivamente o está no contexto dos dados biométricos. Mas isso não significa que seja inútil. O capítulo de Woody Hartzog sobre o BIPA [sigla em inglês para Lei de privacidade de informações biométricas em tradução livre] de Illinois diz: Olha, é ótimo que tivemos vários processos judiciais bem-sucedidos contra empresas que usam o BIPA, mais recentemente com o Clearview AI. Mas não podemos continuar esperando que o “modelo de consentimento” traga mudanças estruturais. Nossa solução não pode ser: O usuário sabe o melhor; o usuário dirá ao Facebook que não deseja que os dados faciais sejam coletados. Talvez o usuário não faça isso, e o fardo não deveria recair sobre o indivíduo para tomar essas decisões. Isso é algo que a comunidade de privacidade realmente aprendeu da maneira mais difícil, e é por isso que leis como o RGPD não dependem apenas do consentimento. Também existem regras de diretrizes rígidas que dizem: se você coletou dados por um motivo, não pode usá-los para outro propósito. E você não pode coletar mais dados do que o absolutamente necessário.

Houve algum país ou estado que você julgou ser particularmente promissor em sua abordagem para a regulamentação da biometria?

Sim, mas como era de se esperar, não é um país ou um estado. Na verdade, é o Comitê Internacional da Cruz Vermelha [CICV]. No relatório, Ben Hayes e Massimo Marelli – ambos são representantes do CICV – escreveram um artigo reflexivo sobre como decidiram que havia um interesse legítimo para eles usarem a biometria no contexto da distribuição de ajuda humanitária. Mas também reconheceram que muitos governos os pressionariam para ter acesso a esses dados para perseguir essas comunidades.

Portanto, eles tinham um dilema muito real e resolveram isso dizendo: Queremos criar uma política biométrica que minimize a retenção real dos dados biométricos das pessoas. Então, o que vamos fazer é ter um cartão no qual os dados biométricos de alguém sejam armazenados com segurança. É possível usar este cartão para acessar a assistência humanitária ou social que é fornecida ao indivíduo. Mas se eles decidirem jogar o cartão fora, os dados não serão armazenados em nenhum outro lugar. A ideia basicamente consistia em não estabelecer uma base de dados biométrica com dados de refugiados e outras pessoas que precisam de ajuda humanitária.

Para mim, a lição mais ampla disso é reconhecer qual é o problema. O problema, nesse caso, era que os bancos de dados estavam criando um chamariz e um risco real. Eles pensaram em uma solução técnica e uma maneira das pessoas retirarem ou excluírem seus dados biométricos com total agilidade.

Quais são as principais lacunas que você vê nas abordagens da regulamentação biométrica em todos os aspectos?

Um bom exemplo para ilustrar esse ponto é: Como a lei está lidando com toda essa questão de parcialidade e precisão? Nos últimos anos, vimos muitas pesquisas fundamentais de pessoas como Joy Buolamwini, Timnit Gebru e Deb Raji que desafiam existencialmente: esses sistemas funcionam? Contra quem eles trabalham? E mesmo quando eles passam nos chamados testes de precisão, como eles realmente funcionam em um contexto da vida real?

A privacidade de dados não se preocupa com esses tipos de problemas. Então, o que vimos agora – e isso são principalmente esforços legislativos nos EUA – são projetos de lei que exigem auditorias de precisão e não discriminação para sistemas de reconhecimento facial. Alguns deles dizem: estamos pausando o uso do reconhecimento facial, mas uma condição para suspender essa moratória é que você passará neste teste de precisão e não discriminação. E os testes aos quais eles geralmente se referem são testes de padrões técnicos, como o teste de fornecedor de reconhecimento facial do Instituto Nacional de Padrões e Tecnologia (NIST).

Mas, como argumento naquele primeiro capítulo, esses testes estão evoluindo; eles provaram ter baixo desempenho em contextos da vida real; e o mais importante, eles são limitados em sua capacidade de abordar o impacto discriminatório mais amplo desses sistemas quando eles são aplicados na prática. Por isso, estou realmente preocupada com algumas maneiras que esses padrões técnicos se tornem uma espécie de caixa de verificação que precisa ser marcada e que, em seguida, ignora ou ofusca as outras formas de danos que essas tecnologias têm quando são aplicadas.

Como este compêndio mudou a maneira como você pensa sobre a regulação biométrica?

O mais importante para mim foi não pensar na regulação apenas como uma ferramenta que ajudará a limitar esses sistemas. Pode ser uma ferramenta para se opor a eles, mas também pode ser uma ferramenta para normalizar ou legitimá-los. Só quando olhamos para exemplos como a Índia ou a Austrália é que começamos a ver a lei como um instrumento multifacetado, que pode ser usado de diferentes maneiras. Neste ponto, quando estamos realmente fazendo pressão ao perguntar “Essas tecnologias precisam existir?” A lei, e especialmente a fraca regulamentação, pode realmente se tornar uma arma. Esse foi um bom lembrete para mim. Precisamos ter cuidado com isso.

Esta conversa foi definitivamente reveladora para mim porque, como alguém que aborda a forma como a tecnologia é usada como arma, muitas vezes me perguntam: “Qual é a solução?” e eu sempre digo, “Regulamento”. Mas agora você está dizendo: “A regulamentação também pode ser transformada em arma”.

Exatamente! Isso me faz pensar nesses grupos que costumavam trabalhar com violência doméstica na Índia. E eu lembro que eles disseram que, ao final de décadas de luta pelos direitos das sobreviventes da violência doméstica, o governo finalmente disse: “Ok, aprovamos esta lei”. Mas depois disso, nada mudou. Lembro-me de ter pensado, às vezes, glorificamos a ideia de aprovar leis, mas o que acontece depois disso?

E esta é uma boa transição – mesmo enquanto eu li o capítulo de Clare Garvie e Jameson Spivack sobre proibições e moratórias, eles apontam que a maioria dessas proibições se aplica apenas ao uso do governo. Ainda existe esta enorme indústria privada multibilionária. Portanto, os dados ainda serão usados no show da Taylor Swift de maneiras muito semelhantes às que a polícia usaria: para excluir algumas pessoas, para discriminar outras. A lei não para a máquina. Esse tipo de intervenção legal exigiria uma defesa sem precedentes. Não acho que seja impossível ter o chamado banimento total, mas ainda não chegamos lá. Então, sim, precisamos ser mais prudentes e críticos sobre a maneira como entendemos o papel da lei.

E quanto ao compêndio, você ficou esperançosa quanto ao futuro?

Essa é sempre uma pergunta difícil, mas não deveria ser. Provavelmente foi o capítulo de Rashida Richardson e Stephanie Coyle. O capítulo deles era quase como uma etnografia sobre esse grupo de pais em Nova York que decididamente não queriam que seus filhos fossem vigiados. E eles diziam coisas como: “Vamos a todas as reuniões, mesmo que eles não esperem que o façamos. E vamos dizer que não concordamos com isso”.

Foi muito reconfortante saber sobre uma história onde um grupo de pais foram os responsáveis pela mudança total de discurso. Eles disseram: não vamos falar sobre se a biometria ou a vigilância são necessárias. Vamos apenas falar sobre os reais danos disso para nossos filhos e se este é o melhor uso do dinheiro. Um senador então pegou isso e apresentou um projeto de lei e, apenas em agosto, o Senado do estado de Nova York aprovou esse projeto. Comemorei com a Rashida porque fiquei tipo, “Oba! Histórias como essa acontecem!” Está profundamente conectado com a história da advocacia.

Nossos tópicos