A Agência para Modernização Administrativa (AMA) não solicitou qualquer autorização ou parecer prévio à Comissão Nacional de Proteção de Dados (CNPD) para o lançamento de uma ferramenta de reconhecimento facial remoto para a Chave Móvel Digital (CMD) – mas pelo Regulamento Geral de Proteção de Dados (RGPD), que se encontra em vigor, também não era obrigada a fazê-lo. O que não impede a CNPD de confirmar que vai tomar a iniciativa de solicitar mais detalhes sobre o projeto junto da AMA.
«Numa análise preliminar ao caderno de encargos, suscitam-se de facto algumas questões que carecem de maior avaliação, indo a CNPD realizar diligências junto da AMA», informa fonte oficial da CNPD, quando questionada pela Exame Informática.
Com a entrada em vigor do RGPD em território nacional, a 8 de agosto de 2019, o modo de atuação da CNPD e das outras entidades de supervisão da privacidade da UE passou a focar-se mais sobre a fiscalização de projetos depois da implementação, reduzindo substancialmente o número de casos em que a lei exige a necessidade de obtenção de autorizações ou pareceres prévios para o tratamento de dados pessoais.
E é no âmbito da fiscalização reforçada pelo RGPD que a CNPD deverá tentar apurar se todas as medidas de proteção de dados foram tomadas em consonância com a legislação atual. Um dos primeiros pontos que deverá merecer especial atenção da AMA é a análise que os próprios responsáveis da AMA terão levado a cabo antes de avançar com o concurso de escolha de fornecedor do futuro sistema que permitirá ativar ou usar a CMD mediante o reconhecimento facial remoto dos cidadãos, com recurso ao telemóvel e ao cartão do cidadão.
«Nos termos do artigo 35.º, n.º 3, alínea b), do RGPD, deveria ter sido realizada uma avaliação de impacto sobre a proteção de dados, desconhecendo-se se tal ocorreu», sublinha a CNPD, deixando uma posição final sobre o reconhecimento facial remoto proposto pela AMA para o momento em que tiver recolhido «toda a informação que considerarmos pertinente».
A AMA lançou um concurso para a escolha de um fornecedor tecnológico que permite identificar e autenticar um cidadão através de imagens do cartão do cidadão e do rosto, que são captadas por telemóvel no próprio momento – à semelhança do que já acontece com vários serviços da banca de nova geração.
Além dos potenciais riscos no que toca à privacidade, a tecnologia, que é conhecida por liveness, não obtém o consenso junto da comunidade de especialistas em segurança informática. Apesar dos requisitos técnicos que a AMA apresentou com o objetivo de reduzir a probabilidade estatística de ludibriar o sistema com “falsos positivos”, há quem recorde que as tecnologias que motivaram o concurso dificilmente podem assegurar que um telemóvel não foi adulterado para transmitir vídeos ou fotos que não correspondem à realidade.
