Bruxelas, 24 de maio – Durante a sua última sessão plenária, o CEPD adotou um parecer sobre a utilização de tecnologias de reconhecimento facial pelos operadores aeroportuários e pelas companhias aéreas para racionalizar o fluxo de passageiros nos aeroportos*. Este parecer do artigo 64.o, n.o 2, na sequência de um pedido da autoridade francesa de proteção de dados, aborda uma questão de aplicação geral e produz efeitos em mais do que um Estado-Membro.
O presidente do CEPD, Anu Talus, declarou: «Cada vez mais operadores aeroportuários e companhias aéreas em todo o mundo estão a testar sistemas de reconhecimento facial que permitem aos passageiros passar mais facilmente pelos vários pontos de controlo. É importante estar ciente de que os dados biométricos são particularmente sensíveis e que o seu tratamento pode criar riscos significativos para as pessoas. A tecnologia de reconhecimento facial pode levar a falsos negativos, preconceitos e discriminação. A utilização abusiva de dados biométricos pode também ter consequências graves, como a usurpação de identidade ou a usurpação de identidade. Por conseguinte, instamos as companhias aéreas e os operadores aeroportuários a optarem por formas menos intrusivas de racionalizar os fluxos de passageiros, sempre que possível. Na opinião do CEPD, as pessoas singulares devem ter o máximo controlo sobre os seus próprios dados biométricos.»
O parecer analisa a compatibilidade do tratamento com o princípio da limitação da conservação (artigo 5.o, n.o 1, alínea e), do RGPD), o princípio da integridade e da confidencialidade (artigo 5.o, n.o 1, alínea f), do RGPD), a proteção de dados desde a conceção e por defeito (artigo 25.o do RGPD) e a segurança do tratamento (artigo 32.o do RGPD). O cumprimento de outras disposições do RGPD, nomeadamente no que diz respeito à licitude do tratamento, não é abrangido pelo âmbito de aplicação do presente parecer.**
Não existe um requisito legal uniforme na UE para que os operadores aeroportuários e as companhias aéreas verifiquem se o nome no cartão de embarque do passageiro corresponde ao nome no seu documento de identidade, o que pode estar sujeito à legislação nacional. Por conseguinte, se não for exigida a verificação da identidade dos passageiros com um documento de identidade oficial, essa verificação com recurso a dados biométricos não deve ser efetuada, uma vez que tal resultaria num tratamento excessivo dos dados.
No seu parecer, o CEPD considerou a conformidade do tratamento dos dados biométricos dos passageiros com quatro tipos diferentes de soluções de armazenamento, desde as que armazenam os dados biométricos apenas nas mãos da pessoa singular até às que dependem de uma arquitetura de armazenamento centralizada com diferentes modalidades. Em todos os casos, só devem ser tratados os dados biométricos dos passageiros que se inscrevem ativamente e consentem em participar.
O CEPD considerou que as únicas soluções de armazenamento que poderiam ser compatíveis com o princípio da integridade e da confidencialidade, a proteção de dados desde a conceção e por defeito e a segurança do tratamento são as soluções através das quais os dados biométricos são armazenados nas mãos da pessoa ou numa base de dados central, mas com a chave de encriptação apenas nas suas mãos. Estas soluções de armazenamento, se implementadas com uma lista de salvaguardas mínimas recomendadas, são as únicas modalidades que contrabalançam adequadamente a intrusão do tratamento, oferecendo aos indivíduos o maior controlo.
O CEPD considerou que as soluções baseadas no armazenamento numa base de dados centralizada, quer no aeroporto quer na nuvem, sem as chaves de encriptação nas mãos do indivíduo, não podem ser compatíveis com os requisitos de proteção de dados desde a conceção e por defeito e, se o responsável pelo tratamento se limitar às medidas descritas nos cenários analisados, não cumpririam os requisitos de segurança do tratamento.
No que diz respeito ao princípio da limitação da conservação, os responsáveis pelo tratamento devem assegurar que dispõem de uma justificação suficiente para o período de conservação previsto e limitá-lo ao necessário para a finalidade proposta.
Em seguida, as APD adotaram um relatório sobre o trabalho do grupo de trabalho ChatGPT. Este grupo de trabalho foi criado pelo CEPD para promover a cooperação entre as APD que investigam o chatbot desenvolvido pela OpenAI.
O relatório apresenta pontos de vista preliminares sobre determinados aspetos debatidos entre as APD e não prejudica a análise que será efetuada por cada APD na respetiva investigação em curso***.
Analisa vários aspetos relativos à interpretação comum das disposições aplicáveis do RGPD relevantes para as várias investigações em curso, tais como:
- licitude da recolha de dados de formação («web scraping»), bem como do tratamento de dados para entrada, saída e formação do ChatGPT.
- equidade: assegurar a conformidade com o RGPD é uma responsabilidade da OpenAI e não dos titulares dos dados, mesmo quando os indivíduos introduzem dados pessoais.
- transparência e exactidão dos dados: o responsável pelo tratamento deve fornecer informações adequadas sobre a natureza probabilística dos resultados do ChatGPT e referir explicitamente o facto de o texto gerado poder ser tendencioso ou inventado.
- O relatório salienta que é imperativo que os titulares dos dados possam exercer os seus direitos de forma eficaz.
Os membros do grupo de trabalho também elaboraram um questionário comum como possível base para os seus intercâmbios com a IA aberta, que é publicado em anexo ao relatório.
Além disso, o CEPD decidiu elaborar orientações sobre a IA geradora, centrando-se, como primeiro passo, na recolha de dados no contexto da formação em IA.
Por último, o CEPD adotou uma declaração sobre o «Pacote relativo ao acesso aos dados financeiros e aos pagamentos» da Comissão (que inclui as propostas de regulamento relativo ao quadro de acesso aos dados financeiros (FIDA), de regulamento relativo aos serviços de pagamento (PSR) e de diretiva relativa aos serviços de pagamento 3 (PSD3)).
O CEPD toma nota dos relatórios do Parlamento Europeu sobre as propostas FIDA e PSR, mas considera que, no que diz respeito à prevenção e deteção de transações fraudulentas, devem ser incluídas salvaguardas adicionais em matéria de proteção de dados no mecanismo de controlo das transações da proposta PSR. É importante assegurar que o nível de ingerência no direito fundamental à proteção dos dados pessoais das pessoas em causa seja necessário e proporcional ao objetivo de prevenção da fraude nos pagamentos.
Nota aos editores:
* O parecer tem um âmbito limitado e não examina a utilização do reconhecimento facial em geral e, em particular, não abrange a utilização do reconhecimento facial para fins de segurança, de controlo das fronteiras ou pelos serviços responsáveis pela aplicação da lei.
** No pedido, presume-se que o tratamento se basearia no consentimento de cada passageiro. No entanto, com base no âmbito limitado do pedido, o parecer não examina a base jurídica e, em especial, a validade do consentimento para esse tratamento.
***Até 15 de fevereiro de 2024, a OpenAI não tinha um estabelecimento na UE, pelo que o mecanismo de balcão único não se aplicava e cada APD é competente no que diz respeito a potenciais infrações cometidas e terminadas antes dessa data. As investigações nacionais relativas a potenciais infrações cometidas antes de fevereiro de 2024 continuarão a ser debatidas no grupo de trabalho. Para as infrações que continuem ou ocorram após fevereiro de 2024, aplica-se o mecanismo de balcão único.
Todos os documentos adotados durante a sessão plenária do CEPD estão sujeitos às verificações jurídicas, linguísticas e de formatação necessárias e serão disponibilizados no sítio Web do CEPD uma vez concluídos.
O comunicado de imprensa aqui publicado foi traduzido automaticamente do inglês. O CEPD não garante a exatidão da tradução. Queira consultar o texto oficial na sua versão inglesa em caso de dúvida.