Ativista alemão luta para ter seu perfil excluído da base de dados de empresa que criou sua identidade biométrica a partir de fotos capturadas na internet

O alemão Matthias Marx é um cientista da computação e membro do Chaos Computer Club, uma associação de hackers que defende a liberdade de acesso à informação e maior transparência dos governos. Em 2020, Marx ficou sabendo sobre a Clearview AI, uma startup americana que desenvolveu uma controversa ferramenta de reconhecimento facial largamente utilizada pela Polícia.

Marx decidiu verificar se  fotos de seu rosto estavam no banco de dados da Clearview. Para isso, enviou um e-mail para a startup solicitando essa informação. Um mês depois, recebeu uma resposta com duas capturas de tela anexadas. As fotos eram antigas, de quase uma década atrás, tiradas quando Marx participava de uma competição do Google para engenheiros. Marx sabia da existência dessas fotos. Só não sabia que as imagens tinham sido usadas pela Clearview para gerar um perfil biométrico dele, sem sua autorização.

Para Rodolfo Avelino, professor do Insper e especialista em segurança da informação e proteção de dados, esse tipo de violação de privacidade é muito difícil de combater, tornando-se um grande desafio. “Hoje estamos cercados por dispositivos que capturam nossas imagens em espaços públicos — câmeras em transporte coletivo, por exemplo — e privados, muitas vezes sem o nosso consentimento. É necessário que as agências que regulam o setor, no caso do Brasil a Autoridade Nacional de Proteção de Dados, a ANPD, seja fortalecida para que ações como essas sejam coibidas”, diz Avelino. “Não temos o controle de tudo que é capturado e registrado por meios digitais.”

Batalha legal

A história de Marx é contada em uma recente reportagem da revista Wired. O alemão afirma que “seu rosto foi roubado” e agora está em meio a uma batalha legal para ter sua identidade biométrica excluída da base de dados da Clearview. “Não estou mais no controle do que as pessoas fazem com meus dados”, disse Marx. Para ele, era óbvio que Clearview violou a lei de privacidade da Europa, o GDPR, usando seu rosto e dados biométricos sem seu conhecimento ou permissão.

O caso de Marx não é isolado. Em toda a Europa, milhões de rostos de pessoas estão aparecendo em mecanismos de busca operados pela Clearview e por outras empresas que utilizam tecnologias similares.

A Europa tem as leis de privacidade mais rígidas do mundo, mas os reguladores locais enfrentam dificuldades para aplicá-las. Desde que Marx apresentou sua queixa, outras pessoas e grupos de privacidade em toda a Europa fizeram o mesmo. Em outubro, a autoridade francesa de proteção de dados tornou-se o terceiro regulador da União Europeia a multar a Clearview, em 20 milhões de euros, por violar as regras de privacidade europeias. Até agora, no entanto, a Clearview não removeu rostos dos cidadãos europeus de sua plataforma, e multas semelhantes emitidas por reguladores na Itália e na Grécia ainda não foram pagas.

“É muito difícil impor uma decisão regulatória da Europa a uma empresa americana se a empresa não estiver disposta a cooperar”, lamentou Lucie Audibert, advogada da Privacy International, uma ONG britânica que monitora violações de privacidade individual praticadas por governos e organizações. Segundo ela, há uma grande diferença entre pesquisar um nome e pesquisar um rosto na internet. “Um nome não é um identificador único. Um nome é algo que você pode esconder em público”, disse a advogada. “Já um rosto não é algo que você possa esconder em público, a menos que você saia de casa com um saco na cabeça.”

A Clearview é a mesma empresa que, após a invasão da Ucrânia pelas forças russas, colocou sua tecnologia de reconhecimento facial à disposição do governo ucraniano para ajudar na identificação de militares russos infiltrados no país, bem como de soldados mortos nos campos de batalha. A empresa afirma que está a caminho de ter 100 bilhões de fotos em seu banco de dados, o que corresponde a quase 13 fotos de cada um dos cerca de 8 bilhões de habitantes do planeta.