Por: Edoardo Ghirotto
A ANPD diz que o tratamento de dados biométricos exigirá a adoção de “medidas de segurança apropriadas e específicas”, uma vez que a LGPD classifica o material como “dados pessoais sensíveis”. Para a agência, o uso de modelos biométricos exige uma “fundamentação mais robusta quanto à adequação e à necessidade da medida no contexto específico, especialmente quando existirem alternativas menos intrusivas à privacidade capazes de alcançar resultado equivalente”.
O guia de orientações preliminares não chancela nem veta nenhum modelo de aferição de idade. A análise, construída a partir dos onze tópicos do artigo 24 do ECA Digital sobre as determinações gerais de confiabilidade e eficácia dos mecanismos, é um ponto de partida para as discussões com o setor privado e com a sociedade civil nas tomadas de subsídio que anteciparão as orientações definitivas sobre o assunto.
Como o JOTA antecipou na quarta-feira (19/3), o cronograma da ANPD prevê que a publicação dos parâmetros normativos ocorrerá a partir de agosto. Até lá, a agência fará um monitoramento da implantação de soluções de aferição em lojas de aplicativos e sistemas operacionais.
Os serviços em questão possuem obrigações específicas no ECA Digital, como o envio de “sinais de idade” a fornecedores de produtos. Trata-se de uma maneira de garantir uma camada de proteção no estágio inicial da lei ao focar nas soluções empregadas pelas gigantes Apple, Google e Microsoft — apesar da agitação nas redes sociais, distribuidoras de Linux não estão no foco da ANPD neste primeiro momento.
Discriminação, Privacidade e Interoperabilidade
O guia também chama atenção para modelos que podem gerar “vieses discriminatórios”, o que inclui soluções que trazem “níveis diferentes de acurácia entre gêneros ou entre grupos raciais e étnicos em métodos de biometria facial”. Segundo a agência, mecanismos baseados apenas na avaliação de documentos oficiais podem impor barreiras de acesso indevidas a refugiados ou pessoas em situação vulnerável.
“Da mesma forma, fatores como limitações motoras ou cognitivas, bem como dificuldades de acesso à internet por meio de dispositivos próprios, também devem ser considerados no design dessas soluções”, diz a ANPD. Uma saída, de acordo com a agência, poderá ser a “adoção de meios alternativos ou complementares de aferição de idade quando a solução principal impuser obstáculos relevantes de acesso ou uso”.
Com base nos princípios da LGPD, a agência faz sugestões sobre como o direito à privacidade deverá ser garantido por meio da minimização de dados. É citado como uma “dica” o eventual uso de tecnologias que se baseiam “em credenciais verificáveis e técnicas criptográficas de prova de conhecimento zero (Zero-Knowledge Proofs)”.
Outra recomendação da ANPD, mas no campo da auditabilidade, trata da manutenção de registros com “metadados funcionais associados ao processo de aferição etária, como o resultado da aferição, o momento do acesso e o método empregado, sem reproduzir os dados pessoais que serviram de insumo ao processo”. A agência orienta, portanto, que empresas evitem o armazenamento de dados pessoais biométricos e de imagens ou dados extraídos de documentos de identidade.
Por fim, a ANPD antecipa que promoverá uma regulamentação específica para definir os requisitos mínimos de transparência, segurança e interoperabilidade nos mecanismos de aferição de idade.
Há, no entanto, indicativos de que a agência considera as “soluções baseadas em intermediários confiáveis, credenciais verificáveis ou tokens criptográficos” como tecnologias que podem contribuir para arranjos interoperáveis. Outra sugestão, pensada para minimizar a quantidade de informações fornecidas pelos usuários, envolveria a interoperabilidade entre soluções públicas e privadas, a fim de reaproveitar o resultado de aferições de idade em diferentes serviços.
Segundo o cronograma da ANPD, as empresas terão um período de adaptação, entre agosto e novembro, para implantar os mecanismos. Como também foi antecipado pelo JOTA, as ações de fiscalização só terão início em janeiro de 2027. Nos dois meses anteriores, a agência atualizará os regulamentos para a fiscalização e para a aplicação das sanções administrativas.
*Jota
