Amba Kak estava a fazer o curso de direito na Índia quando o país lançou o projeto Aadhaar em 2009. O sistema biométrico nacional de identificação, concebido como um programa abrangente de identidade, procurava recolher as impressões digitais, identificação da íris e fotografias de todos os residentes. Não demorou muito, lembra Kak, para que as histórias sobre as suas consequências devastadoras se começassem a espalhar. “De repente, começamos a ouvir relatos de como as impressões digitais dos trabalhadores manuais estavam a falhar no sistema e eles não conseguiam ter acesso às necessidades básicas,” explica. “Na verdade, tivemos mortes por inanição na Índia que estavam a ser associadas às barreiras que esses sistemas de identificação biométrica estavam a criar. Portanto, foi uma questão realmente crucial”.
Essas instâncias levaram-na a pesquisar sistemas biométricos e as formas como a lei poderia responsabilizá-los. A 2 de setembro, Kak, que agora é a diretora de estratégia e programas globais do AI Now Institute, com sede em Nova York, lançou um novo relatório que detalha oito estudos de caso de como os sistemas biométricos são regulamentados em todo o mundo. O documento abrange esforços municipais, estaduais, nacionais e globais, bem como alguns de organizações sem fins lucrativos. O objetivo é desenvolver uma compreensão mais profunda de como as diferentes abordagens funcionam ou são insuficientes. Falei com Kak sobre o que ela aprendeu e como devemos seguir em frente.
Esta entrevista foi editada e condensada para maior clareza.
O que motivou este projeto?
A tecnologia biométrica está proliferar-se e a tornar-se normalizada, tanto nos domínios do governo quanto nas nossas vidas privadas. Só este ano, tivemos a monitorização de protestos por reconhecimento facial em cidades como Hong Kong (China), em Delhi (Índia), em Detroit e em Baltimore (ambas nos Estados Unidos). Sistemas de identificação biométrica, que são menos comentados, onde a biometria é usada como uma condição para aceder aos serviços de bem-estar – também se multiplicaram em países de rendimentos baixos/médios na Ásia, África e América Latina.
Mas o interessante é que a resistência contra esses sistemas também está no auge. A defesa de direitos está a receber mais atenção do que nunca. Portanto, a questão é: onde entram as leis e as políticas? É aí que entra o compêndio deste trabalho. Este relatório tenta extrair o que podemos aprender com essas experiências num momento em que parece que há muito apetite dos governos e dos grupos de defesa por mais regulamentação.
Quão maduras são as estruturas legais para lidar com essa tecnologia emergente?
Existem cerca de 130 países no mundo que possuem leis de proteção de dados. Quase todos cobrem biometria. Portanto, se estamos apenas a perguntar se existem leis para regular os dados biométricos, a resposta seria, na maioria dos países, sim.
Mas quando vamos um pouco mais fundo, quais são as limitações de uma lei de proteção de dados? A melhor delas pode ajudá-lo a regular quando os dados biométricos são usados e a garantir que não sejam usados para fins para os quais não foi dado consentimento. Mas questões como precisão e discriminação, por exemplo, ainda receberam muito pouca atenção jurídica.
Por outro lado, o que aconteceria se baníssemos completamente a tecnologia? Vimos isso a acontecer nos EUA a nível municipal e estadual. Acho que às vezes as pessoas esquecem que a maior parte dessa atividade legislativa se tem concentrado no uso público e, mais especificamente, no uso policial.
Portanto, temos uma combinação de leis de proteção de dados que fornecem algumas garantias, mas são inerentemente limitadas. E então temos uma concentração dessas moratórias completas em nível municipal e estadual nos Estados Unidos.
Quais foram alguns dos temas comuns que emergiram desses estudos de caso?
Para mim, o mais claro foi o capítulo sobre a Índia, de Nayantara Ranganathan, e o capítulo sobre o banco de dados de reconhecimento facial australiano, de Monique Mann e Jake Goldenfein. Ambos os estudos tinham como objetivo eliminar silos técnicos entre diferentes estados e outros tipos de bancos de dados, além de garantir que eles estivessem centralizados. Portanto, foi criada esta enorme construção massiva de dados biométricos centralizados. Então, como um band-aid para este enorme problema, você está a dizer: “Ok, temos uma lei de proteção de dados, que diz que eles nunca devem ser usados para uma finalidade que não foi imaginada ou antecipada”. Mas enquanto isso, a expectativa do que pode ser antecipado está a mudar. Hoje, o banco de dados que era usado num contexto de justiça criminal está a ser usado num contexto de imigração.
Por exemplo, [nos EUA] a Imigração e Alfândega dos EUA (ICE, em inglês) agora está a usar ou a tentar usar bancos de dados do Departamento de Veículos Motorizados (DMV, em inglês) em diferentes estados no processo de fiscalização da imigração. Mas estamos a falar de um banco de dados criado num contexto civil, e agora estão a tentar usá-lo para a imigração. Da mesma forma, na Austrália, temos esse banco de dados gigante, que inclui dados de cartas de condução, que agora será usado para fins ilimitados de justiça criminal e onde o departamento de assuntos internos terá controlo total. E da mesma maneira na Índia, criaram uma lei, mas que basicamente colocou a maior parte do arbítrio nas mãos da autoridade que criou o banco de dados. Então eu acho que a partir desses três exemplos, o que fica claro para mim é que temos que ler a lei no contexto dos movimentos políticos mais amplos que estão a acontecer. Se eu tivesse que resumir a tendência mais ampla, é a securitização de todos os aspetos da governança, da justiça criminal à imigração e ao bem-estar, e isso está coincidindo com o impulso para a biometria. Essa é uma.
A segunda – e esta é uma lição que continuamos a repetir – o consentimento como uma ferramenta legal está muito partido, e definitivamente está no contexto dos dados biométricos. Mas isso não significa que seja inútil. O capítulo de Woody Hartzog sobre o BIPA [sigla em inglês para Lei de privacidade de informações biométricas em tradução livre] de Illinois diz: Olha, é ótimo que tivemos vários processos judiciais bem-sucedidos contra empresas que usam o BIPA, mais recentemente com o Clearview AI. Mas não podemos continuar a esperar que o “modelo de consentimento” traga mudanças estruturais. A nossa solução não pode ser: O utilizador sabe o melhor; o utilizador dirá ao Facebook que não deseja que os dados faciais sejam recolhidos. Talvez o utilizador não faça isso, e o fardo não deveria recair sobre o indivíduo para tomar essas decisões. Isso é algo que a comunidade de privacidade realmente aprendeu da maneira mais difícil, e é por isso que leis como o RGPD não dependem apenas do consentimento. Também existem regras de diretrizes rígidas que dizem: se recolheu dados por um motivo, não pode usá-los para outro propósito. E não pode recolher mais dados do que o absolutamente necessário.
Houve algum país ou estado que julgou ser particularmente promissor em sua abordagem para a regulamentação da biometria?
Sim, mas como era de se esperar, não é um país ou um estado. Na verdade, é o Comitê Internacional da Cruz Vermelha [CICV]. No relatório, Ben Hayes e Massimo Marelli – ambos são representantes do CICV – escreveram um artigo reflexivo sobre como decidiram que havia um interesse legítimo para usarem a biometria no contexto da distribuição de ajuda humanitária. Mas também reconheceram que muitos governos os iriam pressionar para ter acesso a esses dados para perseguir essas comunidades.
Portanto, eles tinham um dilema muito real e resolveram isso ao dizer: Queremos criar uma política biométrica que minimize a retenção real dos dados biométricos das pessoas. Então, o que vamos fazer é ter um cartão no qual os dados biométricos de alguém sejam armazenados com segurança. É possível usar este cartão para aceder a assistência humanitária ou social que é fornecida ao indivíduo. Mas se eles decidirem descartar o cartão, os dados não serão armazenados em nenhum outro lugar. A ideia basicamente consistia em não estabelecer uma base de dados biométrica com dados de refugiados e outras pessoas que precisam de ajuda humanitária.
Para mim, a lição mais ampla disso é reconhecer qual é o problema. O problema, nesse caso, era que os bancos de dados estavam a criar um chamariz e um risco real. Eles pensaram numa solução técnica e uma maneira das pessoas retirarem ou excluiremos os seus dados biométricos com total agilidade.
Quais são as principais lacunas que vê nas abordagens da regulamentação biométrica em todos os aspectos?
Um bom exemplo para ilustrar esse ponto é: Como a lei está a lidar com toda essa questão de parcialidade e precisão? Nos últimos anos, vimos muitas pesquisas fundamentais de pessoas como Joy Buolamwini, Timnit Gebru e Deb Raji que desafiam existencialmente: esses sistemas funcionam? Contra quem trabalham? E mesmo quando passam nos chamados testes de precisão, como realmente funcionam num contexto da vida real?
A privacidade dos dados não se preocupa com esses tipos de problemas. Então, o que vimos agora – e isso são principalmente esforços legislativos nos EUA – são projetos de lei que exigem auditorias de precisão e não discriminação para sistemas de reconhecimento facial. Alguns deles dizem: estamos a abrandar o uso do reconhecimento facial, mas uma condição para suspender essa moratória é que uma pessoa passará neste teste de precisão e não discriminação. E os testes aos quais geralmente se referem são testes de padrões técnicos, como o teste de fornecedor de reconhecimento facial do Instituto Nacional de Padrões e Tecnologia (NIST).
Mas, como argumento naquele primeiro capítulo, esses testes estão a evoluir; provaram ter baixo desempenho em contextos da vida real; e o mais importante, são limitados na sua capacidade de abordar o impacto discriminatório mais amplo desses sistemas quando são aplicados na prática. Por isso, estou realmente preocupada com algumas maneiras que esses padrões técnicos se tornem uma espécie de caixa de verificação que precisa de ser marcada e que, em seguida, ignora ou ofusca as outras formas de danos que essas tecnologias têm quando são aplicadas.
Como é que este compêndio mudou a maneira como pensa sobre a regulação biométrica?
O mais importante para mim foi não pensar na regulação apenas como uma ferramenta que ajudará a limitar esses sistemas. Pode ser uma ferramenta para se opor a eles, mas também pode ser uma ferramenta para normalizar ou legitimá-los. Só quando olhamos para exemplos como a Índia ou a Austrália é que começamos a ver a lei como um instrumento multifacetado, que pode ser usado de diferentes maneiras. Neste ponto, quando estamos realmente a fazer pressão ao perguntar “Essas tecnologias precisam de existir?” A lei, e especialmente a fraca regulamentação, pode realmente tornar-se uma arma. Esse foi um bom lembrete para mim. Precisamos ter cuidado com isso.
Esta conversa foi definitivamente reveladora para mim porque, como alguém que aborda a forma como a tecnologia é usada como arma, muitas vezes me perguntam: “Qual é a solução?” e eu sempre digo, “Regulamento”. Mas agora está a dizer: “A regulamentação também pode ser transformada numa arma”.
Exatamente! Isso faz-me pensar nesses grupos que costumavam trabalhar com violência doméstica na Índia. E eu lembro-me que eles disseram que, ao final de décadas de luta pelos direitos das sobreviventes da violência doméstica, o governo finalmente disse: “Ok, aprovamos esta lei”. Mas depois disso, nada mudou. Lembro-me de ter pensado, às vezes, glorificamos a ideia de aprovar leis, mas o que acontece depois disso?
E esta é uma boa transição – mesmo enquanto eu li o capítulo de Clare Garvie e Jameson Spivack sobre proibições e moratórias, eles apontam que a maioria dessas proibições se aplica apenas ao uso do governo. Ainda existe esta enorme indústria privada multibilionária. Portanto, os dados ainda serão usados no show da Taylor Swift de maneiras muito semelhantes às que a polícia usaria: para excluir algumas pessoas, para discriminar outras. A lei não para a máquina. Esse tipo de intervenção legal exigiria uma defesa sem precedentes. Não acho que seja impossível ter o chamado banimento total, mas ainda não chegamos lá. Então, sim, precisamos de ser mais prudentes e críticos sobre a maneira como entendemos o papel da lei.
E quanto ao compêndio, ficou com esperança quanto ao futuro?
Essa é sempre uma pergunta difícil, mas não deveria ser. Provavelmente foi o capítulo de Rashida Richardson e Stephanie Coyle. O capítulo deles era quase como uma etnografia sobre esse grupo de pais em Nova York que decididamente não queriam que os seus filhos fossem vigiados. E eles diziam coisas como: “Vamos a todas as reuniões, mesmo que eles não esperem que o façamos. E vamos dizer que não concordamos com isso”.
Foi muito reconfortante saber sobre uma história onde um grupo de pais foram os responsáveis pela mudança total de discurso. Disseram: não vamos falar sobre se a biometria ou a vigilância são necessárias. Vamos apenas falar sobre os reais danos disso para nossos filhos e se este é o melhor uso do dinheiro. Um senador então pegou nisso e apresentou um projeto de lei e, apenas em agosto, o Senado do estado de Nova Iorque aprovou esse projeto. Comemorei com a Rashida porque fiquei tipo, “Ei lá! Histórias como esta acontecem!” Está profundamente conectado com a história da advocacia.
Artigo de Karen Hao, autora da MIT Technology Review (EUA) (adaptado).
MIT Technology Review