Deliberação 2020/251, de 03 de junho de 2020 – Deliberação sobre a solução tecnológica que permite a identificação da “taxa de ocupação das praias de maior pressão” (Smart Crowd).
Deliberação sobre a solução tecnológica que permite a identificação da “taxa de ocupação das praias de maior pressão”(Smart Crowd).
https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121802
COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS
DELIBERAÇÃO/2020/251
Pedido
A Comissão Nacional de Proteção de Dados (CNPD) foi contactada pela Secretária de Estado do Ambiente e, subsequentemente, pela Agência Portuguesa do Ambiente, I.P. (doravante, APA) para análise de uma solução tecnológica que, no âmbito da pandemia da Covid-19, permitisse a identificação da “taxa de ocupação das praias de maior pressão”, para dotar a população com informação que lhe permita, sem necessidade de deslocação, tomar a decisão de escolher uma determinada praia que garanta o distanciamento social fixado.
Para este efeito, no âmbito de um protocolo já anteriormente celebrado entre a APA, a Direção-Geral da Autoridade Marítima, o Instituto Nacional de Reabilitação, I. P., e a Associação Bandeira Azul da Europa (ABAE) — Organização Não Governamental de Ambiente, a Fundação Vodafone financiou o desenvolvimento do sistema denominado Smart Crowd. Nesta sede e no contexto da Covid-19, pretende-se obter, a partir de fotografias tiradas a um conjunto de praias (cerca de 70), uma indicação qualitativa quanto à sua taxa de ocupação.
De acordo com o declarado numa das comunicações da APA, «o sistema Smart Crowd permite disponibilizar informação em tempo real sobre a densidade de pessoas numa praia e é constituído por uma câmara alimentada por painel solar com transmissão via LTE. As imagens são recolhidas periodicamente por uma câmara da praia que pode estar instalada nos mastros das bóias ou no topo do apoio de praia […]. As imagens recolhidas alimentam um sistema autónomo de análise inteligente, instalado em cada câmara que processa a informação de forma autónoma (sem qualquer intervenção humana nem disponibilização). O sistema inteligente usado para processar a informação efetua uma análise local da informação a processar baseado na tecnologia machine learning. Estes sistemas utilizam as imagens apenas durante o tempo estritamente necessário para o cálculo da taxa de ocupação e de seguida remetem informação alfanumérica (n.° de pessoas e área útil), em formato anónimo e agregado, para disponibilizar a informação em forma de dado qualitativo — ocupação baixa, elevada ou plena.»
Tendo a CNPD solicitado informações relativas à captação de imagens e ao respetivo processamento, recebeu uma avaliação de impacto sobre a privacidade, elaborada pela Fundação Vodafone, bem como os termos e condições da app Praia em Direto, a qual atribuía ao sistema um risco baixo. Desconhecendo a CNPD os fundamentos de tal conclusão, solicitou informação complementar, em especial os elementos que permitiram fundar essa conclusão, bem como a análise de risco decorrente do tratamento que consiste na recolha e processamento das imagens, a respetiva transmissão para o servidor e o tratamento subsequente. Nesta sequência foi recebido um documento intitulado “Fundação Vodafone_Complemento ao DPIA.pdf”, elaborado pela CeC – Comunicações e Computadores, S.A.
II. Apreciação
1. O tratamento de dados pessoais e a avaliação de impacto
No conjunto dos documentos apresentados, em especial relativos à avaliação de impacto sobre a privacidade, não há referência a elementos essenciais deste tipo de avaliação. Na verdade, estando em causa um sistema que implica a captação sistemática de imagens de pessoas num espaço público, o Regulamento (UE) 679/2016, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados, doravante RGPD), impõe a realização de uma avaliação de impacto sobre a proteção de dados — cf. n.° 1 e alínea c) do n.° 3 do artigo 35.°. Isto porque a captação de imagens pelas câmaras a instalar nas praias implica recolha, processamento e conservação de informação relativa a pessoas singulares identificáveis e, como tal, corresponde a um tratamento de dados pessoais, nos termos das alíneas 1) e 2) do artigo 4.° do RGPD. Assim, é através da avaliação de impacto que o responsável pelo tratamento deve determinar o grau de risco para os direitos e interesses dos titulares dos dados e ponderar a adoção de medidas que permitam a sua prevenção ou diminuição. Sublinha-se que as pessoas que se encontram nas praias estão especialmente expostas, pelo que a captação de imagens é suscetível de gerar utilizações indevidas com repercussão direta na vida privada das mesmas.
Ora, o n.° 7 do artigo 35.° do RGPD identifica um conjunto de elementos mínimos que nessa avaliação tem de ser considerado, onde se insere a descrição sistemática das operações de tratamento dos dados, a finalidade do tratamento, a legitimidade do responsável para fazer o tratamento e a necessidade e proporcionalidade das várias operações em relação à finalidade. O que se verifica neste caso concreto é que a avaliação inicialmente feita em 6 de junho de 2019 e completada em 18 de fevereiro de 2020, ora indica como objeto do tratamento «nome, email, telefone», ora indica «imagens das praias para tratamento da densidade». Mas a quase generalidade da informação constante da avaliação reporta-se ao tratamento de dados dos utilizadores da app Praia em direto, não tendo em conta o tratamento realizado pelas câmaras. Assim, não se considera a totalidade dos dados pessoais tratados; por exemplo, não há referência ao dado localização que, obviamente, é recolhido uma vez que a câmara está instalada numa praia identificada, informação essa que é sempre necessária para a finalidade do tratamento.
Além disso, na sequência do pedido da CNPD de elementos complementares, foi apresentada uma avaliação complementar que focou essencialmente a adoção de medidas técnicas para a mitigação dos riscos identificados relativos à segurança da informação quanto ao processamento das imagens, sem considerar o impacto para os direitos dos titulares dos dados decorrente de tais riscos. Por isso, a avaliação de impacto não revela a ponderação dos direitos e dos interesses em presença, nem a aplicação do princípio da minimização dos dados, sobretudo na vertente da necessidade e pertinência dos dados, como impõe a alínea c) do n.° 1 do artigo 5.° do RGPD.
2. O tratamento de dados pessoais por recurso a câmaras
O concreto tratamento de dados pessoais por recurso a câmaras nas praias é realizado para a finalidade de disponibilização de informação da taxa de ocupação das praias durante a época balnear de 2020, tendo em vista garantir o controlo da pandemia da Covid-19.
Tendo em conta a finalidade assim delimitada, o fundamento de licitude do tratamento só pode ser a necessidade para o exercício de funções de interesse público de prevenção de risco e de proteção da saúde pública, que no contexto de acesso, ocupação e utilização das praias para a época balnear de 2020, está atribuído à APA pelo Decreto-Lei n.° 24/2020, de 25 de maio, máxime no artigo 13.°. Assim, é na alínea e) do n.° 1 do artigo 6.° do RGPD que o presente tratamento se enquadra’1.
No que respeita a este tratamento, na documentação não vem descrita a capacidade da câmara nem a resolução das imagens. No entanto, os exemplos de fotografias remetidos parecem ter elevada qualidade, o que associado às eventuais características técnicas das câmaras (v.g., pan, tilt e zoom) – que a CNPD desconhece, por não estarem referidas na documentação apresentada -, é suscetível de permitir a identificação das pessoas. Tal possibilidade dependerá ainda das características de cada praia e do local onde a câmara será instalada, aspetos que não foram considerados na avaliação remetida.
Considerando que o tratamento abarca uma parte significativa da população que no período balnear acorre às praias e não estando, à partida, afastado o impacto que a recolha de imagens das pessoas expostas num ambiente descontraído e lúdico pode ter sobre a sua privacidade, importa adotar medidas que diminuam esse efeito.
Assim, a CNPD considera imprescindível que cada uma das câmaras seja instalada e configurada tendo em conta as concretas circunstâncias de cada praia de modo a mitigar os riscos de identificação das pessoas abrangidas pelas câmaras.
Ligado às câmaras existe um computador local, o qual conserva as imagens e aplica alterações às fotografias tiradas por forma a melhorar as suas características de luminosidade e outras recorrendo a um algoritmo de Machine Learning, e submete-as encriptadas por HTTPS através da rede LTE/3G da Vodafone ao webservice disponível num servidor que se encontra na clouddo sub-subcontrante Amazon.
‘ Considerando que o responsável pelo tratamento realizado por recurso a estas câmaras é a APA, a intervenção da Fundação Vodafone no processamento da informação, para efeito do regime jurídico de proteção de dados, encontra respaldo no artigo 4.°, alínea 8), e 28.° do RGPD, devendo, por isso, a relação entre as duas entidades, no que ao tratamento de dados pessoais diz respeito, ser objeto de regulação específica, nos termos do n.° 3 do artigo 28.° do RGPD.
Assinala-se que não há registo sobre o tempo de conservação das imagens no computador local, apenas havendo referência ao tempo «estritamente necessário para processamento e envio da informação».
A documentação fornecida refere, neste âmbito, «um algoritmo de ML (e outros)», que correm internamente no computador sem recurso a bibliotecas ou funções externas. Contudo, não é explicado qual o algoritmo a aplicar, nem o que sejam os outros. Ora, a utilização de Inteligência Artificial, em especial quando envolve técnicas de autoaprendizagem, reclama um esforço de transparência precisamente para criar a indispensável confiança na sua utilização, sobretudo no contexto do tratamento de dados pessoais. Ainda que se possa admitir que o algoritmo tem apenas por finalidade adaptar as características da fotografia às condições externas ambientais (v.g., luminosidade, vento), como é alegado, cabe a quem desenvolve o sistema e o utiliza demonstrar que estas tecnologias não são aptas a gerar tratamentos discriminatórios das pessoas. Mais, neste contexto, é incompreensível como se pode referir «outros», sem especificar o que está em causa.
Do mesmo modo, o processamento efetuado no servidor — que só aceita invocações provenientes de determinados endereços de IP procede, por sua vez, também à aplicação de algoritmo de Machine Learning, «treinado através das variáveis que vai recolhendo, nomeadamente identificando as zonas efetivas de areal e entrando em consideração com as variações úteis do mesmo ao longo do dia decorrente do efeito de marés, de modo a que o resultado devolvido seja o mais fiável possível. O algoritmo de machine /Learning treinado para aprender ao longo do tempo com diferentes padrões de ocupação.»
Ora, esta explicação da racionalidade do algoritmo, ainda que pertinente, não demonstra a existência de garantias de que o mesmo está suficientemente blindado em relação à eventual aplicação de outros fatores suscetíveis de gerar discriminação. E esta é uma questão que não é, nem pode ser, ignorada por quem utiliza tecnologias de autoaprendizagem.
Mais, nada é esclarecido sobre como é efetuada a aprendizagem ao longo do tempo, parecendo essencial, para que tal pudesse ocorrer, confirmar a acuidade da aprendizagem (pela qualidade das conclusões) e alterar o algoritmo em conformidade, o que, salvo demonstração em contrário, sempre exigirá uma intervenção humana.
Assim, a CNPD entende que o responsável deve estar em condições de demonstrar que os algoritmos de machíne learning estão suficientemente blindados em relação à eventual aplicação de outros fatores suscetíveis de gerar discriminação.
- Medidas de segurança
Quanto às medidas de segurança elencadas na documentação, nas várias componentes do sistema, em especial no que se refere à transmissão das imagens (v.g., existência de palavra passe nas câmaras, ligação física entre a câmara e o computador local, encriptação das imagens e limitação dos IP com acesso ao servidor que as processa, utilização de webservices, dupla autenticação no servidor) parecem mitigar de forma aceitável os riscos identificados. Também merece acolhimento a opção de utilização de servidor autónomo para a disponibilização da informação da taxa de ocupação às app e aos sítios institucionais na Internet.
- O tratamento de dados pessoais efetuados pelas aplicações
São pelo menos duas as app que recebem informação deste sistema e disponibilizam a “taxa de ocupação das praias de maior pressão”, a Info Praia da responsabilidade da APA e a Praia em Direto da responsabilidade da Vodafone.
a) App “Info Praia”
A informação disponibilizada na app não contém dados pessoais, mas tão só indicação estatística de ocupação de cada praia, apresentada com uma solução semelhante a um semáforo, com as cores verde, amarela e vermelha, em função da razão entre a área disponível e o número de pessoas, com atualizações de 30 em 30 minutos.
Todavia, há tratamento de dados pessoais dos utilizadores. Com efeito, no momento da instalação da aplicação, ainda que não seja exigido o registo do titular, é-lhe solicitada permissão para o acesso à sua localização se quiser ter a funcionalidade de informação relativa às praias de proximidade, praias preferidas e de direção de percurso recorrendo ao Google Maps2. São por isso recolhidos dados pessoais de localização, com base no consentimento do titular.
Sucede que, de acordo com o que a APA declarou publicamente, no contexto estrito da app “Info Praia’, a informação é guardada exclusivamente no equipamento do utilizador, pelo que a APA não efetuará, nesta sede, um tratamento de dados pessoais sujeito ao RGPD.
Na medida em que o código fonte não é aberto, só através de fiscalização posterior a CNPD poderá confirmar esta situação. De todo o modo, sempre se sublinha a conveniência de garantir a transparência do processamento da informação, designadamente deixando-se claro aos utilizadores que a informação fica residente no seu equipamento.
b) App `Praia em Direto”
Na informação disponibilizada na Google Play é referido que a app “Praia em Direto” tem acesso aos contactos, localização (por GPS e rede), aos conteúdos do cartão de memória (v.g., fotos, multimédia), bem como a dados de informação de ligação a WI-FI, conexões, Bluetooth, rede, automatismos de ativação e configuração dos serviços Google.
Ora, por obediência ao princípio da minimização dos dados (cf. alínea c) do n.° 1 do artigo 5.° do RGPD) apenas se encontra justificação para a recolha do dado localização e ligação de rede, exigindo-se, quanto ao dado localização, o consentimento explicito do utilizador.
Consequentemente, recorda-se, nesta sede, que cabe ao responsável pelo tratamento assegurar o cumprimento do RGPD, em especial do princípio que limita a possibilidade de recolha de informação necessária à prossecução da finalidade declarada.
III. Conclusão
O recurso a câmaras incidentes sobre cerca de 70 praias nacionais, que tiram fotografias para cálculo da taxa de ocupação das mesmas, tem em vista garantir o controlo da pandemia da Covid-19.
2 Note-se que quando se escolhem serviços prestados através da Google Maps, há um tratamento de dados pessoais que não é da responsabilidade da APA, mas sim da Google.
Considerando que em causa está a captação de imagens de pessoas em elevadíssimo número que se encontram no espaço público e em condições de especial exposição num local destinado a ser vivido de forma descontraída, o tratamento de dados pessoais só se justifica pela necessidade de exercício de funções do interesse público de prevenção de risco e de proteção da saúde pública, a cargo, no contexto do acesso, ocupação e utilização das praias para a época balnear de 2020, da APA, nos termos do Decreto-Lei n.° 24/2020, de 25 de maio. Assim, o tratamento está limitado temporalmente à época balnear de 2020, para controlo da pandemia da Covid-19.
- Em concreto, considerando o grau de intrusão na privacidade pela amplitude e extensão do tratamento de dados pessoais, não obstante os termos do processamento da informação e das medidas já adotadas, a CNPD considera imprescindível que seja mitigado o impacto sobre a vida privada. Impõe-se, por isso, que a instalação e configuração de cada uma das câmaras tenha em conta as concretas circunstâncias de cada praia de modo a atenuar os riscos de identificação das pessoas abrangidas pelas câmaras.
Além disso, a CNPD entende que o responsável deve estar em condições de demonstrar que os algoritmos de machine learning utilizados no processamento da informação estão suficientemente blindados em relação à eventual aplicação de outros fatores suscetíveis de gerar discriminação.
Recorda-se ainda que cabe ao responsável pelo tratamento prestar a informação prevista no artigo 13.° do RGPD.
- No que diz respeito ao tratamento de dados pessoais realizado pela app `Praia em Direto”, sublinha-se a obrigação de observar as regras e princípios de proteção de dados, em especial, os princípios da minimização dos dados e da transparência.
Aprovada na reunião de 3 de junho de 2020
Filipa Calvão (Presidente)