Uma violação de segurança em uma startup de reconhecimento facial, já criticada pela coleta irrestrita de dados pessoais dos norte-americanos em nome de centenas de clientes agentes da lei, ressalta ainda mais os riscos potenciais enfrentados pelos consumidores nas mãos de uma tecnologia de vigilância controversa e amplamente não regulamentada, disseram as autoridades federais na quarta-feira (26).

A Clearview AI recebeu críticas por obter bilhões de fotografias de sites públicos como Facebook e Google, em um esforço para treinar um software de reconhecimento facial para uso da polícia na busca de suspeitos. Esta semana, a empresa notificou seus clientes que um invasor não identificado havia obtido “acesso não autorizado” à sua lista interna de clientes e o número de pesquisas no banco de dados realizadas por cada cliente.

O Daily Beast relatou a notícia pela primeira vez. Tor Ekeland, advogado da Clearview AI, confirmou a violação em um comunicado ao Gizmodo. A segurança continua sendo a “principal prioridade” da Clearview, disse Ekeland, acrescentando: “Infelizmente, as violações de dados fazem parte da vida no século XXI. Nossos servidores nunca foram acessados. Corrigimos a falha e continuamos a trabalhar para reforçar nossa segurança”.

A Clearview disse que a violação não concedeu ao invasor acesso à sua plataforma nem aos históricos de pesquisa de nenhum agente da lei. No entanto, os legisladores dos EUA rapidamente contestaram a resposta da Clearview, que eles consideraram desdenhosa.

“Ignorar a seriedade da situação e dizer que violações de dados acontecem é um descaso para com os americanos que poderiam ter suas informações vazadas para hackers sem o seu consentimento ou conhecimento”, disse o senador Ron Wyden, um defensor constante de privacidade no Congresso e autor da Lei Mind Your Own Business, um projeto de lei que visa tornar mais difícil para as empresas de tecnologia acumularem enormes bancos de dados com informações pessoais dos consumidores.

“Como podemos confiar em uma empresa com enormes responsabilidades de privacidade quando ela não pode nem proteger seus próprios dados corporativos?”

“As empresas que coletam e comercializam vastas informações, incluindo produtos de reconhecimento facial, devem ser responsabilizadas se não mantiverem essas informações em segurança”, disse Wyden ao Gizmodo.

A Clearview, cujos serviços estão sendo testados pelo FBI e pelo Departamento de Segurança Interna, segundo o New York Times, foi duramente criticada por seu processo de coleta de dados. A empresa alega ter captado mais de três bilhões de imagens de sites como Facebook, Google e YouTube – que enviaram à Clearview uma carta de cessação e desistência este mês, alegando que a coleta viola as políticas dessas empresas.

O CEO e fundador da Clearview, Hoan Ton-That, defendeu as práticas de sua empresa este mês em uma entrevista à CBS This Morning, comparando sua coleta de dados com o Google e dizendo que a Clearview tem um “direito com base na Primeira Emenda à informação pública”.

Alex Joseph, um porta-voz do YouTube, respondeu mais tarde às observações de Ton-That argumentando que, ao contrário dos indivíduos cujas fotos são adicionadas ao banco de dados da Clearview, a maioria dos sites deseja ser incluída na pesquisa do Google. “A Clearview coletou secretamente dados de imagens de indivíduos sem o seu consentimento, violando as regras que os proíbem explicitamente”, disse ele.

O comissário da FCC Geoffrey Starks disse ao Gizmodo que a tecnologia de reconhecimento facial levanta “sérios problemas de privacidade e liberdades civis, principalmente quando se trata de comunidades de minorias raciais”.

Em dezembro, o Instituto Nacional de Padrões e Tecnologia, uma filial do Departamento de Comércio, divulgou um estudo de 189 sistemas de reconhecimento facial que descobriu – entre outras questões centradas na idade dos sujeitos – que pessoas de ascendência africana e asiática foram identificadas erroneamente pelo sistemas a uma taxa 100 vezes maior que os rostos de pessoas brancas.

“Como eu disse há muito tempo, o manuseio de nossos dados é uma das questões mais definidoras de direitos civis de nossa geração, e o reconhecimento facial é atualmente um dos mais preocupantes. O reconhecimento facial está sendo usado para determinar se você pode entrar em sua casa, se agentes da lei podem abordá-lo na rua e mesmo se você pode entrar no país”, disse Starks. “Agora estamos descobrindo que, tendo reunido uma quantidade sem precedentes de imagens pessoais, a Clearview não pode nem proteger seus próprios sistemas. Como podemos confiar em uma empresa com enormes responsabilidades de privacidade quando ela não pode nem proteger seus próprios dados corporativos?”

O senador Ed Markey, membro do Comitê de Comércio, Ciência e Transporte, também comentou a resposta da Clearview, dizendo que a afirmação de que a segurança é sua principal prioridade “seria cômica se a falha da empresa em proteger suas informações não fosse tão perturbadora e uma ameaça à privacidade do público”.

“Se sua senha for violada, você poderá alterar sua senha. Se o número do seu cartão de crédito for violado, você poderá cancelar o seu cartão. Mas você não pode alterar informações biométricas, como suas características faciais, se uma empresa como a Clearview falhar em manter esses dados seguros”, disse ele. “Esta é uma empresa cujo modelo de negócios inteiro depende da coleta de informações incrivelmente sensíveis e pessoais, e essa violação é mais um sinal de que os benefícios potenciais da tecnologia da Clearview não superam os graves riscos à privacidade que ela apresenta”.