“O GNS [supervisor nacional nesta matéria], atento à evolução da robustez das tecnologias de identificação à distância, considera que, apesar da separação física e desde que sejam implementados os mecanismos de segurança necessários, estas tecnologias permitem igualar, ou até mesmo incrementar, a capacidade humana na avaliação e verificação da identidade de pessoas”, lê-se no documento assinado pelo diretor-geral do GNS, António Gameiro Marques.
O despacho surge na sequência de um decreto-lei, em vigor desde hoje, 30 dias após a publicação, que atribuiu ao GNS a supervisão e a elaboração de listas de prestadores de serviços eletrónicos de confiança, qualificados ou não qualificados, consoante o estatuto concedido pelo GNS às pessoas singulares ou coletivas, públicas ou privadas, que criam, verificam e validam assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com este serviço.
“Na definição dos requisitos de segurança estabelecidos neste despacho [hoje publicado], foi objetivo principal a mitigação, de forma substancial, dos riscos conhecidos e ataques mais comuns a este tipo de sistemas”, afirma António Gameiro Marques, definindo de seguida as “linhas fundamentais que permitem mitigar o risco para níveis aceitáveis e atestar que a identificação por sistemas biométricos automáticos de reconhecimento facial iguala a capacidade humana na avaliação da verificação da identidade de pessoas à distância”.
Uma dessas linhas é a de que a pessoa que está, em tempo real, a efetuar o pedido seja titular do documento de identificação exigido para o efeito e que os sistemas de “deteção de vida” (‘liveness detection’) sejam certificados e sujeitos a testes com a respetiva aprovação por laboratório acreditado por norma internacionalmente reconhecida.
O GNS também exige que a comparação biométrica facial seja efetuada com base nos dados biométricos do cidadão, “em conformidade com normas internacionalmente reconhecidas”, dados estes recolhidos presencialmente pela autoridade nacional responsável pela emissão do documento de identificação no momento da sua emissão.
Por fim, impõe que o documento de identificação apresentado seja autêntico, “exigindo uma avaliação aprofundada ao mesmo, regra geral, com recurso a tecnologia de inteligência artificial e de ‘deep learning’, por forma a assegurar que se trata de um documento oficial, fidedigno e que pertence ao próprio”, acrescentando que os procedimentos de identificação à distância, através de sistemas biométricos automáticos de reconhecimento facial, requerem “o cumprimento integral dos requisitos” definidos no despacho.
A necessária avaliação da conformidade tem requisitos definidos num anexo, ao despacho do GNS, sobre certificação dos sistemas biométricos automáticos de reconhecimento facial, e um outro anexo sobre exigências para os procedimentos e sistemas biométricos automáticos de reconhecimento facial.
O despacho hoje publicado, e o decreto-lei de fevereiro que hoje entrou em vigor – e que se aplica aos documentos eletrónicos elaborados por particulares e pela administração pública e aos sistemas de identificação eletrónica notificados pelos Estados-membros da União Europeia – surgem no âmbito da execução em Portugal de um regulamento comunitário, de 2014, sobre identificação eletrónica e serviços de confiança para as transações eletrónicas no mercado interno.
O Regulamento Geral de Proteção de Dados (RGPD), em vigor desde 25 de maio de 2018, coloca os dados biométricos na categoria de “dados sensíveis” e impõe um conjunto de restrições à sua recolha, tratamento e preservação.
O recurso a dispositivos de identificação biométrica para controlo de assiduidade foi, em dezembro de 2018, rejeitado pelos deputados que o consideraram uma medida desproporcional, apesar de estar na altura em curso uma polémica em torno de falsas presenças nas reuniões plenárias.
Comentários