Aplicativos da moda x segurança da informação: saiba os riscos implicados ao gerar fotos por IA

De tempos em tempos as redes sociais são tomadas pelo frisson gerado por aplicativos que caem no gosto do público e viralizam na internet. O último deles foi o Lensa, que tomou os feeds do Instagram com conjuntos de ilustrações concebidas por inteligência artificial (IA).

A criação dos chamados “avatares mágicos” é muito simples: depois de baixar o aplicativo, o usuário precisa fazer o upload de fotos de seu próprio rosto e realizar o pagamento. 

E se a esta altura você ainda está se perguntando o que um app que cria imagens tem a ver com proteção de dados pessoais, trazemos um spoiler: tudo!

Um fator que os usuários sempre precisam levar em consideração na hora de baixar qualquer aplicativo são as questões relacionadas à segurança e à privacidade de seus dados, em especial no que diz respeito às políticas de transparência e responsabilidade das companhias para armazenar, processar e fazer uso de informações pessoais. Também é importante entender a confiabilidade do app, analisando sua origem e as avaliações de outros usuários para se precaver de possíveis problemas futuros. 

O Lensa, especificamente, não exige qualquer tipo de cadastro para ser usado, dispensando o preenchimento de CPF, endereço, nome completo ou qualquer outro dado pessoal. Porém, cabe aqui a importante ressalva de que toda imagem, quando relacionada ou relacionável a uma pessoa, é um dado pessoal sensível de acordo com a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Especialistas em segurança são unânimes ao enfatizar a necessidade de dar atenção aos termos e condições de uso dos apps. No caso do Lensa, por exemplo, quem concorda com o documento dá à Prisma Labs, fabricante do aplicativo, o direito de operar informações de uso e as coletadas de modo automático para traçar perfis, com o intuito de dar suporte a ações de marketing direcionado. 

Vale lembrar, no entanto, que o usuário pode solicitar à empresa, a qualquer momento, a exclusão tanto de dados pessoais, como dos avatares eventualmente criados. Trata-se de um direito assegurado pela LGPD no Brasil e mesmo empresas estrangeiras, como é o caso da Prisma Labs, são obrigadas a atender, uma vez que a coleta dos dados ocorre no País.

Fenômeno Lensa à parte, o uso de aplicativos de fotos costuma exigir cuidados redobrados. Recentemente, ganhou grande repercussão o caso envolvendo uma artista norte-americana que encontrou um conjunto de fotos suas, tiradas durante um tratamento médico em 2013, em um treinamento de IA para a LAION-5B, uma organização sem fins lucrativos cujo objetivo é disponibilizar modelos de aprendizagem de máquina em larga escala. Na ocasião, ela havia assinado um termo que proibia o uso destas imagens fora do procedimento. 

Ator conhecido por interpretar Ryan na série “The Office”, o norte-americano B.J. Novak também teve um trauma ao descobrir que uma foto sua caiu de forma acidental em um site de domínio público – o que abriu caminho para ela ser usada de maneira gratuita, sem necessidade de pedir direitos de imagem. Resultado? A foto do artista estampava desde barbeadores na China até um perfume na Suécia. 

Riscos relacionados à biometria facial

Sobre as fotos disponibilizadas pelo Lensa ou aplicativos semelhantes, Gabriel Glisson, analista sênior de segurança da informação da AllowMe, alerta para a possível falta de segurança no momento do armazenamento das imagens.

“Elas podem ser hospedadas em servidores fora do país, onde as leis sobre proteção de dados inexistem ou ainda estão em fase de maturação, tornando-se alvos fáceis de vazamentos”, explica. Em julho de 2021, vale lembrar, já  houve um vazamento de 13 mil imagens de documentos de brasileiros em um arquivo de 1,2 GB. 

Além disso, como citado anteriormente, alguns desses aplicativos não solicitam a autenticação do usuário para realizar cadastro. Ou seja, qualquer pessoa pode subir a foto de um terceiro e fazer diversas modificações sem o seu consentimento. “Atualmente, essa é umas das práticas mais utilizadas por fraudadores que tentam burlar as soluções de biometria facial”, pontua Glisson. 

Mariana Ceridono, Senior Legal Counsel, Data Protection and Compliance Officer da Tempest, empresa de cibersegurança proprietária do AllowMe, explica que nesses casos, com base no previsto na LGPD, o aplicativo responsável pelo tratamento dos dados biométricos – que são, inclusive, classificados como sensíveis pela Lei – tem a obrigação de adotar medidas de segurança robustas a fim de evitar qualquer incidente que resulte no vazamento desses dados. Caso isso ocorra, a empresa poderá ser responsabilizada por todos os prejuízos sofridos pelos usuários do app, além de estar sujeita a multas administrativas.

A especialista ressalta que ainda que a LGPD garanta o direito do titular do dado – no caso o usuário que inseriu suas fotos no app – de ser indenizado pelos prejuízos sofridos em decorrência de um incidente, se levarmos em conta a dimensão da possibilidade de uso desses dados por cibercriminosos, sobretudo fraudando etapas de onboarding para contratação de serviços diversos, incluindo bancários, chegaremos à conclusão de que dificilmente esse prejuízo será totalmente mapeado e indenizado.

Artigo escrito por Eduardo Carneiro

Eduardo é jornalista formado pela Cásper Líbero e trabalhou ao longo da carreira em veículos como Gazeta, Band, Terra e UOL. Produz conteúdos relacionados à prevenção à fraude, tecnologias e estratégias de proteção aos melhores negócios desde 2019 e juntou-se ao time do AllowMe em 2022.