A Universidade de Waterloo, com sede no Canadá, está correndo para remover das dependências do campus as máquinas de venda inteligentes com a marca M&M depois que estudantes indignados descobriram que as máquinas estavam secretamente coletando dados de reconhecimento facial sem o consentimento deles.
O escândalo começou quando um estudante usando o pseudônimo SquidKid47 postou uma imagem no Reddit mostrando uma mensagem de erro em uma máquina de venda do campus, “Invenda.Vending.FacialRecognitionApp.exe”, exibida após a máquina falhar ao tentar lançar um aplicativo de reconhecimento facial que ninguém esperava fazer parte do processo de utilizar uma máquina de venda.
“Hey, por que as estúpidas máquinas de M&M têm reconhecimento facial?” ponderou SquidKid47.
A postagem no Reddit desencadeou uma investigação de um estudante do quarto ano chamado River Stanley, que estava escrevendo para a publicação da universidade chamada MathNEWS.
Stanley soou o alarme após consultar brochuras de vendas da Invenda que prometiam “as máquinas são capazes de enviar idades estimadas e gêneros” de todas as pessoas que usassem as máquinas—sem nunca solicitar consentimento.
Isso frustrou Stanley, que descobriu que o comissário de privacidade do Canadá havia investigado anos antes um operador de um shopping center chamado Cadillac Fairview depois de descobrir que alguns totens informativos dos shoppings estavam secretamente “usando software de reconhecimento facial em clientes desprevenidos”.
Somente por conta daquela investigação oficial, os canadenses souberam que “mais de 5 milhões de canadenses sem consentimento” foram escaneados no banco de dados da Cadillac Fairview, relatou Stanley. Enquanto a Cadillac Fairview foi obrigada a deletar todo o banco de dados, Stanley escreveu que as consequências para a coleta de dados de reconhecimento facial igualmente sensíveis sem consentimento para clientes da Invenda como a Mars permanecem incertas.
O relatório de Stanley terminou com um apelo para que os estudantes exijam que a universidade “proíba máquinas de venda com reconhecimento facial do campus.”
Uma porta-voz da Universidade de Waterloo, Rebecca Elming, eventualmente respondeu, confirmando ao CTV News que a escola havia solicitado a desativação do software da máquina de venda até que as máquinas pudessem ser removidas.
Estudantes disseram ao CTV News que sua confiança na administração da universidade foi abalada pela controvérsia. Alguns estudantes afirmaram no Reddit que tentaram cobrir as câmeras das máquinas de venda enquanto aguardavam a resposta da escola, usando chiclete ou Post-it notes. Um estudante ponderou se “há outros lugares onde essa tecnologia poderia estar sendo usada” no campus.
Elming não pôde confirmar o cronograma exato para a remoção das máquinas, apenas disse que isso aconteceria “o mais rápido possível.” Elming recusou o pedido da Ars de esclarecer se há outras áreas no campus coletando dados de reconhecimento facial. Ela também não confirmou, para qualquer pessoa que goste de um lanche casual no campus, quando, se algum dia, os estudantes poderiam esperar que as máquinas de venda fossem substituídas por dispensadores de lanches sem câmeras de vigilância.
Invenda Alega que as Máquinas São Conformes com o GDPR
A investigação do MathNEWS encontrou respostas de empresas responsáveis pelas máquinas de venda inteligentes no campus da Universidade de Waterloo.
A Adaria Vending Services disse ao MathNEWS que “o mais importante a se entender é que as máquinas não tiram nem armazenam fotos ou imagens, e uma pessoa individual não pode ser identificada usando a tecnologia das máquinas. A tecnologia atua como um sensor de movimento que detecta rostos, para que a máquina saiba quando ativar a interface de compra—nunca tirando ou armazenando imagens dos clientes.”
De acordo com a Adaria e a Invenda, os estudantes não precisam se preocupar com a privacidade dos dados, pois as máquinas de venda são “totalmente conformes” com a lei de privacidade de dados mais rigorosa do mundo, o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
“Essas máquinas são totalmente conformes com o GDPR e são utilizadas em muitas instalações por toda a América do Norte,” disse o comunicado da Adaria. “Na Universidade de Waterloo, a Adaria cuida dos serviços de finalização da última milha—cuidamos do reabastecimento e logística para as máquinas de venda de lanches. A Adaria não coleta dados sobre seus usuários e não tem acesso para identificar os usuários dessas máquinas de venda de M&M.”
