[ARTIGO] O uso de dados pessoais na guerra contra o inimigo invisível: COVID-19

Por Alberto Talma Catão Quirino*
Com a evolução da pandemia causada pelo vírus COVID-19, o planeta inteiro tenta encontrar a maneira mais eficaz de refrear o contágio e conter os efeitos da doença nas suas populações, sistemas de saúde e economias, e, naturalmente, acabamos nos voltando à solução mais comum para os problemas contemporâneos: a tecnologia.

Não é diferente no Brasil: no Recife, a Prefeitura Municipal anunciou o rastreamento de 700 mil (setecentos mil) celulares para monitorar se as medidas restritivas de isolamento social estão sendo cumpridas[1]; no Rio de Janeiro, a Prefeitura anunciou parceria com a operadora Tim para detectar aglomerações de pessoas com base no sinal dos smartphones da população[2]. A tendência é que a prática seja repetida em cada metrópole brasileira, já existindo subsídios informacionais a respeito de todo o território brasileiro[3].

As medidas são importadas de experiências estrangeiras com o uso do mapeamento de dados pessoais como trunfo no combate ao COVID-19. Ao redor do globo, pode-se mencionar Israel[4], Irã[5], Itália[6], Estados Unidos[7], Reino Unido[8], dentre vários outros, que estão usando algum tipo de tecnologia para obter informações sobre sua população, e assim definir estratégias de ação contra o novo coronavírus.

Mas os casos mais interessantes são os asiáticos, especificamente os da Coreia do Sul e China.
A Coreia do Sul estabeleceu um padrão de qualidade no combate à pandemia que foi amplamente noticiado, especialmente pela capacidade que o governo sul coreano demonstrou de testar a população em massa. Para descobrir quem precisava ser testado de maneira a estabelecer a cadeia de transmissão do vírus e tentar interrompê-la agiam da seguinte forma: ao se deparar com algum paciente, as autoridades primeiramente o entrevistavam, depois passavam a analisar, com algoritmos, seus dados cruzados de geolocalização, imagens de câmeras de segurança e transações de cartão de crédito com a finalidade de recriar a rota seguida antes do aparecimento dos sintomas[9].

Com o propósito de alertar as pessoas que tivessem tido contato com o doente, o governo Sul Coreano passou a divulgar as localidades e horários onde estiveram os infectados. As consequências negativas não tardaram – apesar de não serem divulgados nomes e endereços, o público logo foi capaz de identificar as pessoas ali descritas e suas vidas pessoais se viram expostas para todo o mundo.

No caso Chinês, o governo passou a exigir que os cidadãos usassem um App nos seus smartphones chamado The Alipay Health Code. Tal software designa um QR Code colorido para cada pessoa, indicando seu estado de saúde: verde, amarelo e vermelho. A cor verde permite que o cidadão transite irrestritamente; alguém com a cor amarela pode ter sua liberdade de locomoção restrita; e vermelho significa duas semanas de quarentena. O App usa os critérios de informação de saúde básica, localização e histórico de viagem para determinar a cor de cada usuário.

Contudo, a falta de transparência na designação de cores gerou confusão e frustração – bugs do aplicativo passaram a significar impossibilidade de ingresso em vários edifícios, complexos e meios de transporte[10], já que para adentrá-los é necessário apresentar um QR Code verde[11]. Elementos componentes de uma sociedade já estruturada para a cyber vigilância.

Por outro lado, a eficiência é impressionante: graças ao controle social, a China, onde tudo começou, hoje é capaz de dizer que a maioria dos seus novos casos são importados de outras localidades para onde a pandemia se espalhou[12]. Lá, o vírus aparenta estar sob controle.

Em que pesem os resultados obtidos, diante de medidas tão invasivas à privacidade, cabe-nos aprofundar a análise quanto à legalidade das medidas: não estaríamos indo longe demais?

A despeito de a Lei Geral de Proteção de Dados ainda não se encontrar em vigor, é o diploma mais adequado para exame da questão brasileira.

Segundo documento publicado no site da InLoco[13], a parceria entre a empresa e o Município de Recife engloba dados de geolocalização anonimizados[14] para monitoramento das aglomerações. Ou seja, não se tem acesso à informação sobre quem está em qual local, mas apenas quantas pessoas estão em determinado lugar, denotando o conceito de aglomeração.

Lembrando que, nos termos do art. 12 da LGPD, dados anonimizados[15] não são considerados dados pessoais, para os fins da Lei. Assim, o tratamento de dados que tem sido realizado até então não é sobremaneira preocupante, nem potencialmente prejudicial aos titulares das informações.

Contudo, com o agravamento da pandemia em território nacional, a tendência é que mais e mais estratégias sejam traçadas com base nas informações privadas das pessoas, e aí podemos chegar a um ponto em que mesmo os dados pessoais sensíveis[16], especificamente aqueles relacionados à saúde do titular de dados, sejam utilizados, sem a correspondente anonimização.

Sendo este o caso, o Poder Público tem autorização para tratar dados pessoais desde que necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres[17].

Outra obrigação que exsurge do compartilhamento de dados pessoais é o dever de informação do Controlador de dados: no caso, as operadoras de telefonia, ou empresas especializadas em geolocalização, têm o dever legal de informar aos seus usuários com quais entidades públicas e privadas fizeram uso compartilhado de dados pessoais[18] (dever esse que a InLoco tem cumprido exemplarmente, deve-se ressaltar).

Ademais, a própria pessoa jurídica de direito público tem o dever de informar sobre os tratamentos de dados pessoais que executa, informando a previsão legal, a finalidade, os procedimentos e as práticas utilizadas[19].

A Autoridade Nacional de Proteção de Dados (ANPD) poderá, ainda, solicitar a agentes do poder público a publicação de relatórios de impacto à proteção de dados pessoais[20] – e, já no contexto atual, seria de bom alvitre a publicação de tal documento pelas prefeituras e entidades públicas que fizerem uso de informações privadas dos cidadãos para combate ao COVID-19, fornecendo mais subsídios técnicos e logísticos sobre como tudo está sendo conduzido.

Não se pretende aqui elaborar um entrave burocrático a quaisquer ideias e operações de contenção da pandemia, potencialmente salvadoras de vidas – tal pretensão não se mostraria razoável, nem sequer humana. O que se propõe é tão somente chamar atenção para o cumprimento dos deveres legais, dentre outros, de informação e de transparência. Não se trata de obstaculizar o uso dos recursos tecnológicos nessa guerra contra um inimigo invisível, mas meramente de cumprir as expectativas de uma comunidade democrática.

Se a sociedade não se mantiver atenta, poder-se-ia estar inaugurando uma nova era de vigilância digital, concebida em tempos de calmaria e acelerada durante a crise sanitária atualmente vivenciada.

Não foi fornecido texto alternativo para esta imagem
Aplaudam-se, portanto, todas as iniciativas que nos ajudem a salvar vidas. E que bom que há essa oportunidade nos dias de hoje. Certamente se se dispusessem desses recursos no início do século XX, milhões de vidas teriam sido salvas diante da famigerada Gripe Espanhola. Contudo, não se descuide do zelo pelos princípios democráticos que fundamentam a nação brasileira, afinal, um dia o Coronavírus passará e a humanidade prevalecerá.

______________
Citações
[1] Recife rastreia 700 mil celulares para monitorar isolamento social e direcionar ações contra coronavírus. G1, 24 de março de 2020. Pernambuco. Disponível em: <https://g1.globo.com/pe/pernambuco/noticia/2020/03/24/recife-rastreia-700-mil-celulares-para-monitorar-isolamento-social-e-direcionar-acoes-contra-coronavirus.ghtml>. Acesso em 31 de março de 2020.

[2] Coronavírus: Rio usará sinal de celular para detectar aglomerações de pessoas. Extra, 23 de março de 2020. Rio. Disponível em: <https://extra.globo.com/noticias/rio/coronavirus-rio-usara-sinal-de-celular-para-detectar-aglomeracoes-de-pessoas-24323258.html>. Acesso em 31 de março de 2020.

[3] Tecnologia de localização mostra isolamento em quase 60%. Brazil Journal, 28 de março de 2020. Economia. Disponível em: <https://braziljournal.com/exclusivo-tecnologia-de-localizacao-mostra-isolamento-em-quase-60>. Acesso em 31 de março de 2020.

[4] Israel passes emergency law to use mobile data for COVID-19 contact tracing. Tech Crunch, 18 de março de 2020. Disponível em: <https://techcrunch.com/2020/03/18/israel-passes-emergency-law-to-use-mobile-data-for-covid-19-contact-tracing/>. Acesso em 31 de março de 2020.

[5] The Iranian government released an oficial coronavirus app for Iranians, but Google pulled it from its app store. Business Insider, 10 de março de 2020. Disponível em: <https://www.businessinsider.com/iran-coronavirus-app-pulled-by-google-2020-3>. Acesso em 31 de março de 2020.

[6] Cellphone tracking could help stem the spread of coronavirus. Is privacy the price?. Science Magazine, 22 de março de 2020. Disponível em: <https://www.sciencemag.org/news/2020/03/cellphone-tracking-could-help-stem-spread-coronavirus-privacy-price>. Acesso em 31 de março de 2020.

[7] As Coronavirus Surveillance Escalates, Personal Privacy Plummets. The New York Times, 23 de março de 2020. The Coronavirus Outbreak. Disponível em <https://www.nytimes.com/2020/03/23/technology/coronavirus-surveillance-tracking-privacy.html>. Acesso em 31 de março de 2020.

[8] Privacy activists fear the UK might spy on its own citizens to tackle COVID-19. Here’s what we know. Business Insider, 26 de março de 2020. Disponível em: <https://www.businessinsider.com/explainer-coronavirus-uk-phone-tracking-2020-3>. Acesso em 31 de março de 2020.

[9] Coronavirus privacy: Are South Korea’s alerts too revealing? BBC News, 05 de março de 2020. Asia. Disponível em: <https://www.bbc.com/news/world-asia-51733145>. Acesso em 31 de março de 2020.

[10] In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags. The New York Times, 01 de março de 2020. Business. Disponível em: <https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html>. Acesso em 31 de março de 2020.

[11] People in China need a green light from Alipay app to move around. Japan Times, 24 de março de 2020. Asia Pacific. Disponível em: <https://www.japantimes.co.jp/news/2020/03/24/asia-pacific/china-green-light-alipay-app/#.XoObTohKiM->. Acesso em 31 de março de 2020.

[12] China reports 31 new COVID-19 cases, all but one are imported. Channel New Asia, 30 de março de 2020. Asia. Disponível em: <https://www.channelnewsasia.com/news/asia/coronavirus-covid-19-china-cases-deaths-12588326>. Acesso em 31 de março de 2020.

[13] Moura, Raíssa, e Ferraz, Lara. Meios de Controle à Pandemia da COVID-19 e a Inviolabilidade da Privacidade. InLoco. Disponível em: <https://content.inloco.com.br/hubfs/Estudos%20-%20Conte%C3%BAdo/Coronavirus/Meios%20de%20controle%20a%CC%80%20pandemia%20da%20COVID-19%20e%20a%20inviolabilidade%20da%20privacidade.pdf?hsCtaTracking=ad1577ba-e5bc-4ff3-afdd-54a896891088%7C07ab4d6b-53d3-4a06-9f43-fb43621df88f>. Acesso em 31 de março de 2020.

[14] Dado anonimizado, segundo a Lei Geral de Proteção de Dados, em seu artigo 5º, inciso III é “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.

[15] “Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”.

[16] Dado pessoal sensível, segundo a Lei Geral de Proteção de Dados, em seu artigo 5º, inciso II é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

[17] LGPD. Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

[18] LGPD. Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (…)

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

[19] LGPD. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; (…)

[20] LGPD. Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

* Advogado no Alves, Duarte e Advogados e Analista Legislativo da AssembleiaRN