Cuidados no tratamento de dados pessoais no enfrentamento da pandemia

A quebra da expectativa legítima de um titular de dados de que o seu tratamento se daria sob estrita anonimização é uma violação grave de direitos

法学
06/04/2020
Walter Britto Gaspar

A pandemia do COVID-19 acelerou o uso de soluções tecnológicas de controle de populações: levantamento recente identificou novas medidas de rastreamento digital em 20 países desde o seu início. Isto tem colocado em maior evidência uma controvérsia aguda envolvendo controle, privacidade e proteção de dados.

Se, por um lado, há direitos e garantias individuais que precisam ser resguardados do poder de vigilância do Estado e das empresas envolvidas nessas empreitadas, há uma real necessidade de otimizar as decisões sobre políticas de isolamento, compra e distribuição de equipamentos, controle de circulação e fronteiras, entre outros.

Recentemente, o Ministro Marcos Pontes, do MCTIC, anunciou (o anúncio foi logo apagado, mas ainda pode ser visto aqui) no Twitter que o governo federal realizaria parceria para a implementação de controle, via geolocalização, de aglomerações, dentre outras funcionalidades não reveladas, com diversas operadoras de telefonia. Isso estenderia a 222 milhões de linhas móveis o monitoramento via smartphone.

No vídeo, o Ministro afirma que “Nós fizemos um acordo com as operadoras [...] o Ministério da Saúde vai ter uma ferramenta e vai poder acompanhar a aglomeração de pessoas [...] É importante ressaltar que não existe nenhum problema com privacidade”.

Ainda que não haja muitos detalhes, podemos partir a uma análise, em linhas gerais, da ideia de implementação de sistemas de controle de movimentação, de “aglomerações” e contact-tracing apps sob a perspectiva da proteção de dados no Brasil.

A ilusão da anonimização

Segundo o Sinditelebrasil, a iniciativa não violaria o Marco Civil da Internet ou a LGPD (Lei Geral de Proteção de Dados) por empregar anonimização dos dados e usar dados agregados. É importante ter em conta que a anonimização é considerada por alguns especialistas uma ilusão em tempos de Big Data. Volumes maiores de dados permitem a identificação de pessoas mediante o cruzamento de informações, ainda que identificadores evidentemente pessoais sejam removidos. Sobre isto, basta lembrar do caso Netflix Prize Dataset, em que uma base de dados da Netflix, com dados supostamente anonimizados, foi cruzada com a base de dados públicos e identificados sobre avaliações de filmes na plataforma IMDb, levando à identificação dos usuários da empresa de streaming.

Igualmente, em grupos pequenos o suficiente é fácil que uma suposta anonimização seja revertida em virtude de elementos contextuais. Isto vem acontecendo, por exemplo, no uso de contact-tracing apps na Coreia do Sul que, apesar de não revelarem o nome de uma pessoa, dão informações de histórico de localização suficientemente precisas para sua identificação, dependendo do contexto. Em um caso reportado pelo jornal The Guardian, uma mulher sul-coreana foi localizada por repórteres com base nas informações do app e precisou explicar em rede de tv as suas condições de saúde.

A quebra da expectativa legítima de um titular de dados de que o seu tratamento se daria sob estrita anonimização é uma violação grave de direitos.

Tratamento de dados pelo Poder Público

A forma como o governo operacionaliza esses programas de controle tem consequências jurídicas reais. Como já vimos, os dados anônimos não são regidos pela LGPD, tendo maior liberdade de utilização. Por outro lado, os dados pessoais tratados pelo Poder Público devem obedecer a requisitos legais específicos. Como falta transparência a respeito do modelo pretendido pelo MCTIC, convém também refletir a respeito deste cenário.

Dentre essas obrigações está a indicação de um encarregado (art. 23, § 2º) e, mais importante, que haja previsão e atribuição legal para o tratamento pretendido (art. 23, caput). Isto garante a transparência do processamento, obedecendo à necessidade de accountability e a princípios legais e constitucionais, como a legalidade, a publicidade e a finalidade.

É também interessante considerar a situação particular dos parceiros privados nestas iniciativas. Ao utilizarem dados pessoais em métodos de rastreio com a finalidade de combate ao COVID-19, deveriam restringir a coleta ao mínimo necessário para a consecução do objetivo (princípios da adequação e da necessidade); informar ao titular sobre o uso desses dados, a hipótese legal que o fundamenta, os atores envolvidos no tratamento e o período pelo qual os dados estarão sob tratamento (princípios da finalidade, transparência e prestação de contas); garantir a eliminação dos dados após cumprida a finalidade (art. 16); e comunicar todos os direitos do titular (art. 9º e art. 18).

Proteção de dados à deriva

Todos os pontos aqui levantados, e outros que a brevidade não permite explorar, acentuam a necessidade de um robusto sistema fundado nos direitos do titular e em princípios cujas raízes últimas são os mandamentos constitucionais. Isto demarcaria com clareza as linhas intransponíveis da arbitrariedade do Estado e da atividade das empresas. Em sentido diametralmente oposto, vemos a real possibilidade de adiamento da entrada em vigor da LGPD para janeiro de 2021.

O uso seguro dos dados requer definições técnicas sobre anonimização e interoperabilidade - ao encargo da Autoridade Nacional de Proteção de Dados, ainda não concretizada. Os meios de garantia dos direitos do titular dependem igualmente de definição legislativa sobre transparência, limitação à finalidade, obrigações de informação ao titular e à Autoridade, dentre outros. Sem mecanismos imediatos de fiscalização e resposta a erros graves e abusos, a proteção de dados está à deriva.

*As opiniões expressas neste artigo são de responsabilidade exclusiva do(s) autor(es), não refletindo necessariamente a posição institucional da FGV.

Esse site usa cookies

Nosso website coleta informações do seu dispositivo e da sua navegação e utiliza tecnologias como cookies para armazená-las e permitir funcionalidades como: melhorar o funcionamento técnico das páginas, mensurar a audiência do website e oferecer produtos e serviços relevantes por meio de anúncios personalizados. Para mais informações, acesse o nosso Aviso de Cookies e o nosso Aviso de Privacidade.