A Pandemia do Coronavírus [COVID-19] e questões relevantes envolvendo Proteção de Dados Pessoais

Durante a pandemia do Novo Coronavírus, é evidente que o tratamento de dados, incluindo pessoais, se torna relevante ao servir de suporte para a tomada de decisões que auxiliam na mitigação de outros riscos, redução dos danos e no combate a pandemia.

Na China, de acordo com o jornal chinês South China Morning Post, dados pessoais e sensíveis foram coletados de maneira massificada sem a conveniente autorização, acarretando assim, em uma preocupação global com a privacidade, em relação aos cuidados necessários e a manipulação adequada de dados nesta época.

Na Itália e outros países da Europa, já se fala na cooperação das operadoras de telefonia móvel com o Governo, através do fornecimento de dados, aparentemente de forma “anonimizada”, capaz de identificar concentrações em zonas consideradas de risco. Quais dados a mais são coletados? Permanecerão por quanto tempo nas bases de dados? Qual a consciência do cidadão e titular de dados a respeito?

Inúmeros cientistas da informação, de dados, profissionais da saúde e da tecnologia da informação realizam o tratamento de dados pessoais com a finalidade de oferecer serviços à população e auxiliar as políticas na atuação do poder público no combate ao COVID-19.

O tratamento de dados pessoais sensíveis é descrito no art. 11 da LGPD, que prevê, salvo hipóteses legais, o consentimento do titular, de forma especifica e destacada. Contudo, a LGPD estabelece em seu artigo 4°, inciso III que a Lei não se aplica ao tratamento realizado para fins exclusivos da segurança pública, no entanto, esta temática deverá ser regulamentada, nos termos da Lei.

Vale salientar a Lei 13.979/2020, que foi criada para enfrentamento do Covid-19, prevendo o compartilhamento de dados de pessoas infectadas a órgãos públicos de saúde, assim estabelecendo:

Art. 5º  Toda pessoa colaborará com as autoridades sanitárias na comunicação imediata de:

I – possíveis contatos com agentes infecciosos do corona vírus;

II- circulação em áreas consideradas como regiões de contaminação pelo coronavírus.

Art. 6º  É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação.

§ 1º  A obrigação a que se refere o caput deste artigo estende-se às pessoas jurídicas de direito privado quando os dados forem solicitados por autoridade sanitária.

§ 2º  O Ministério da Saúde manterá dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, relativos à situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais.

A Legislação não serve para derrogar a LGPD que, embora se torne aplicável somente em agosto de 2020 (caso não seja prorrogada), já tem seus princípios e premissas de tratamento conjeturadas por autoridades em inúmeros casos no país.

Neste sentido, o consentimento do titular (que pode ser um cliente, paciente ou empregado) para o tratamento de seus dados pessoais de saúde, poderá ceder espaço, em situações específicas, a outras premissas legais, dentre elas, a proteção à vida ou à incolumidade física do titular ou de terceiros. Do mesmo modo, poderá ocorrer o tratamento para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da área, serviços de saúde ou autoridade sanitária, conforme previsão da Lei 13.853/2019.

O tratamento de dados pessoais de saúde, que pode ser realizado por meio de algoritmos, aplicações, cruzamento de dados e outras operações de tratamento, poderá se dar com base nas premissas legais acima identificadas, contudo, deverá ser realizado de forma responsável, limitando-se apenas aos dados necessários para o enfrentamento da crise, respeitando a finalidade, adotando princípios para a minimização dos referidos dados, sobretudo, com a adoção de práticas de privacy by design na construção destes sistemas de tratamento de dados.

Vale ressaltar que aquele tratamento de dados que não respeitar a finalidade especificada, de combater o vírus, auxiliar o Estado no seu papel ou trazer avanços, prevenção e apoio aos cidadãos, poderá ser considerado irregular, passível de reparação, devendo-se cogitar, também, os casos envolvendo a discriminação de pacientes confirmados diante de falhas de segurança que expuserem os dados, compartilhamentos indevidos,  diante de operações de tratamento não autorizadas, ou ainda os danos causados àqueles forem expostos à tomada de decisões a partir da exposição indevida de dados pessoais relativos à sua saúde.

Não se pode olvidar que o titular tem direito de conhecer as operações de tratamento realizadas a seu respeito e não deve ser exposto e sofrer discriminação. A exemplo, a Autoridad Nacional de Protección de Datos Personales do Perú estabeleceu recomendação, na qual adverte que a divulgação de dados pessoais de infectados pelo COVID-19 pode gerar multa de até 215.000 soles.

Já se tem relatos de uma plataforma digital chinesa capaz de identificar se há algum passageiro contaminado pelo Covid-19 em viagens urbanas, oferecendo aos usuários informações a respeito. Mais conhecido como Qihoo 360, o aplicativo tem como fonte a base de dados dos hospitais e informações das companhias estatais de transporte, além do mais, a plataforma digital conta com algoritmos de inteligência artificial capaz de cruzar os dados e identificar os riscos de contaminação. Teríamos um rastreio de pessoas infectadas? Os dados são anonimizados? Outas pessoas poderiam apontar o celular para uma direção e identificar um suposto “contaminado”? Quais as consequências imprevistas destas tecnologias? Quais os impactos destas tecnologias que estão sendo construídas na urgência, considerando que apesar de estarem empenhadas em livrar pessoas da contaminação, tratam dados pessoais sensíveis.

A Presidente do Conselho Europeu de Proteção de Dados (EDPD), Andrea Jelinek, se pronunciou recentemente a respeito do tratamento dos dados pessoais diante deste cenário acarretado pelo covid-19, declarando que: As regras de proteção de dados (como o GDPR) não impedem as medidas tomadas na luta contra a pandemia de coronavírus…”. Em seguida enfatiza: …”o controlador de dados deve garantir a proteção dos dados pessoais dos titulares dos dados. Portanto, várias considerações devem ser levadas em consideração para garantir o processamento legal de dados pessoais. ”

Jelinek, faz considerações a respeito do processamento de dados de comunicação eletrônica, como dados de localização móvel, aos quais são aplicadas regras adicionais. No caso da Europa, alguns regulamentos nacionais determinaram que os dados de localização só podem ser usados ​​pelo controlador quando forem anônimos ou com o consentimento dos indivíduos, obtendo-se assim maior controle e transparência de acesso e compartilhamento desses dados.

Vale a compreensão do que o mundo está pensando no que tange às questões relativas a proteção de dados e o Novo Coronavírus. A Global Privacy Assembly reuniu em uma página um compilado das principais ações, regulamentos, manifestações e recomendações emanadas pelas autoridades de proteção de dados no mundo sobre o COVID-19: https://globalprivacyassembly.org/covid19/

É indisfarçável a necessidade de equilibrar a proteção de dados e o interesse público, lembrando que isso não habilita tratamentos inconsequentes de dados pessoais que possam ferir direitos e liberdades fundamentais, como aplicativos invasivos de classificação de pessoas, ao estilo “Nosedive”…

Posto isso, cabe indagar: Quais são os limites do mapeamento de infectados e os riscos à privacidade? Se os limites são desconhecidos, o que dizer dos impactos?

Sobre o autor

Prof. MSc. José Antonio Milagre, CEO da CyberExperts, advogado especialista em direito digital, e perito em informática, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando Ciência da Informação pela UNESP, Pesquisador em Redes Sociais do NEWSDA-BR da Universidade de São Paulo (USP), Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Arbitro fundador da Câmara Internacional de Arbitragem e Mediação em Tecnologia da Informação, E- commerce e Comunicação (CIAMTEC.br). Consultor convidado na CPI de Crimes Cibernéticos – CPICyber do Congresso Nacional. É professor de Pós-Graduação em diversas instituições. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça do Supremo Tribunal Federal (STF). Data Protection Officer Certified by EXIN. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI. Site: www.josemilagre.com.br