A Pandemia do Coronavírus [COVID-19] e questões relevantes envolvendo Proteção de Dados Pessoais
Durante
a pandemia do Novo Coronavírus, é evidente que o tratamento de dados, incluindo
pessoais, se torna relevante ao servir de suporte para a tomada de decisões que
auxiliam na mitigação de outros riscos, redução dos danos e no combate a
pandemia.
Na
China, de acordo com o jornal chinês South China Morning Post, dados pessoais
e sensíveis foram coletados de maneira massificada sem a conveniente
autorização, acarretando assim, em uma preocupação global com a privacidade, em
relação aos cuidados necessários e a manipulação adequada de dados nesta época.
Na
Itália e outros países da Europa, já se fala na cooperação das operadoras de
telefonia móvel com o Governo, através do fornecimento de dados, aparentemente
de forma “anonimizada”, capaz de identificar concentrações em zonas
consideradas de risco. Quais dados a mais são coletados? Permanecerão por
quanto tempo nas bases de dados? Qual a consciência do cidadão e titular de
dados a respeito?
Inúmeros
cientistas da informação, de dados, profissionais da saúde e da tecnologia da
informação realizam o tratamento de dados pessoais com a finalidade de oferecer
serviços à população e auxiliar as políticas na atuação do poder público no
combate ao COVID-19.
O
tratamento de dados pessoais sensíveis é descrito no art. 11 da LGPD, que prevê,
salvo hipóteses legais, o consentimento do titular, de forma especifica e
destacada. Contudo, a LGPD estabelece em seu artigo 4°, inciso III que a Lei
não se aplica ao tratamento realizado para fins exclusivos da segurança pública,
no entanto, esta temática deverá ser regulamentada, nos termos da Lei.
Vale
salientar a Lei 13.979/2020, que foi criada para enfrentamento do Covid-19,
prevendo o compartilhamento de dados de pessoas infectadas a órgãos públicos de
saúde, assim estabelecendo:
Art. 5º Toda pessoa
colaborará com as autoridades sanitárias na comunicação imediata de:
I – possíveis contatos com agentes infecciosos do corona
vírus;
II- circulação em áreas consideradas como regiões de
contaminação pelo coronavírus.
Art. 6º É
obrigatório o compartilhamento entre órgãos e entidades da administração
pública federal, estadual, distrital e municipal de dados essenciais à
identificação de pessoas infectadas ou com suspeita de infecção pelo
coronavírus, com a finalidade exclusiva de evitar a sua propagação.
§ 1º A obrigação a
que se refere o caput deste artigo estende-se às pessoas jurídicas de direito
privado quando os dados forem solicitados por autoridade sanitária.
§ 2º O Ministério da
Saúde manterá dados públicos e atualizados sobre os casos confirmados,
suspeitos e em investigação, relativos à situação de emergência pública
sanitária, resguardando o direito ao
sigilo das informações pessoais.
A
Legislação não serve para derrogar a LGPD que, embora se torne aplicável
somente em agosto de 2020 (caso não seja prorrogada), já tem seus princípios e
premissas de tratamento conjeturadas por autoridades em inúmeros casos no país.
Neste
sentido, o consentimento do titular (que pode ser um cliente, paciente ou
empregado) para o tratamento de seus dados pessoais de saúde, poderá ceder
espaço, em situações específicas, a outras premissas legais, dentre elas, a
proteção à vida ou à incolumidade física do titular ou de terceiros. Do mesmo
modo, poderá ocorrer o tratamento para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais da área, serviços de saúde ou
autoridade sanitária, conforme previsão da Lei 13.853/2019.
O
tratamento de dados pessoais de saúde, que pode ser realizado por meio de algoritmos,
aplicações, cruzamento de dados e outras operações de tratamento, poderá se dar
com base nas premissas legais acima identificadas, contudo, deverá ser
realizado de forma responsável, limitando-se apenas aos dados necessários para o
enfrentamento da crise, respeitando a finalidade, adotando princípios para a
minimização dos referidos dados, sobretudo, com a adoção de práticas de privacy by design na construção destes
sistemas de tratamento de dados.
Vale
ressaltar que aquele tratamento de dados que não respeitar a finalidade
especificada, de combater o vírus, auxiliar o Estado no seu papel ou trazer
avanços, prevenção e apoio aos cidadãos, poderá ser considerado irregular,
passível de reparação, devendo-se cogitar, também, os casos envolvendo a
discriminação de pacientes confirmados diante de falhas de segurança que
expuserem os dados, compartilhamentos indevidos, diante de operações de tratamento não
autorizadas, ou ainda os danos causados àqueles forem expostos à tomada de
decisões a partir da exposição indevida de dados pessoais relativos à sua
saúde.
Não
se pode olvidar que o titular tem direito de conhecer as operações de
tratamento realizadas a seu respeito e não deve ser exposto e sofrer
discriminação. A exemplo, a Autoridad Nacional de Protección de Datos
Personales do Perú estabeleceu recomendação, na qual adverte que a divulgação
de dados pessoais de infectados pelo COVID-19 pode gerar multa de até 215.000
soles.
Já
se tem relatos de uma plataforma digital chinesa capaz de identificar se há
algum passageiro contaminado pelo Covid-19 em viagens urbanas, oferecendo aos
usuários informações a respeito. Mais conhecido como Qihoo 360, o aplicativo
tem como fonte a base de dados dos hospitais e informações das companhias
estatais de transporte, além do mais, a plataforma digital conta com algoritmos
de inteligência artificial capaz de cruzar os dados e identificar os riscos de
contaminação. Teríamos um rastreio de pessoas infectadas? Os dados são
anonimizados? Outas pessoas poderiam apontar o celular para uma direção e
identificar um suposto “contaminado”? Quais as consequências imprevistas destas
tecnologias? Quais os impactos destas tecnologias que estão sendo construídas
na urgência, considerando que apesar de estarem empenhadas em livrar pessoas da
contaminação, tratam dados pessoais sensíveis.
A Presidente
do Conselho Europeu de Proteção de Dados (EDPD), Andrea Jelinek, se pronunciou
recentemente a respeito do tratamento dos dados pessoais diante deste cenário
acarretado pelo covid-19, declarando que: As
regras de proteção de dados (como o GDPR) não impedem as medidas tomadas na
luta contra a pandemia de coronavírus…”. Em seguida enfatiza: …”o controlador de dados deve garantir a
proteção dos dados pessoais dos titulares dos dados. Portanto, várias
considerações devem ser levadas em consideração para garantir o processamento
legal de dados pessoais. ”
Jelinek,
faz considerações a respeito do processamento de dados de comunicação
eletrônica, como dados de localização móvel, aos quais são aplicadas regras
adicionais. No caso da Europa, alguns regulamentos nacionais determinaram que os
dados de localização só podem ser usados pelo controlador quando forem
anônimos ou com o consentimento dos indivíduos, obtendo-se assim maior controle
e transparência de acesso e compartilhamento desses dados.
Vale
a compreensão do que o mundo está pensando no que tange às questões relativas a
proteção de dados e o Novo Coronavírus. A Global
Privacy Assembly reuniu em uma página um compilado das principais ações,
regulamentos, manifestações e recomendações emanadas pelas autoridades de
proteção de dados no mundo sobre o COVID-19: https://globalprivacyassembly.org/covid19/
É indisfarçável
a necessidade de equilibrar a proteção de dados e o interesse público,
lembrando que isso não habilita tratamentos inconsequentes de dados pessoais
que possam ferir direitos e liberdades fundamentais, como aplicativos invasivos
de classificação de pessoas, ao estilo “Nosedive”…
Posto
isso, cabe indagar: Quais são os limites do mapeamento de infectados e os
riscos à privacidade? Se os limites são desconhecidos, o que dizer dos
impactos?
Sobre o autor
Prof.
MSc. José Antonio Milagre, CEO da
CyberExperts, advogado especialista em direito digital, e perito em
informática, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e
Doutorando Ciência da Informação pela UNESP, Pesquisador em Redes Sociais do
NEWSDA-BR da Universidade de São Paulo (USP), Presidente da Comissão de Direito
Digital da OAB/SP Regional da Vila Prudente, Arbitro fundador da Câmara
Internacional de Arbitragem e Mediação em Tecnologia da Informação, E- commerce
e Comunicação (CIAMTEC.br). Consultor convidado na CPI de Crimes Cibernéticos –
CPICyber do Congresso Nacional. É professor de Pós-Graduação em diversas
instituições. Autor pela Editora Saraiva em co-autoria com o Professor Damásio
de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014”
e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça do Supremo
Tribunal Federal (STF). Data Protection Officer Certified by EXIN. Fundador do
Instituto de Defesa do Cidadão na Internet – IDCI. Site: www.josemilagre.com.br