Eduarda Costa [1] e Matheus Lopes Dezan [2]
A coleta e o processamento – isto é, o tratamento – de dados pessoais surgem como forma de obter informações úteis à tomada de decisão e à organização de estratégias públicas e privadas para conter a disseminação do novo coronavírus (COVID-19).
Dados pessoais são coletados por autoridades sanitárias, por empresas que atuam na área da saúde, como laboratórios e hospitais, e, mesmo, por instituições universitárias e acadêmicas, a fim prover soluções personalizadas ou, ao menos, com alvos seletos, capazes de mitigar a contaminação viral em todo o mundo. Ao lado de soluções propostas pela ciência de dados, algoritmos de inteligência artificial são ferramentas que se provam úteis ao combate da pandemia de COVID-19, o que solidifica o entendimento de que tecnologias digitais desempenham função vital no atual cenário crítico. [3]
O uso de tecnologias de geolocalização é ferramenta que governos e empresas utilizam para rastrear pessoas e, dessa maneira, mapear rotas de transmissão e de contaminação por COVID-19 e identificar concentrações populacionais que indiquem possíveis focos de transmissão. Esse mecanismo já é utilizado, v.g., pela prefeitura de Recife e pela startup brasileira In Loco, para possibilitar a projeção de índices de adesão ao isolamento social em cada bairro da cidade pernambucana a partir da coleta de dados de usuários de aplicativos determinados. [4] Iniciativa de teor similar pode ser encontrada no estado de São Paulo, no qual, em virtude de parceria governamental, empresas de telecomunicações devem possuir acesso a dados de geolocalização de usuários. [5]
De igual modo, firmou-se parceria entre Apple e Google (gigantes do ramo de tecnologia informacional e componentes do big five) para auxiliar o combate ao COVID-19 a partir de duas soluções tecnológicas, quais sejam: (i) a criação de uma interface de programação de aplicativos que possibilite a interoperatividade entre os sistemas Android e iOS para desenvolvimento de aplicativos pelas autoridades de saúde; e (ii) a criação de uma plataforma ampla de rastreamento de contatos baseada em Bluetooth integrada às funcionalidades de aplicativos subjacentes. [6] Esta solução possibilitará a interação entre aplicativos e autoridades governamentais de saúde, de forma que seja possível verificar se houve contato entre pessoas infectadas e pessoas saudáveis.
Todavia, e a despeito dos benefícios individuais e sociais auferíveis com essa forma de operacionalização e de concretização de medidas públicas – que se traduzem em verdadeiro emprego de inteligência, de logística, para o combate da pandemia de COVID-19 – riscos surgem na medida em que se fazem obscuras as condições de realização do referido tratamento de dados.
A sempre presente possibilidade de que o tratamento de dados pessoais evada o domínio da finalidade alegada, congregada com possíveis vulnerabilidades referentes à manifestação de consentimento e a requisitos de transparência, de accountability e de fairness, bem como as demais diretrizes postas pela doutrina de proteção de dados, faz devido lançarem-se questionamentos acerca da validade jurídico-normativa e fática dessas operações. Dito de outro modo, irregularidades no tratamento de dados realizado sob pretexto de combate à pandemia de COVID-19 podem apontar para a configuração de cenário de vigilância digital.
O quadro de vigilância digital toma corpo quando dados pessoais são tratados para além da finalidade de proteção da saúde, em cearas privada e coletiva, sem observância de ditames de finalidade, de adequação, de necessidade, de prestação de contas e de transparência. Assim, o controle de dados de geolocalização de usuários de aplicativos ou signatário de planos de telefonia móvel, desde que constituam dados pessoais identificáveis, e não agregados [7], fere o direito fundamental à privacidade e dá azo a demais práticas abusavas de tratamento de dados.
Mesmo que restrita a coleta aos dados de geolocalização (mas concebendo a possibilidade de, em demais serviços, serem coletados dados de saúde), a interação de softwares com aparelhos digitais, tais como smartphones, wearbles etc., possibilita a obtenção de dados capazes de informar nome, endereço domiciliar, dados financeiros e outros (bastantes à identificação do usuário), de modo a configurar verdadeiras invasão de privacidade e ameaça mediata a demais direitos fundamentais, uma vez ensejado o uso discriminatório (ou simplesmente para finalidades não consentidas ou não vinculadas à tutela da saúde) dos dados pessoais por entidades diversas. [8]
Não obstante, nota-se que a tão fundamental Lei Geral de Proteção de Dados Pessoais (LGPD) não vigora, de modo que a tutela almejada pelo dispositivo normativo mor de proteção de dados no Brasil não produz efeito legal sobre o tratamento de dados realizado durante o surto viral em ocorrência. Sem embargo, argumentamos no sentido de que isso não obstaculiza a produção de efeitos equiparáveis àqueles visados pela LGPD. Isso porque o referido texto normativo positiva princípios e postulados operacionais já assentes em vasta doutrina acerca da disciplina de proteção de dados [9], além de possuir amparo em dispositivos anteriores, tais como o Marco Civil da Internet e como a Lei de Acesso à Informação, e ulteriores, como a Lei 13.979, de fevereiro de 2020, para o caso específico do combate à pandemia.
Os princípios de proteção de dados pessoais que se enquadram em rol exemplificativo e que figuram como demandados pelo adequado tratamento de dados que visem à adequação das medidas de combate à epidemia de COVID-19 são, sobretudo, e sem prejuízo de quaisquer outros, os princípios de finalidade, de transparência, de adequação, de necessidade, de livre consentimento informado, de qualidade e de segurança física e lógica.
O princípio da finalidade determina que o dado coletado deve ser tratado para fins específicos previstos, apenas, de modo que é indevido o uso dos dados tratados para quaisquer outras atividades. Apenas com ciência da finalidade é possível identificar a adequação dos dados, isto é, verificar se os dados coletados servem ao propósito alegado, à finalidade, devendo-se observar que o tratamento de dados deve ser mínimo, limitado pela finalidade e pela adequação. Por conseguinte, a transparência prevê publicidade dos bancos de dados e dos mecanismos de tratamento de dados. Ainda, o princípio do livre consentimento informado indica que a validade do tratamento de dados depende de anuência do indivíduo titular dos dados tratados. Observa-se, todavia, haver previsão normativa nas referidas LGPD e Lei 13.979/2020 para que seja dispensável o consentimento para o tratamento de dados por instituições específicas, desde que para finalidade de tutela da saúde pública. O princípio da qualidade dos dados versa sobre a necessidade de mantê-los objetivos, certos e atualizados para que dados inverídicos não prejudiquem o titular. Por fim, a segurança física e lógica das informações estabelece que os dados pessoais serão protegidos e não serão acessados por terceiros não autorizados. Nesse sentido, faz-se vital que os instrumentos de tratamento de dados sejam concebidos como seguros e como respeitosos da privacidade, em adequação às diretrizes de privacy and security by design.
Isso posto, reiteramos o entendimento de que a ciência de dados possui vasto aparato operacional capaz de fornecer soluções tecnológicas, mesmo que parciais, ao combate da pandemia de COVID-19 e, com isso, mitigar danos individuais e coletivos que possam ser causados. Todavia, se não se deseja, com essas operações, constituir um legado negativo à disciplina de proteção de dados e evitar casos de vigilância digital global generalizada, é vital a observância dos princípios assentados.
[1] Graduanda em Direito pela Universidade de Brasília (UnB) e integrante do Laboratório de Políticas Públicas e Internet (LAPIN).
[2] Graduando em Direito pela Universidade de Brasília (UnB), integrante do Laboratório de Políticas Públicas e Internet (LAPIN), membro do Grupo de Estudos Constituição, Empresa e Mercado (GECEM), certificado pelo CNPq, membro do Grupo de Pesquisa certificado pelo CNPq Direito, Racionalidade e Inteligência Artificial (DRIA) e membro do Grupo Bioethik: Grupo de Pesquisas em Bioética.
[3] AI can help scientists find a Covid-19 vaccine. Dispoível em: https://www.wired.com/story/opinion-ai-can-help-find-scientists-find-a-covid-19-vaccine/. Acesso em: 11 abr. 2020.
[4] ALERTAS pelo celular contra coronavírus, uma arma contra a pandemia e um debate sobre privacidade. Disponível em: https://brasil.elpais.com/sociedade/2020-04-03/contra-coronavirus-startup-brasileira-lanca-indice-de-isolamento-e-alertas-inspirados-em-modelo-sul-coreano.html. Acesso em: 11 abr. 2020.
[5] SP usa sistema de monitoramento com sinais de celulares para localizar aglomeração de pessoas no estado. Disponível em: https://g1.globo.com/sp/sao-paulo/noticia/2020/04/09/sp-usa-sistema-de-monitoramento-com-sinais-de-celulares-para-localizar-aglomeracao-de-pessoas-no-estado.ghtml. Acesso em: 13. abr. 2020.
[6] APPLE and Google partner on COVID-19 contact tracing technology. Disponível em: https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/. Acesso em: 11 abr. 2020.
[7] Todavia, observa-se, mesmo dados agregados são passíveis de permitir identificação de usuários. Cf. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 94-99.
[8] Cf. nota técnica n° 11 disponibilizada pelo Laboratório de Políticas Públicas e Internet (LAPIN). Disponível em: https://www.lapinunb.com.br/notas-tecnicas. Acesso em: 13. abr. 2020; e VIGILÂNCIA digital contra o Covid-19: um mal necessário? Disponível em: https://www.youtube.com/watch?v=oBjQAfaf-xc. Acesso em: 13. abr.
[9] Acerca da necessidade de observarem-se diretrizes técnicas, éticas e normativas para o tratamento de dados, cf. AALST, Wil M. P. van der. Green Data Science: using big data in an “environmentally friendly” manner. Proceedings of the 18th International Conference on Enterprise Information Systems (ICEIS), Eindhoven, pp. 9-21, 2016.