UFJF – A proteção de dados pessoais em época de pandemia

UFJF – A proteção de dados pessoais em época de pandemia

Alguns países têm aproveitado este período de pandemia para lançar mão de alguns recursos de monitoramento pessoal, como, por exemplo, o rastreamento por meio do sistema de geolocalização presente em aparelhos celulares.

Alguns países, inclusive o Brasil, tem buscado monitorar a população por meio do uso de dados pessoais. (Foto: Pixabay)

O governo chinês usa um aplicativo com uma classificação de cores para restringir a circulação. Já os coreanos são acompanhados pela utilização do cartão de crédito. Com isso, as autoridades conseguem determinar os locais onde eventuais contaminados transitaram. No Brasil, algumas experiências também foram “ensaiadas” neste sentido. O governo paulista e a prefeitura do Rio de Janeiro firmaram parcerias com empresas de telefonia para compartilhamento de dados. Em todos os casos, o argumento é o mesmo: as medidas são necessárias para conter o avanço da covid-19.

Será que a nossa privacidade pode ser realmente flexibilizada em momentos críticos como da atual pandemia? Quais as implicações do acesso aos nossos dados pessoais? O que diz a legislação brasileira sobre o tema? Estes e outros questionamentos são abordados nesta entrevista pelos professores do curso de Direito do campus Governador Valadares da Universidade Federal de Juiz de Fora (UFJF-GV), Lucas Anjos e Pablo Leurquin, que também analisam a decisão recente do Supremo Tribunal Federal (STF) sobre o compartilhamento de dados. Os dois docentes desenvolvem estudos ligados a direito digital no Centro de Referência em Direitos Humanos (CRDH) da UFJF-GV.

Na sua opinião, mesmo os governos argumentando que o compartilhamento se refere a dados anônimos, essa medida oferece risco à nossa privacidade?
Lucas Anjos
: O fato de uma forma de tratamento (coleta, processamento, armazenamento, descarte, etc.) de dados pessoais ser realizado anonimamente não quer dizer, necessariamente, que esses dados não podem ser “desanonimizados”. A depender das tecnologias disponíveis por pessoas interessadas em obter essas informações, é possível associar informações anonimizadas e agregadas, e fazer uma “engenharia reversa” para descobrir os dados de que decorreram. O Intercept já fez uma matéria sobre as práticas da Vivo nesse sentido e os próprios jornalistas do portal conseguiram chegar aos usuários finais de celulares, com informações extremamente delicadas sobre frequência de deslocamentos, datas de cada geolocalização, nome e número de telefone. Como não temos uma Lei Geral de Proteção de Dados em vigor, nem uma forte cultura de proteção da privacidade no Brasil, ainda há poucas informações dos padrões mínimos de segurança dessa atividade de desanonimização para utilização de dados agregados, o que fragiliza ainda mais o exercício desses direitos pelo cidadão, mesmo que o tratamento seja realizado pelo governo.

A gravidade da pandemia justifica uma “flexibilização” da nossa privacidade?
Lucas Anjos: De forma alguma. Privacidade não é oposta a segurança coletiva. É possível manter um padrão mínimo de proteção da privacidade como direito fundamental e, ainda assim, desenvolver estratégias de enfrentamento à Covid-19 mais adequadas e eficazes. A própria Lei Geral de Proteção de Dados pessoais, que ainda não está em vigor, contém também os limites de eventual exceções, a serem aplicadas pontualmente, em situações de emergência, e as orientações que o poder público deve seguir ao realizar esses procedimentos (arts. 13 e 26 da Lei n. 13.709/2018, por exemplo). É muito importante que o cidadão não seja colocado em um debate de falsa dicotomia entre privacidade e segurança. Não é necessário escolher, porque elas não são mutuamente excludentes. São direitos e garantias complementares, que caminham juntos e devem ser exercidos segundo as práticas mais apropriadas, recomendadas pelo próprio conjunto de normas jurídicas brasileiras e, inclusive, por organismos internacionais especializados. Por exemplo, é importante que haja segurança e privacidade (por meio de criptografia) no acesso aos sistemas da Receita Federal, de informações bancárias e do sistema de atendimentos individuais do SUS. Nesses contextos, segurança e privacidade são plenamente complementares e corroboram o bom funcionamento e a confiança nesses serviços.

Como ponderar valores tão caros aos cidadãos: privacidade e necessidade de garantia da saúde e manutenção da vida?
Lucas Anjos: Novamente, considero que essa é uma falsa necessidade de ponderação. Muitas das estratégias mencionadas, em países como China e Coréia do Sul, tiveram uma taxa de sucesso por uma complexidade de motivos, como altas taxas de investimento em testagem da população, restrições de mobilidade, rápida ação governamental na construção e suprimento de hospitais de campanha e de estações de monitoramento de saúde. Nessa miríade de ações, que infelizmente parte do nosso Poder Executivo resiste em implementar, há também o uso de tecnologias de vigilância.  Algumas dessas medidas vigilantistas foram tomadas em um cenário jurídico cujos direitos e garantias individuais, tradicionalmente, são “relativizáveis” face a outros direitos sociais e coletivos. Veja bem, não gostaria de cometer um orientalismo de perspectiva eurocêntrica ao analisar as democracias da China e da Coréia do Sul, mas certas práticas de vigilância adotadas por esses países não seriam constitucionais no Brasil. Isso não significa que a garantia da saúde e a manutenção da vida seriam prejudicadas em razão de uma valorização da privacidade como direito fundamental nesse contexto de pandemia. Pelo contrário, há limites constitucionais, inclusive para a atuação da administração pública, justamente para balizar que seus poderes sejam exercidos sem excessos e para garantir o maior bem-estar coletivo e individual possível.

Quais informações são, de fato, são acessadas pelos governos? Elas ficam restritas à localização ou podem abranger dados de navegação, por exemplo?
Lucas Anjos: Não há como responder essas perguntas com exatidão no contexto brasileiro, há poucas informações disponíveis. A princípio, as parcerias anunciadas pelos governos estadual de São Paulo e municipal do Recife com empresas de telefonia fornecem dados que as próprias empresas já estão comunicando oficialmente: taxas/porcentagens de adesão às orientações de isolamento social. Essas porcentagens levam em consideração um comparativo com a movimentação de usuários em cenários anteriores à pandemia, bem como mostram “mapas de calor”, onde há grande aglomeração de pessoas em dado momento. Há que se questionar, por exemplo, o valor que essas informações têm para a administração pública, já que em muitas regiões não é possível obedecer as orientações de afastamento mínimo e quarentena, seja por razões econômicas (precarização do trabalho que exige realização de atividades mesmo durante a quarentena), seja pela precarização das condições de moradia (aglomerados e, favelas), que constituem maiores riscos para o contágio pelo Covid-19. Com essas informações acerca de geolocalização dos usuários em mãos, será que a administração pública corresponderia por meio de medidas efetivas de mitigação estratégica (geolocalizada) do contágio, como suplementação de renda dessas populações, fornecimento gratuito de EPIs, reforço de profissionais e equipamentos de saúde em UPAs? Além disso, em geral, as informações armazenadas por empresas de telefonia não abrangem dados de navegação, já que as obrigações de registro e de monitoramento por provedores de conexão (empresas de telefonia móvel) e de aplicação (Facebook, Google, Twitter, aplicativos etc.)  são distintas, de acordo com o Marco Civil da Internet, que proíbe expressamente as teles de guardarem os dados de navegação dos seus usuários (art.14, Lei n. 12.956/2014). Ou seja, a partir das obrigações legais que as empresas de telefonia já têm que seguir, é pouco provável que os acordos já firmados permitam a transferência de dados de navegação dos usuários ao governo. No entanto, é importante ressaltar que os dados de geolocalização, endereço e identificação (CPF, identidade etc.) já são pessoais o suficiente para causar preocupação. Além de não haver protocolos específicos (e auditáveis) de anonimização desses dados, nem registro de quem os acessa, a população não conta com a segurança de uma Lei Geral de Proteção de Dados em vigor, que baliza esse tratamento de dados pessoais conforme padrões democraticamente estabelecidos.

É possível que os Estados sintam-se “tentados” a manter esse controle mesmo com o término da pandemia?
Pablo Leurquin: É muito difícil falar de como será o mundo após essa pandemia, inclusive, no que diz respeito à relação entre o Estado e a proteção da privacidade. Do ponto de vista sociológico, ainda é muito cedo para compreendermos, com precisão, os desdobramentos do momento em que vivemos nas formas de sociabilidade e na sua normatização jurídica. A experiência passada, todavia, nos permite identificar que não é novo o interesse de governos no acesso a informações privadas e no controle dos comportamentos dos sujeitos. Por essa razão, toda “flexibilização” ou “ressignificação” da proteção da privacidade deve ocorrer com muita cautela. A tendência da ação estatal para flexibilizar a privacidade é mais acentuada em regimes autoritários, na medida em que há uma deliberada política de controle das divergências e de sua livre expressão. Os cuidados com a pandemia são, portanto, uma ocasião “perfeita” para o avanço do autoritarismo. Um caso que chama atenção é a decisão do governo da Hungria de suspender a aplicação do regulamento da União Europeia de proteção de dados. Essa medida se soma a outras no sentido de reduzir os direitos individuais dos cidadãos do país e, assim, dificultar a existência de oposição política. O caso da Hungria revela, portanto, que a flexibilização da proteção à privacidade já está sendo realizada com intuito de perpetuar governos autoritários no poder. No que diz respeito à experiência em países considerados democráticos, é importante destacar que os mesmos já se deparavam a esses “dilemas” na proteção da privacidade, antes mesmo da pandemia. Sob o argumento da guerra contra o terrorismo, várias flexibilidades ao direito de privacidade foram implementadas pelos EUA. Basta lembrar do caso Snowden e do caso da Cambridge Analytica, por exemplo.

O que diz a legislação brasileira sobre a questão?
Pablo Leurquin: Dois dispositivos constitucionais tutelam a questão do direito à privacidade: os incisos X e XII, do art. 5º. De acordo com os mesmos: “X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”; e “XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”. A partir desses dois incisos, compreende-se que o indivíduo tem o direito de controlar, frente ao Estado, a utilização de seus dados. Sendo assim, existe um direito fundamental à proteção de dados, o que fundamenta a proteção à autodeterminação informativa. Com base nessa ideia, foi elaborada a Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020. Essa lei garante, ao cidadão, o direito de saber como seus próprios dados são utilizados, tanto por empresas privadas, quanto pelo próprio governo. Além disso, estabelece uma série de regras que devem ser respeitadas, pela iniciativa privada e pelos órgãos públicos, no tratamento e no compartilhamento dos referidos dados. Ressalta-se, ainda, a possibilidade de aplicação da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação). Essa legislação procedimentaliza o acesso a informações utilizadas pela Administração Pública essenciais à gestão pública e, portanto, pode ser também uma ferramenta do cidadão no controle de eventuais ilicitudes cometidas, pelo próprio Estado, no que diz respeito à proteção ao direito de privacidade.

Como você avalia a recente decisão do Supremo Tribunal Federal (STF) que derrubou a Medida Provisória (MP) que permitia o acesso a dados pessoais de usuários de serviços de telefonia?
Pablo Leurquin: O STF decidiu suspender a eficácia da Medida Provisória nº 954/2020, que previa o compartilhamento de dados de usuários de telecomunicações ao Instituto Brasileiro de Geografia e Estatística (IBGE). A decisão não é definitiva, pois o mérito final do caso ainda não foi julgado pelo conjunto de ministros do STF. De toda forma, já é uma decisão histórica, pois considerou os referidos dados como pessoais, reforçando a preocupação com o acesso indiscriminado aos mesmos, pelas autoridades públicas. Sendo assim, no que diz ao aspecto material de proteção da privacidade, o STF agiu respeitando a nossa constituição. Além disso, o julgado está de acordo com o pacto jurídico-político em torno da aprovação da Lei Geral de Proteção de Dados. Esse tipo de situação também tem sido enfrentada em outros países, como é o caso da França, por exemplo. O Conselho Constitucional da França definiu, recentemente, limites à ação do primeiro ministro do país no rastreamento de pessoas infectadas com Covid-19, com base em dados fornecidos pelas companhias de celular. A ideia inicial do governo era identificar os grupos de pessoas que tiveram contato com infectados e informá-las do perigo de contaminação. O referido conselho negou a constitucionalidade dessa linha de ação, permitindo apenas a identificação do fluxo de pessoas infectadas, de maneira anonimizada, para que o sistema de saúde de cada região possa se planejar. Portanto, faz-se necessária uma constante ação das demais autoridades estatais, buscando sempre adequar as decisões governamentais à proteção dos direitos individuais.

Compartilhar