COVID-19 e Proteção de Dados Pessoais

A temática da proteção de dados pessoais já é uma realidade sem volta no cenário global. Nos últimos anos, diversas foram as leis sancionadas ao redor do mundo: GDPR (Europa 2016); LGPD (Brasil, 2018), CCPA (Califórnia, 2019).

É um movimento – tardio, talvez com exceção da União Europeia[1] – de tentar devolver o controle dos dados pessoais aos próprios titulares, ao garantir direitos básicos e limitar a coleta e tratamento destes dados por empresas de todo o mundo.

A pandemia do COVID-19 decretada pela Organização Mundial da Saúde no último mês, entretanto, trouxe novas implicações, novos desafios e novas soluções a respeito da temática de proteção de dados pessoais.

A reclusão generalizada, seja através da quarentena vertical ou horizontal, representa o maior confinamento populacional da história, com a estimativa de mais de 2 bilhões de pessoas (um quarto da população mundial) sem poder sair de suas casas, exceto para ir à supermercados ou farmácias.

Isso, além dos desafios para a infraestrutura da Internet no mundo todo, gera um risco para em termos de segurança da informação e proteção de dados pessoais, na medida em que o “home office” traz, em regra, uma flexibilização de medidas protetivas desta natureza, exatamente pela necessidade que o funcionário passa a ter de realizar uma série de atividades não mais na sede da empresa mas em seu próprio domicílio. Assim, políticas de não utilização de celular, de restrição de downloads ou utilização de portas USB acabam sendo flexibilizadas, além de dados pessoais de clientes, funcionários e terceiros passam a trafegar em ambientes não muito controlados.

Além disso, as reuniões antes presenciais se tornam reuniões virtuais, com a massificação de plataformas como Zoom, Hangout e Meet (Google), Teams (Microsoft), dentre diversas outras. Estas plataformas passam, então, a lidar com um volume dados gigantescos (dados sensíveis, inclusive, como voz e imagem dos participantes), trazendo riscos adicionais aos envolvidos e às empresas. Esta semana, aliás, surgiu a notícia que a plataforma Zoom para iOS (Apple) compartilha os dados coletados com o Facebook, independentemente de o usuário ter feito o login com o Facebook ou até mesmo de ter conta ativa na rede social[2].

Assim, as principais plataformas de reuniões e aulas on-line compartilham dados com as principais empresas do mundo de coleta de dados pessoais (Zoom com Facebook, Hangout e Meet com o Google e Teams com a Microsoft), importante ponto de reflexão para os usuários destas plataformas.

Há ainda que se atentar para o fato de diversas empresas terem disponibilizado serviços gratuitos por conta da epidemia, casos do próprio Meet (Google) e Teams (Microsoft), além de diversos outros eventos virtuais que tem ocorrido Brasil afora e que implicam na coleta de dados pessoais. Assim, a base de usuários cadastrados aumenta exponencialmente – e consequentemente os dados coletados por essas empresas. A grande questão é o que acontecerá com estes dados coletados após a normalização das atividades sociais e profissionais.

Interessante novidade vem da In Loco[3] - startup de tecnologia – que tem apoiado o controle de pacientes com sintomas do Covid-19 por meio da coleta de dados de geolocalização[4]. A medida por si só não uma novidade, mormente porque outros países também estão fazendo isso, casos da Coréia do Sul e Irã, e países europeu (Itália, Alemanha, Espanha estão tentando, mas esbarrando nas regras de privacidade e proteção de dados pessoais estabelecidas pelo GDPR)[5]-[6]. O que deve ser elogiado é a aparente adequação da plataforma às normas previstas – e ainda não em vigor – pela LGPD, mostrando assim a preocupação e o respeito pela privacidade da população.

A questão aqui é a utilização da geolocalização dos celulares para verificar se as pessoas estão obedecendo ou não a quarentena e monitorar o tráfego de pessoas entre cidades, estados e países (que não sujeitos à quarentena). Diante de uma pandemia dessa proporção – que acontece em regra uma vez por século ou mais – o balanceamento dos interesses em jogo (de um lado a privacidade e do outro a vigilância por empresas e Estados) precisa ser repensado em prol do bem comum, muito embora isso já traga questionamentos filosóficos sobre a privacidade, de um lado, e a proteção da vida (segurança) de outro[7]. A preocupação, repise-se, é o que acontecerá com estes dados e com estes sistemas de vigilância após as coisas voltarem “ao normal”.

Convém destacar que as legislações de proteção de dados pessoais, como o GDPR e a LGPD, não colocam óbice ao tratamento de dados pessoais, cuja a finalidade seja justamente de contribuir com as autoridades, principalmente, de saúde em combate à pandemia, pelo contrário, mostram-se essenciais a evitar tratamento de dados pessoais de modo desproporcional e abusivo, assim como as autoridades vinculadas às legislações de privacidade, conforme posicionamento exarado pelo European Data Protection Board (EDPB)[8] sobre o tratamento de dados pessoais no contexto do COVID 19.

O GDPR[9] em seu “considerando 46” trata exatamente da possibilidade de tratamento de dados pessoais quando houver necessidade de tutela da vida do titular de dados ou de outrem, sendo certo que o próprio “considerando” cita os seguintes exemplos: tratamento para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial em situações de catástrofes naturais e de origem humana.

Por outro lado, a Lei Geral de Proteção de Dados Pessoais (L.13.709/18 - LGPD) considera como base legal ao tratamento de dados pessoais, inclusive, sensíveis a proteção à vida ou a incolumidade física do titular ou de terceiros[10].

Deste modo, além de não serem contrárias às políticas públicas de saúde desenvolvidas com tratamento de dados em combate à pandemia, a LGPD, assim como o GDPR, prestam-se a garantir diante de uma fiscalização adequada que estes tratamento de dados pessoais observem os princípios da proporcionalidade e minimização de dados pessoais[11], ou seja, as medidas autorizadas tendo em vista a finalidade de combate à pandemia e preservação da vida e saúde devem ser limitadas ao período emergencial.

Durante a pandemia, as autoridades e empresas, segundo o EDPB, devem ainda buscar primeiro a utilização dos dados pessoais de forma anonimizada, afastando a necessidade de qualquer controle de proteção à privacidade dos titulares de dados, bem como de modo a somente tratar dados de forma a identificar uma pessoa física, quando for estritamente necessário[12].

A aplicação destes princípios não exclui a necessidade de que estes tratamentos observem padrões adequados de segurança, principalmente, em razão de envolverem quantidade significativa de dados sensíveis, bem como de os agentes de tratamento arquivarem registros que demonstrem a necessidade do tratamento em tela (arts.6º, VI e X, da LGPD).

A legislação de proteção de dados pessoais e a Autoridade vinculada a esta possuem um papel de destaque, não somente no momento da pandemia, mas também no momento pós pandemia[13], visto que como outrora destacado, não tem sido irrelevantes os compartilhamento de dados pessoais com empresas e autoridades públicas, com ou sem consentimento, por finalidades relacionadas ao COVID 19, como conscientização da população, interação social das pessoas em quarentena, direcionamento da medidas de saúde pública, etc.

Ocorre que este compartilhamento deve estar adstrito a este contexto de pandemia, tais dados foram compartilhados da forma como o foram em razão de finalidades relacionadas a este momento social, sendo assim, uma vez acabada a realidade emergencial, caso não haja outra base legal ou finalidade a fundamentar determinado tratamento de dados pessoais, este deverá ser finalizado.

Por fim, ainda por consequência da pandemia, surge um novo Projeto de Lei no Congresso para postergar a vigência d a LGPD, agora em mais 6 (seis) meses. A solução não parece ser correta – e aliás vai na contramão da solução adotada pelo Estado da Califórnia a respeito da CCPA, que entrou em vigor no começo do ano sem o enforcement, o que só viria a ocorrer após a regulação da temática pela autoridade responsável ou após 01.07.2020 (o que sobrevier primeiro)[14]. A “vacatio legis” da LGPD (dois anos) é a maior da história e permitiria sim, em tese, a adequação das empresas às exigências da lei. Joga contra a falta de definição sobre os membros da ANPD (Autoridade Nacional de Proteção de Dados) e é cada vez mais provável que a lei entre em vigor sem essa definição, o que será certamente bastante prejudicial.

A solução talvez salomônica seja a entrada em vigor da Lei em agosto, com a prorrogação das sanções por um determinado período de tempo e até a criação e definição de todos os membros da ANPD; até mesmo porque competirá à ela tutelar o tema no Brasil. Espera-se da ANPD muito mais do que apenas seu viés sancionatório. É necessário que atue positivamente perante a sociedade, com difusão de conhecimento, certificação, produção de repositório de dados de autuação e fiscalização, dentre diversas outras medidas que já são encontradas em autoridades europeias análogas (CNIL[15] – França – e ICO[16] – Inglaterra, talvez sejam os melhores exemplos. O movimento de postergação não é novo, já tendo outros PLs sobre a mesma temática. A população reagiu a esse novo PL com muita curiosidade, como mostram os dados tirados do Google Trends em 27.03.2020, no qual a busca pelo termo “LGPD” conduzia à pesquisas como “lgpd vigência”, “lgpd adiamento” e “lgpd adiada”.

Por tudo o que se falou, a postergação da vigência da LGPD e a demora na estruturação da ANPD aumentam os riscos de violação de dados pessoais nas atuais circunstâncias vivenciadas, em que a necessidade de tutela da vida e o resguardo da sociabilidade por meio do mundo digital tem aumentado ainda mais o compartilhamento de dados pessoais, por vezes, realizado sem garantia ao titular de transparência e controle sobre o tratamento.

Notas e Referências

[1] A preocupação dos países europeus com o tema remonta à década de 70, e em âmbito europeu, aos anos 80/90.

[2] Disponível em https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account. Acessado em 27.03.2020.

[3] https://content.inloco.com.br/. Acessado em 27.03.2020.

[4] Para mais informações sobre as bases de funcionamento do software da In Loco, ver artigo escrito por Raíssa Moura e Lara Ferraz. Disponível em https://content.inloco.com.br/hubfs/Estudos%20-%20Conte%C3%BAdo/Coronavirus/Meios%20de%20controle%20a%CC%80%20pandemia%20da%20COVID-19%20e%20a%20inviolabilidade%20da%20privacidade.pdf?hsCtaTracking=ad1577ba-e5bc-4ff3-afdd-54a896891088%7C07ab4d6b-53d3-4a06-9f43-fb43621df88f. Acessado em 27.03.2020.

[5] Sobre o movimento destes países em regular os dados de geolocalização, ver texto de autoria de Cristina De Luca, disponível em https://porta23.blogosfera.uol.com.br/2020/03/22/covid-19-adiamento-da-vigencia-da-lei-de-protecao-de-dados-ganha-forca/. Acessado em 27.03.2020.

[6] Disponível em https://www.cnnbrasil.com.br/tecnologia/2020/03/26/europeus-tentam-usar-tecnologia-contra-coronavirus-mas-esbarram-em-privacidade. Acessado em 27.03.2020.

[7] Sobre o tema, ver o seguinte texto: https://www.gzeromedia.com/your-data-or-your-life. Acessado em 27.03.2020.

[8] https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en , acessado em 27.03.2020.

[9] https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679, acessado em 27.03.2020.

[10] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm, acessado em 27.03.2020.

[11] https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en , acessado em 27.03.2020.