Migalhas de IA e Proteção de Dados

Proteção de dados e pandemia: os perigos das tecnologias de rastreamento pessoal

Proteção de dados e pandemia: os perigos das tecnologias de rastreamento pessoal.

9/10/2020

O mundo enfrenta, desde o final do ano de 2019, a tragédia que o novo vírus, conhecido como SARS-CoV-2, desencadeou ceifando a vida de mais de 1 milhão de pessoas conforme último relatório da Organização Mundial da Saúde (OMS)1. Diante dos altos níveis de contágio pelo novo Coronavírus, cuja transmissão ocorre a partir do contato com o vírus transportado em gotículas no ar, além de outras formas de contágio, constatou-se que a forma mais eficiente de achatar a curva da disseminação da covid-19 é o isolamento e o distanciamento social. A corrida para o desenvolvimento da vacina tem mobilizado governos, empresas e entidades de pesquisa científica por todo mundo. Além disso, diante do avanço rápido da doença, alguns sistemas tecnológicos foram desenvolvidos, entre eles, aplicativos para celulares e sistemas de informação geográfica, que poderiam analisar tanto o contato pessoal, como também mapear o espalhamento da doença, a taxa de isolamento social, a interação entre grupos sociais, além de prever os riscos de contaminação.

É importante destacar que a funcionalidade destes aplicativos está fundada na coleta e na análise de inúmeras informações sobre pessoas identificadas ou identificáveis. Portanto, os desenvolvedores destes aplicativos devem estar atentos aos princípios, às regras de tratamento de dados pessoais e aos direitos dos titulares de dados pessoais trazidos pela LGPD. A LGPD, em vigor desde 18 de setembro de 2020, quando o Presidente Jair Bolsonaro sancionou a lei 14.058/2020, convertendo em lei a Medida Provisória 959/2020, como debatido no primeiro texto desta coluna2 sobre as polêmicas em torno da vigência da LGPD. Muito embora as sanções administrativas previstas nos arts. 52, 53 e 54 da LGPD somente poderem ser aplicadas a partir de 1º de agosto de 2021, os desenvolvedores destes aplicativos podem ser processados caso os titulares de dados venham a sofrer danos materiais ou morais decorrentes do tratamento de dados.

Assim, a quantificação do contato e o rastreamento pessoal é hoje fundamentada na utilização da telefonia móvel pessoal. Em outras palavras, os celulares (smart phones) são utilizados como ferramenta para poder identificar a locomoção, os trajetos, e, como cruzamento destas informações com outras, poder detectar se a pessoa está viajando, está em um shopping, foi diagnosticada com o novo coronavirus, etc... Esse modelo de aproximação da eventual realidade física de analisar contatos e fazer um rastreamento pessoal tem na telefonia celular um elevado grau de confiabilidade dada a permeabilidade destes aparelhos na sociedade. O Brasil, por exemplo, tem hoje mais de 227,3 milhões de aparelhos telefônicos móveis, o que indica uma densidade de 107,11 aparelhos a cada 100 habitantes, segundo informações da ANATEL divulgadas no portal TELECO Inteligência em Comunicações3. Portanto, como o número de aparelhos supera o número de habitantes, além de estarem os smart phones conectados com redes sociais, e tantos outros aplicativos utilizados pelo indivíduo, escolheu-se esse como uma boa ferramenta para viabilizar a medida de aproximação tanto do contato quanto do deslocamento de pessoas.

As tecnologias de contato e rastreamento utilizam-se de dois tipos de sinais oriundos da telefonia móvel. O primeiro deles é o sinal de posicionamento global (GPS), obtido de satélites que circundam a terra a uma altitude aproximada de 20Km. Captando-se o sinal de ao menos três satélites os telefones conseguem se localizar na superfície terrestre por meio das coordenadas de latitude e longitude. Para comunicação sem fio entre aparelhos celulares, ou entre celulares e outros dispositivos eletrônicos, estes utilizam-se de sinais Bluetooth, que é um protocolo de comunicação padronizado projetado para o baixo consumo de energia.

Neste contexto, o FluPhone foi um aplicativo, desenvolvido em Java, para telefones móveis planejado para coletar dados de outros dispositivos móveis na proximidade, dados de GPS e dados de sintomas auto reportados, todos esses por meio de sinais Bluetooth. Este aplicativo foi desenvolvido na Universidade de Cambridge, por uma equipe liderada pela Dra. Eiko Yoneki4. Os dados coletados destes dispositivos móveis eram eventualmente transferidos via protocolo 3G para um computador central, um servidor, que analisava os dados recebidos. O FluPhone era um aplicativo que carregava um patógeno virtual, ou melhor, um modelo matemático de um vírus, que era transmitido para outros telefones que possuíam o aplicativo e "infectava" esses aparelhos. O objetivo é simular a dispersão de uma doença na população, analisar as taxas de contágio e como era o comportamento das pessoas quando em contato com este vírus.

Por tal razão, a Medida Provisória 959, de 17 de abril de 2020, autorizava o compartilhamento de informações pessoais entre as empresas de telefonia móvel e fixa com a Fundação IBGE para fins estatísticos cujo objetivo era o de monitorar as taxas de isolamento social. Os perigos deste tipo de compartilhamento são muitos, por isso, o Supremo Tribunal Federal5 suspendeu esta Medida Provisória, em caráter liminar, nas Ações Diretas de Inconstitucionalidade 6387, 6388, 6389, 6390 e 6393.

Assim, deve-se distinguir entre "tecnologias de análise de contato pessoal" e "tecnologias de rastreamento pessoal", ambas são utilizadas na batalha contra a disseminação da covid-19. Mas os modelos para "análise de contato" visam prioritariamente informar e educar o usuário deste modelo sobre a doença em curso e suas possibilidades de contágio. Estes modelos são usualmente descentralizados, voluntários e limitados quanto à participação do Estado, pois o uso dos dados obtidos somente pode ocorrer para atender as finalidades informadas e relacionadas estritamente aos eventos epidemiológicos e para salvaguardar a vida e a saúde coletiva. Enquanto, as “tecnologias de rastreamento pessoal” partem de modelos centralizados, muitas vezes compulsórios, em que a unidade central busca mapear e controlar o avanço da doença a partir de informações pessoais dos usuários.

Na Singapura, desde 20 de março de 2020, utiliza-se o aplicativo TraceTogether6, que usa a tecnologia Bluetooth para trocar sinas (tokens) com outros aplicativos.  As pessoas infectadas pelo coronavírus devem usar esse aplicativo, que rastreia e identifica pessoas com quem o infectado teve contato, em seguida, o aplicativo avisa essas pessoas, aconselhando-as a fazer quarentena e procurar o sistema de saúde. No início de abril de 2020, a China começou a rastrear seus cidadãos por meio de um aplicativo "detector de proximidade" para telefones móveis o qual estabelece as cores vermelha, amarela e verde aos portadores destes aparelhos7. A Índia lançou, no mês de abril de 2020, o aplicativo Aarogya Setu, que em tradução livre do sânscrito, pode ser aproximado para "uma ponte para saúde", para monitorar possíveis contatos com pessoas infectadas pelo novo coronavírus, tornando-se obrigatório o uso deste aplicativo em determinadas cidades8. No Japão, o COCOA, um acrônimo de Covid-19 Contact-Confirming Application, é um aplicativo desenvolvido pela Microsoft sobre uma infraestrutura de software, criada por um consórcio entre Google e Apple, denominado Privacy-Preserving Contact Tracing9, que criaram um aplicativo especialmente para essa finalidade de rastreamento de doenças. Na Alemanha, o Corona-Warn-App (CWA) foi totalmente desenvolvido usando o DP-3T, Decentralized Privacy-Preserving Proximity Tracing, que é um protocolo aberto, criado especialmente em resposta à pandemia da Covid-19 para facilitar o rastreamento do contato digital entre infectados. Este aplicativo adota técnicas de anonimização, além de vedar o compartilhamento das informações, estando adequado ao Regulamento Geral Europeu sobre Proteção de Dados10. Este sistema inspirou o aplicativo Stopp-Corona na Suíça, porém ele é mais restrito na medida em que inviabiliza o compartilhamento de informações via códigos QR de laboratórios. Na França, o aplicativo StopCovid foi desenvolvido pelo INRIA, Institut National de Recherche en Sciences et Technologies du Numérique, muito parecido com o aplicativo suíço, a única diferença é que a França preferiu adotar um modelo centralizado, ou seja, o Governo francês fica com todas as informações a fim de estabelecer políticas públicas e estratégias de contágio da doença, bem como servir como fonte de pesquisa na área da saúde11.

Neste contexto pandêmico, o Brasil foi um dos piores países quanto aos resultados do enfrentamento da pandemia do novo coronavírus, ficando atrás dos Estados Unidos e da Índia, tendo 4.969.141 casos confirmados e 147.494 mortes segundo a Organização Mundial de Saúde12. Quanto à proteção de dados pessoais, o país também não pode ser tido como exemplo. Tal constatação pode ser feita a partir do Sistema de Informações e Monitoramento Inteligente (SIMI) do Governo do Estado de São Paulo, instituído por meio do Decreto Estadual nº 64.963, de 5 de maio de 2020, como a “ferramenta de consolidação de dados e informações coligidos por órgãos e entidades da Administração Pública estadual”. Tema já analisado na segunda Coluna Migalhas de Proteção de Dados13 por Cristina Godoy Bernardo de Oliveira e Isadora Maria Roseiro Ruiz.

O SIMI usado pelo Governo do Estado de São Paulo utilizava informações compartilhadas pelas empresas de telefonia móvel para medir o deslocamento das pessoas, monitorando a taxa de isolamento social. Todavia, a falta de transparência quanto ao processo de anonimização destes dados e quanto à segurança da informação armazenada, bem como a ausência de consentimento do titular de dados ou, ao menos, informar que este tratamento de dados está sendo feito e a inexistência de um Relatório de Impacto à Proteção de Dados conforme o art. XVII do art. 5º da LGPD, colocam em xeque o Sistema de Informações e Monitoramento Inteligente do Estado de São Paulo.

Em nível federal, a Medida Provisória 954, de 17 de abril de 2020, autorizava o compartilhamento de informações como nome, número de telefone e endereço pelas empresas de telefonia móvel e fixa com o IBGE. Todavia, ao analisar esta MP, o Supremo Tribunal Federal (nas Ações Diretas de Inconstitucionalidades n. 6387, 6388, 6389, 6393, 6390) suspendeu a aplicação desta MP, e reconheceu a proteção de dados pessoais como um direito fundamental14.

Nota-se que estas informações relacionadas ao contágio da covid-19 são consideradas dados sensíveis, pois relevam informações sobre a saúde do indivíduo15. Portanto, deve-se observar as regras de tratamento de dados pessoais sensíveis estabelecidas no art. 11 da LGPD, quais sejam: - cumprimento de obrigação legal ou regulatória; - pela administração pública quando necessários à execução de políticas públicas; - para a realização de estudos por órgão de pesquisa (garantida a anonimização sempre que possível); - exercício regular de direito; obrigação legal ou regulatória; - para a proteção da vida ou da incolumidade física do titular ou de terceiro; - para a tutela da saúde; e para a prevenção à fraude e à segurança do titular de dados. Destas, destacam-se a proteção da vida ou da incolumidade física do titular de dados ou de terceiros e a tutela da saúde, alíneas "e" e "f", respectivamente, do art. 11 da LGPD.

Assim, ainda que seja dispensado o consentimento do titular dos dados, pois o tratamento se justifica na tutela da saúde dos titulares de dados e de terceiros, não se pode olvidar dos ditames legais. Portanto, alguns cuidados devem ser tomados notadamente quanto à segurança destas informações e ao compartilhamento de dados entre entes públicos e privados. Assim, todas estas informações devem ser coletadas e armazenadas com muita responsabilidade, apresentando o Relatório de Impacto à Proteção dos Dados Pessoais (art. 38), conceituado no inc. XVII do art. 5º da LGPD como a documentação que contem a descrição dos processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais, apontando as medidas, salvaguardas e mecanismos de mitigação de risco.

Ainda que não seja obrigatória a manifestação do consentimento, se não for esta a base para o tratamento de dados, os agentes de tratamento de dados devem comunicar publicamente tal prática, pois a transparência é um princípio do tratamento de dados (inc. VI do art. 6º da LGPD), bem como o direito à informação previsto no art. 18, inc. I, II, VII e VIII da LGPD.

Em suma, conclui-se que a União Europeia tem enfrentado o uso dessas tecnologias com muita responsabilidade com destaque para a Declaração Conjunta do Conselho Europeu sobre Proteção de Dados no Contexto da COVID-19, de 30/3/202016. As diretrizes na União Europeia quanto à proteção de dados na época da pandemia da covid-19 são:

- tratar os dados minimamente necessários;

- eliminação desses dados após a situação de emergência global decorrente da pandemia;

- precedência do relatório de impacto à proteção de dados;

- adoção de medidas técnicas e organizacionais que asseguram a inviolabilidade destes bancos de dados;

- tecnologias de coleta e tratamento de dados pessoais, como as tecnologias de rastreamento pessoal, somente podem ser utilizadas se se comprovar que os benefícios superam em muito os prejuízos à proteção de dados pessoais.

Parece-nos que tais diretrizes estão de acordo com a LGPD, devendo orientar os aplicativos de rastreamento pessoal, bem como para o compartilhamento de dados pessoais entre entes públicos e privados.

*Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.

**Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no programa de pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP e pós-Doc. pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

__________

1 Disponível aqui, último acesso em 8 de outubro de 2020.

2 Disponível aqui, último acesso em 8 de outubro de 2020.

3 Disponível aqui, último acesso em 8 de outubro de 2020.

4 YONEKI, Eiko. Fluphone study: Virtual disease spread using haggle. In: Proceedings of the 6th ACM Workshop on Challenged Networks. 2011. pp. 65-66.

5 Disponível aqui, último acesso em 8 de outubro de 2020.

6 Disponível aqui, último acesso em 8 de outubro de 2020. Cf., último acesso em 08 de outubro de 2020.

7 ABC News, 14 de abril de 2020. Disponível aqui, último acesso em 8 de outubro de 2020.

8 GARG, Suneela; BHATNAGAR, Nidhi; GANGADHARAN, Navya. A case for participatory disease surveillance of the COVID-19 pandemic in India. In: JMIR Public Health and Surveillance, v. 6, n. 2, p. e18795, 2020.

9 APPLE 2020. Disponível aqui, último acesso em 8 de outubro de 2020.

10 REELFS, Jens Helge; HOHLFELD, Oliver; POESE, Ingmar. Corona-Warn-App: Tracing the Start of the Official COVID-19 Exposure Notification App for Germany. Disponível aqui, último acesso em 8 de outubro de 2020.

11 Cf. CNIL Revision. Disponível aqui, último acesso em 8 de outubro de 2020.

12 Disponível aqui, último acesso em 8 de outubro de 2020.

13 Disponível aqui, último acesso em 8 de outubro de 2020.

14 Cf. STF, último acesso em 8 de outubro de 2020.

15 Cf. PEROLI, Kelvin. O que são dados pessoais sensíveis? Instituto Avançado de Proteção de Dados, Ribeirão Preto, 03 de novembro de 2019. Disponível aqui. Acesso em 7/9/2020.

16 Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe. Disponível aqui, último acesso em 2/8/2020.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.