O tratamento de dados pessoais no contexto do coronavírus
terça-feira, 7 de abril de 2020
Atualizado às 08:34
Texto de autoria de Isabella Z. Frajhof
O novo coronavírus (COVID-19) tem nos desafiado individual e coletivamente. As medidas de polícia impostas pelo Estado a liberdades ora oscilam entre meras recomendações e imposições, e vão se moldando e modulando de acordo com a resposta do avanço do vírus. O atropelamento do coronavírus no continente europeu e na Ásia nos permitiu assistir quais foram as soluções mais eficientes na sua contenção e na redução da taxa de contágio. Como tem sido tendência, o Ocidente tem se mantido alerta às inovações tecnológicas vindas dos países asiáticos. E, embora motivado por um trágico evento, ao que parece, continuamos a querer trilhar esse mesmo caminho.
A resposta desses países à pandemia tem apresentado uma fórmula eficiente, em especial, as adotadas pela Coréia do Sul e China. Uma das estratégias para monitorar a evolução do COVID-19 por aqueles países tem sido o uso da tecnologia1 como uma forte aliada do Estado para vigiar seus cidadãos2. O governo de ambos os países desenvolveram aplicativos que deveriam ser obrigatoriamente baixados por seus cidadãos, onde o aplicativo era responsável por notificar o usuário se o mesmo havia entrado em contato com pessoas com suspeita ou que haviam sido contagiadas pelo vírus. O objetivo era identificar essas pessoas e se certificar que elas se mantinham em isolamento social.
Assim, enquanto procuramos as respostas das políticas adotadas no Oriente para conter os avanços do COVID-19, a fórmula escolhida por aqueles países - controle social e monitoramento individual - levanta um sinal amarelo sobre alguns valores que são caros por aqui: a proteção da privacidade e dos dados pessoais. Apesar dessas questões parecerem pouco relevantes no atual cenário, em que nos encontramos com um quadro de recessão econômica global já em curso3, a iminência do esgarçamento da saúde pública e a diminuição ou até mesmo a interrupção da entrada de renda de parte da população, garantir a proteção desses direitos neste cenário é uma forma de assegurar a manutenção da nossa própria liberdade.
Nesse sentido, Danilo Doneda recentemente apontou para a importância das legislações de proteção de dados pessoais neste momento. Primeiro porque os dados pessoais são insumos para o estudo e elaboração de políticas públicas que vão ser executadas para conter e controlar o coronavírus4. Segundo, o marco normativo traz maior segurança jurídica aos agentes de tratamento que fazem uso de dados pessoais nesse momento emergencial, ao mesmo tempo que assegura proteção às pessoas que têm seus dados pessoais tratados.
Trazendo o debate sobre o monitoramento do Estado no cenário do COVID-19 para o contexto brasileiro, recentemente, foi noticiado que a companhia de telefonia TIM, em parceria com Prefeitura do Rio de Janeiro, irá fornecer os dados de geolocalização de seus usuários para que o Município possa monitorar o deslocamento de pessoas e avaliar a efetividade das políticas públicas de reclusão social5. Apesar desse tipo de monitoramento não ser tão ofensivo e granular quanto o adotado nos países asiáticos (por lá são coletados dados sensíveis de saúde), ele é um alerta, e pode se constituir como uma ameaça a direitos fundamentais.
Assim, embora a Lei Geral de Proteção de Dados Pessoais brasileira (lei 13.709/2018 - LGPD) ainda não esteja em vigor6, um exercício interessante é avaliar, à luz daquela normativa, qual seria a legitimidade do tratamento de dados pessoais nestes casos de monitoramento realizado pelo Estado. O tema, debatido recentemente por Caitlin Mulholland, instiga alguns cenários7.
O artigo 7o da LGPD elenca dez bases legais que autorizam a realização do tratamento de dados pessoais de maneira legítima, onde esta pode ocorrer com o consentimento do titular de dados (inciso I) ou sem o seu consentimento, desde que a situação se enquadre em uma das hipóteses listadas pelos incisos. Assim, o inciso III do referido artigo admite que o tratamento de dados pessoais possa ocorrer sem o fornecimento do consentimento do titular de dados, quando o mesmo for realizado "pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres". Neste caso, o tratamento de dados está condicionado ao seu compartilhamento, seja com um ente público ou privado, bem como à existência de normas ou outros instrumentos que regulem a execução de política pública. Como inexiste um marco normativo sobre o assunto, cabe investigar se o eventual compartilhamento de dados estaria fundado em algum contrato, convênio ou instrumento congêneres para averiguar a adequação deste tratamento.
Além desta hipótese, o uso de dados pessoais para realizar o monitoramento dos cidadãos poderia estar justificado pela hipótese prevista no inciso VII, do artigo 7o. Neste caso, o uso de informações pessoais pode ocorrer sem o consentimento do titular "para a proteção da vida ou da incolumidade física do titular ou de terceiro". No atual contexto do coronavírus, a medida adotada na maior parte dos países para conter a pandemia é o isolamento social dos seus cidadãos, restringindo ao máximo a circulação de pessoas nas cidades para evitar maior contágio do vírus. O uso dos dados pessoais para monitorar o fluxo dos cidadãos e evitar a propagação do vírus de fato atenderia a este interesse de proteger a integridade psicofísica do titular e de terceiros.
Qualquer que seja a base legal que justifique o tratamento de dados pessoais, devem ser observados os princípios que regem essa atividade, listados no artigo 6o da LGPD. É nesse sentido que o Comitê Europeu de Proteção de Dados (EPDB, em inglês) se manifestou. O Comitê destacou, em especial, que o uso de dados de geolocalização pelo Estado deve observar o princípio da proporcionalidade, sendo priorizada a aplicação da técnica de anonimização desses dados8.
Assim, no atual contexto do uso de dados pessoais para realizar a vigilância e controle dos titulares de dados, ganham especial relevância os princípios da: finalidade, adequação, necessidade, transparência e não discriminação. Isto implicará em informar aos cidadãos de que seus dados pessoais (por exemplo, no caso carioca, dados de geolocalização) estão sendo utilizados e compartilhados com o Estado para fins de controle e monitoramento (para a localização, ou, no caso da China e Coréia do Sul, acompanhamento da saúde), devendo ser coletados estritamente os dados necessários para atender à política pública pretendida e utilizados tão e somente para este fim, sendo vedado o tratamento ilícito ou abusivo. É importante ressaltar que a LGPD impõe que o tratamento de dados se encerre quando verificada que a sua finalidade foi alcançada (art. 15, inciso I), implicando na eliminação dos dados pessoais utilizados (artigo 16). Ou seja, com o fim do atual estado de emergência e calamidade pública, deverá cessar o uso e compartilhamento dos dados pessoais utilizados para fins de monitoramento, com a sua consequente exclusão.
Uma tese que poderia ser ventilada para afastar a aplicação da LGPD em tempos de coronvírus, como destacado por Caitlin Mulholland9, seria sustentar a aplicação do artigo 4o e seus incisos. No entanto, tendo em vista que o tratamento nesta situação vai depender de eventual regulamentação por lei específica (4o, inciso III, § 1o), justificar a não aplicação da LGPD no atual cenário colocaria em xeque a legitimidade e licitude da atividade.
No mais, apesar de parecer existir uma dicotomia entre o direito à privacidade e proteção de dados pessoais, e à segurança pública, a equação dos mesmos é possível. Este é, inclusive, um dos princípios do privacy by design, criados por Ann Cavoukian10, que prega a necessidade de identificar e alocar todos os interesses envolvidos em uma dada situação de conflito. A ideia é que seja apresentada uma solução ganha-ganha, em que não deve ser necessário escolher entre a segurança e a privacidade, mas adotar uma posição que observe, ao máximo, ambos os interesses. E isto é possível, como demonstrado acima. A LGPD não cria empecilhos para o tratamento de dados pessoais no atual contexto do coronavírus, ao contrário: a norma prevê fundamentos para que esta atividade possa ocorrer, ao mesmo tempo que impõe proteções que resguardam os titulares de dados.
Desta forma, mesmo que a LGPD ainda não esteja em vigor, e por isso careça de eficácia, como ressaltou Doneda, o fato de já haver reconhecimento social de seus princípios e regras, e existirem previsões semelhantes em outras normas vigentes (como no Código de Defesa do Consumidor e na Constituição Federal), recomenda-se que a proteção de dados e a LGPD devam ser sim levadas em consideração no atual cenário.
*Isabella Z. Frajhof é doutoranda e mestre em Teoria do Estado e Direito Constitucional do programa de pós-graduação em Direito na PUC-Rio. É professora dos cursos de extensão na PUC-Rio, e pesquisadora do Legalite PUC-Rio.
__________
1 Apesar de já ter sido apontado que o diferencial na Coréia do Sul para conter o contágio tenha sido o grande número de testes realizados, também foi bastante ressaltado o uso de um aplicativo que controlava e monitorava seus cidadãos.
2 Disponível aqui. Acessado em 26/3/2020.
3 Conforme noticiado pela Reuters em 19/3/2020: "The global economy is already in a recession as the hit to economic activity from the coronavirus pandemic has become more widespread (.)" Disponível em aqui . Acessado em 21.03.2020.
4 DONEDA, Danilo. A proteção de dados pessoais em tempos de coronavírus. Revista Jota, 25 de março de 2020. Disponível em: . Acessado em 26.03.2020.
5 Notícia disponível aqui. Acessado em 26/3/2020.
6 Em outubro de 2010 foi apresentado pelo deputado Carlos Bezerra (MDB/MT), o projeto de lei nº 5.762/2019 ("PL 5.762") que propõe prorrogar a entrada em vigor da LGPD para 15 de agosto de 2022.
7 Informações obtidas na aula online sobe "COVID-19, Privacidade e Proteção de Dados", na Escola Superior de Advocacia, no dia 23.03.2020.
8 Disponível aqui. Acessado em 26/3/2020.
9 Informação obtida na aula online sobe "COVID-19, Privacidade e Proteção de Dados", na Escola Superior de Advocacia, no dia 23/3/2020.
10 Um resumo destes princípios pode ser encontrado no seguinte documento elaborado pela IAPP sobre o tema.