Compartilhar dados para enfrentar a Covid-19 surge como demanda e pode comprometer proteção.
No dia 20 de março foi divulgada a decisão proferida pela 4ª Vara Federal da Seção Judiciária do Distrito Federal, na qual a União restou obrigada a fornecer, em caráter imediato, as informações sobre pacientes que testaram positivo para o Covid-19 no Hospital das Forças Armadas, isso sob pena de multa diária de R$ 50.000,00, além de responsabilização civil, criminal e administrativa do agente público competente.
De acordo com a magistrada, “[…] é notório que a devida identificação dos casos com sorologia positiva para o Covid-19 é fundamental para a definição de políticas públicas para o enfrentamento urgente e inadiável da pandemia, a fim de garantir a preservação do sistema de saúde e o atendimento da população, de modo que não se justifica, sob nenhuma perspectiva, a negativa da União em fornecer essas informações ao Distrito Federal, que tem competência constitucional para coordenar e executar as ações e serviços de vigilância epidemiológica em seu território.”1 Até o momento, contudo, não há notícias de que o hospital teria cumprido com sua obrigação de fazer.
Esse é apenas um efeito prático da onda de mitigação à privacidade e à proteção de dados causada pela pandemia global da Covid-19. Vários dos países que já possuem legislação vigente sobre a proteção de dados, atentos à gravidade e à urgência de se garantir a incolumidade de seus cidadãos, emitiram guias excepcionais para o tratamento de dados em situações de combate ao vírus.
A Global Privacy Assembly2 reuniu as principais diretrizes de autoridades de proteção de dados do mundo, as quais decidiram por facilitar o compartilhamento de dados de forma segura para combater o Covid-19.
O European Data Protection Board3, por exemplo, definiu que caso o tratamento de dados seja necessário, considerando o interesse público relevante na esfera da saúde pública, não há necessidade de se obter o consentimento dos titulares.
Além disso, regulou o uso da localização de dispositivos com intuito de monitorar, conter ou mitigar o alastramento do Covid-19. Entretanto, ressaltou que tais dados devem ser devidamente anonimizados, o que afastaria a incidência da GDPR (General Data Protection Regulation). Caso algum Estado-membro trate dados de localização que não tenham sido anonimizados, este ficará obrigado a garantir segurança adequada, bem como o direito de ação dos titulares desses dados.
O Information Commissioner’s Office, autoridade de proteção de dados do Reino Unido, publicou um guia4 para os controladores de dados, assegurando que dados de determinada organização podem ser repassados para autoridades, se necessário, sem que a legislação proíba tal compartilhamento.
China e Coreia do Sul acompanham o movimento, com políticas de coleta e tratamento bastante amplas, e por vezes polêmicas, mas obtendo resultados sem dúvidas eficazes.
Mas como países citados vêm, na prática, aplicando essas novas diretrizes? Basicamente, apropriando-se do histórico de localização das pessoas comprovadamente infectadas para identificar potenciais doentes e “heat zones”, áreas com grande número de infectados.
Essa tecnologia, chamada de Contact Tracing, funciona, em resumo, da seguinte forma: dispositivos móveis armazenam registros de localização; quando uma pessoa é confirmada para a Covid-19, informações sobre seus movimentos recentes são compartilhadas com agentes de saúde; terceiros cujos dispositivos tenham registrado proximidade recente ao dispositivo da pessoa infectada são notificados sobre o risco de infecção e orientados a se isolar.5
Tradicionalmente, agentes de saúde que identificassem um paciente com resultado positivo para a Covid-19 requisitariam informações sobre suas atividades recentes a fim de localizar as pessoas que podem ter sido contaminadas a fim de colocá-las em quarentena. Sem sombra de dúvidas, analisar os registros de localização armazenados nos dispositivos móveis dos pacientes e cruzá-los com dados de outras fontes tende a ser muito mais eficiente para se determinar quem está em risco.6
Essa medida foi peça chave para a contenção do vírus na Coreia do Sul e na China, países de onde se ouvem boas notícias sobre o combate ao vírus. No entanto, as drásticas medidas adotadas levantaram preocupações.
A Coréia do Sul criou um sistema que, ao detectar uma pessoa contaminada com a Covid-19, a cidade ou o distrito no qual esta pessoa reside pode mandar um alerta para as pessoas que moram na mesma região, inclusive compartilhando informações sobre os locais nos quais o infectado esteve.
Um alerta contendo a idade e gênero do infectado é enviado, inclusive com informações detalhadas dos movimentos dessa pessoa.
Essas informações são coletadas utilizando um circuito fechado que inclui televisão e informações de cartão de crédito, com o objetivo de listar os locais que a pessoa infectada visitou. Em certos distritos, o nível de detalhamento chega ao ponto de dizer em qual cômodo a pessoa estava, bem como se ela foi até o banheiro. Essas informações ficam disponíveis Clicando aqui.
A autoridade coreana de proteção de dados (Personal Information Protection Commission – PIPC) não elaborou diretrizes sobre o uso de dados no contexto da pandemia.7
As consequências dessa coleta massiva por parte das autoridades coreanas foram levadas para Comissão Nacional de Direitos Humanos que as classificou como uma violação aos direitos humanos.8
Ao mesmo tempo, a Coreia do Sul se destaca por conseguir achatar a curva de casos. No fim de fevereiro, o número de casos aumentou exponencialmente, passando de algumas dezenas para milhares de casos9 e no domingo, dia 22 de março registrou apenas 64 novos casos.
Esse excelente resultado é consequência de quatro principais medidas, quais sejam: 1) intervenção rápida, antes de se tornar uma crise; 2) realização massiva de testes; 3) uso de Contact Tracing, isolamento e vigilância e; 4) alistamento de seus cidadãos.
Uma reportagem do The New York Times10 apurou que o aplicativo utilizado pelo governo chinês para conter a pandemia fazia mais do que aferir em tempo real quem oferecesse risco de contágio.
De acordo com o jornal, a análise do código fonte do aplicativo revelou o compartilhamento de informações com as autoridades policiais. Ademais, o app parece não esclarecer como classifica os infectados – código vermelho, amarelo ou verde -, tampouco o faz o governo, o que causa medo e confusão entre os usuários orientados a se isolar sem grandes explicações.
A publicação destaca que o uso do app, atualmente utilizado em 200 cidades chinesas e em franca expansão, está criando um cenário de controle social que pode perdurar para muito além da pandemia.
A despeito das preocupações relativas à proteção de dados, é inquestionável que o Contact Tracing está desempenhando um papel crucial no combate ao Covid-19 e tem se mostrado bastante eficaz na diminuição do contágio entre as pessoas.
Adiantando um cenário em que aplicativos baseados na mesma tecnologia e para o mesmo fim passem a funcionar no Brasil, à luz da Lei Geral de Proteção de dados (lei 13.709/18), ainda em vacatio legis, algumas considerações podem ser traçadas de antemão.
Um tratamento análogo aos que estão em curso em outros países já severamente atingidos pela Covid-19 é autorizado pela LGPD em seu artigo 11, II, ‘e’, quando diz que o tratamento de dados pessoais sensíveis poderá ocorrer sem o consentimento do titular quando indispensável para a proteção da vida ou da incolumidade física do titular ou de terceiros.
Nessa esteira, o tratamento dos dados coletados e compartilhados, ainda que sem o consentimento claro, expresso e inequívoco de seus titulares, deve observar estritamente a finalidade específica para a qual foram coletados, sob pena de graves violações aos princípios que regem a proteção de dados no Brasil.
Há que se observar que a coleta de dados de saúde, sem o consentimento do titular, não retira destes a camada de proteção extra conferida pela lei 13.709/18, mantendo sua natureza sensível e, portanto, demandando cautelas diferenciadas contra incidentes de vazamento, que devem constar de forma detalhada no Relatório de Impacto de Dados Pessoais.
Além disso, devem garantir o atendimento ao princípio do livre acesso dos titulares aos dados coletados, assim como o direito à informação sobre o tratamento e sua duração – que não deve exceder o final da pandemia.
Medidas restritivas de privacidade parecem inevitáveis no atual cenário global. A cada dia que passa ficamos mais próximos da dura realidade que a pandemia do Covid-19 lança sobre os territórios que afeta e que pede não só medidas urgentes dos governantes, mas também determinado grau de desprendimento de seus cidadãos.
A legislação que entrará em vigor carrega princípios e fundamentos para uma correta e ética utilização do Contact Tracing no
Brasil, os quais devem ser observados antes mesmo de sua vigência, evitando, assim, que boas iniciativas se desvirtuem.
- Autos 1015797-18.2020.4.01.3400, 4ª Vara Federal Cível da SJDF.
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
- Clique aqui
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo →