Opinião

COVID-19: Brasil precisa criar já a Autoridade Nacional de Proteção de Dados

Em 31 de dezembro de 2019 foi reportado o primeiro caso de uma nova doença respiratória aguda causada pelo coronavírus (SARS-CoV-2). Após recomendações, boa parte da população mundial entrou em isolamento social. Com a finalidade de se proteger e de proteger os seus entes queridos, a população sopesou o direito de ir e vir e a necessidade de cuidar da saúde. Agora a população precisará colocar nesta equação também o seu direito à privacidade.

Conforme afirma Yuval Noah Harari, professor israelense de história e autor dos best-sellers “Sapiens: uma breve história da humanidade” e “Homo Deus: uma breve história do amanhã”, em artigo publicado em 20 de março de 2020 no Financial Times, a maioria das pessoas trocaria sua privacidade por melhores cuidados de saúde. O professor Harari menciona que, em breve, as pessoas aceitarão ter seus corpos monitorados 24 horas por dia por meio de sensores biométricos para que doenças sejam detectadas o mais rápido possível, mesmo que grandes empresas ou o governo tenham acesso a essas informações.

Estamos entrando em uma era na qual quem controla os dados detém influência. Portanto, é imprescindível que a sociedade debata o assunto e esteja ciente do que o acesso das empresas e dos governos aos dados pessoais de cidadãos pode acarretar prejuízos, dentre os quais o uso indevido dos dados pessoais dos cidadãos ou até mesmo um vazamento de dados por meio de algum Ministério ou Secretaria. De qualquer forma, talvez seja indicado que o governo aja com diligência para que o tema relacionado à proteção de dados pessoais e à privacidade de seus cidadãos seja tratado com sua devida. Nesse sentido, a aplicação da LGPD e a atuação da ANPD seriam essenciais.

Tudo indica que essa pandemia será passageira e seus efeitos na saúde perdurarão por tempo indeterminado. Nesse sentido, como podemos equacionar a necessidade de serviços de saúde, a troca de informações sobre pacientes e o uso de dados pessoais essenciais neste momento?

Diversos países, incluindo o Brasil, estão utilizando dados pessoais da população para auxiliar na contenção do vírus COVID-19. Entretanto, no Brasil é discutida a utilização de dados pessoais para tal fim, uma vez que a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 deveria entrar em vigor em 16 de agosto de 2020. Mas, no dia 3 de abril de 2020, o Senado aprovou a prorrogação do início da vigência da legislação para 1º de janeiro de 2021. O texto ainda depende da aprovação da Câmara dos Deputados e da sanção presidencial.


Ainda nessa linha, no dia 29 de abril de 2020, foi assinada Medida Provisória (MP) pelo presidente Jair Bolsonaro, adiando para o dia 03 de maio de 2021 a entrada em vigor da LGPD. Apesar de ir à mesma linha do PL 1179/20 (citado acima), aprovado pelo Senado e aguardando aprovação da Câmara dos Deputados, da dar mais tempo para a adequação das empresas para entrar em compliance com a LGPD, discute-se a confusão das tramitações e as suas formalidades.

Sendo assim, conforme denota-se a LGPD ainda tem pontos pendentes de regulamentação e resta a questão fundamental da criação da Autoridade Nacional de Proteção de Dados (ANPD), e do início do seu papel regulamentador e sancionador. Desta maneira, independente da data da entrada em vigor da LGPD, atualmente as empresas que tratam dados pessoais estarão suscetíveis a infringir direitos e limites previstos na legislação. Exemplo: parceria de público-privada de uso dos dados, como IBGE e telefonias.

No Brasil, prefeituras e Estados já firmaram parcerias com empresas privadas para acessar a localização de pessoas infectadas pelo vírus, como é o caso do Estado de Pernambuco. De acordo com notícia publicada, em 3 de abril de 2020, pelo jornal El País, a Prefeitura de Recife e 11 Estados firmaram parceria com a empresa In Loco, que disponibilizará dados de geolocalização sobre mais de 60 milhões de cidadãos para redirecionamento de mensagens de celular como parte do combate à pandemia do coronavírus.

No site da In Loco, foi possível detectar que a empresa se preocupa com a privacidade dos usuários. Segundo a sua Política de Privacidade, são coletados dados como geolocalização, clicks em sites, identificador (para contar usuários únicos), informações sobre o dispositivo e dados do próprio aplicativo, como idade (para bloquear o tratamento de dados de menores de 18 anos) e a identificação de quando o aplicativo está aberto.

Entretanto, a In Loco tem pontos de melhora relacionado a temas como no Art. 43, §6º do Código de Defesa do Consumidor (CDC): sua Política de Privacidade está apenas em inglês. O CDC afirma que todas as informações sobre dados pessoais devem estar disponibilizadas em formatos acessíveis.

Ainda, em notícia publicada em 20 de fevereiro de 2020 pelo Mobile Time, é afirmado que a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios arquivou um inquérito de 2018 que investigava a In Loco por causa da obtenção de dados pessoais de 60 milhões de celulares brasileiros.

Outro caso envolveu a empresa TIM Brasil. Notícia publicada, em 23 de março de 2020, pela Tele.Síntese, apontou que a TIM Brasil, em parceria com a prefeitura da cidade do Rio de Janeiro, fornecerá dados de deslocamento para que os órgãos públicos sejam mais rápidos e eficazes nas tomadas de decisões. A TIM afirmou que as informações coletadas são anônimas e respeitam os critérios de confidencialidade e segurança dos dados pessoais.

De certo, não é o objetivo da LGPD impossibilitar o tratamento de dados pessoais, ainda mais em um momento de crise no qual estamos vivendo. Entretanto, há um risco sobre a procedência que a atual situação pode causar.

No mundo, temos o exemplo da Coréia do Sul, país tido como referência no combate à doença. O Ministério da Justiça e Segurança Pública desenvolveu um aplicativo, chamado Self-Quarantine Safety Protection, que permite ao governo ter acesso aos dados de geolocalização de pessoas infectadas, monitorando seus movimentos e entrando em contato caso a pessoa deixe sua residência, de acordo com informações publicadas pelo MIT Technology Review, em 6 de março de 2020. Outro aplicativo é o Corona100M, que acessa os dados do Korea Centers for Disease Control & Prevention. É informado o local onde pessoas infectadas pelo vírus estiveram. Caso um usuário do aplicativo tenha passado por este mesmo lugar, é encaminhado a um ponto de “drive thru” para realização de testes, de acordo com notícia da CNN Brasil, em 14 de março de 2020.

Já a China foi além. Artigo publicado pelo jornal El País, em 9 de março de 2020, afirma que por meio do famoso aplicativo Alipay, do grupo Alibaba, a China possui acesso não só à geolocalização das pessoas infectadas, mas também aos seus contatos. Além disso, realiza o cruzamento com dados de evolução e contaminação e fluxos aéreos e rodoviários do país. O resultado é a apresentação de um QR Code com 3 cores indicando o risco de cada pessoa possuir o vírus. As pessoas que possuem a cor verde podem circular livremente pelo país. As que possuem amarelo devem ficar em quarentena por uma semana, pois tiveram contato com pessoas infectadas. E quem possui o código vermelho deverá ficar em quarentena por pelo menos duas semanas.

Enquanto isso, autoridades nacionais de todo o mundo debatem o tema relacionado à proteção de dados e como equilibrar o uso de dados pessoais durante a atual pandemia em que vivemos. É o caso da ICO, autoridade britânica, que informa que se o dado compartilhado não for relacionado ou relacionável a uma pessoa natural, as leis de privacidade não serão aplicáveis, de acordo com publicação de 28 de março de 2020. Por outro lado, se as informações forem pessoais, a autoridade de proteção de dados não impedirá o seu compartilhamento, desde que sejam seguidas algumas orientações, como:

(i) ser claro com os seus usuários sobre como as empresas estão tratando dados pessoais;
(ii) compartilhar informações quando necessário;
(iii) seguir a legislação sobre a coleta de consentimento e expectativa do usuário sobre sua privacidade;
(iv) manter os dados em ambiente seguro;
(v) tratar apenas as informações necessárias ao tratamento contra o COVID-19, e, por fim;
(vi) manter uma cópia das decisões envolvidas neste período, como notas e as razões pelas quais tais atitudes foram necessárias, de acordo com pronunciamento oficial de Ian Hulme, diretor regulatório da autoridade britânica.

Por outro lado, a autoridade da Califórnia, nos Estados Unidos da América, não autorizou a postergação da entrada em vigor da California Consumer Privacy Act (CCPA), que deverá começar a ser cumprida em 1º de julho de 2020. Uma coalizão de empresas americanas enviou uma carta solicitando a postergação do prazo. Entretanto, o advogado geral da Califórnia, Xavier Becerra, não autorizou tal medida. Becerra ainda informou que a legislação está em vigor desde 1º de janeiro de 2020, e que está comprometido em fazê-la ser cumprida a partir de 1º de julho. Ainda, incentivou as empresas a estarem atentas à segurança dos dados pessoais neste momento de emergência.

No século passado ocorreram vários exemplos relacionados soluções temporárias e, quando se obtém êxito com tais soluções, estas acabam se transformando em ações permanentes, tais como: “Crash” de 1929 que fez com que diversos países adotassem medidas regulatórias e intervencionistas no mercado e as atrocidades cometidas na 2ª Guerra Mundial, que culminaram na criação da ONU (Organização das Nações Unidas) e levou os países a adotarem medidas pacíficas para soluções de conflitos. Ainda, os atentados terroristas ocorridos no dia 11 de setembro de 2001 incentivaram a criação de diversas leis que comprometem a privacidade de cidadãos americanos, e que ainda estão em vigor, como a USA Patriot Act.

Neste sentido, caso o tratamento dos dados, realizado de forma irrestrita, sem a imposição de limites e sem a indicação de diretrizes traga resultados positivos no combate à pandemia, poderá acarretar a danos aos usuários de proteção de dados, como a exposição desenfreada de seus dados ocasionando uma falha na proteção da saúde baseado no uso de seus dados pessoais e violando a sua privacidade.

O tratamento de dados pessoais sem regulação e fiscalização também poderá trazer prejuízos em relação ao que as empresas estão coletando e compartilhando neste momento, pois não há garantia de que essas empresas não estão se aproveitando do momento de crise para obter um grande fluxo de dados e informações.

Um cenário proposto seria a criação e atuação da ANPD (Autoridade Nacional de Proteção de Dados), neste momento, informando previamente as diretrizes que devem ser seguidas pelos órgãos públicos e por entes privados, fiscalizando a forma de tratamento dos dados pessoais, bem como exigindo medidas de segurança e de proteção dos direitos.

Com a ausência da ANPD, ficam os questionamentos sobre: quem protegerá os direitos dos cidadãos dos possíveis usos abusivos de dados pessoais?

Há alguns candidatos como o Ministério Público Federal, os órgãos de defesa dos direitos do consumidor e a Defensoria Pública da União. Entretanto, a quem o cidadão poderá recorrer, caso haja um incidente de segurança da informação envolvendo os seus dados pessoais? São perguntas até o momento sem resposta, mas estima-se que com a criação da ANPD esses questionamentos sejam solucionados.

* Lucas Paglia
Sócio da P&B Compliance, advogado especialista em gerenciamento, mitigação e mapeamento de risco, pós-graduado em Compliance pela Fundação Getúlio Vargas e certificado pelo Insper e Data Privacy Brasil em Proteção de Dados & Privacidade.

* Mateus C. Bacchini
Advogado especializado em Proteção de Dados Pessoais e Privacidade pela Data Privacy Brasil, especialista da P&B Compliance.

Botão Voltar ao topo