Por Bruno Bioni e Rafael Zanatta*
Desde o lançamento do relatório “Privacidade e Pandemia: recomendações para o uso legítimo de dados no combate à Covid-19” no dia 15 de abril pelo Data Privacy Brasil, temos insistido que a questão central hoje não é mais se devemos ou não usar dados (pessoais) para o enfrentamento do maior desafio sanitário do nosso tempo. A questão é fundamentalmente sobre como.
A experiência de judicialização da Medida Provisória que buscava repassar dados de telecomunicações para o Instituto Brasileiro de Geografia e Estatística (IBGE) deixa claro como isso pode ser problemático.
Não obstante a boa vontade da iniciativa, a realização da Pesquisa Nacional por Amostra de Domicílios (Pnad Contínua) de modo não presencial, e o respaldo científico do IBGE na condução de pesquisas estatísticas, a falta de cuidados com a delimitação de finalidades específicas e com a demonstração de necessidade de uso dos dados compartilhados (toda a base de nomes, celulares e endereços) gerou uma situação insustentável no plano jurídico.
Não é sem razão que a Ministra Rosa Weber, do Supremo Tribunal Federal, suspendeu os efeitos da Medida Provisória na Ação Direta de Inconstitucionalidade movida pelo Conselho Superior da Ordem dos Advogados do Brasil. Como disse Laura Schertel Mendes, os riscos eram muitos e a proposta contrariava o próprio Regulamento Sanitário Internacional – norma incorporada ao ordenamento jurídico pelo Decreto 10.212/2020, assinado pelos ex-ministros Mandetta e Moro -, que exige medidas proporcionais e compatíveis com a avaliação e manejo de riscos à saúde pública.
A judicialização não se limita à polêmica do IBGE, no entanto. Ela atinge diversos projetos de cooperação para uso de dados no combate à Covid-19 e mostra o quão volátil e inflamada é a discussão.
Conforme notado em nosso informe semanal “Os dados o vírus”, São Paulo tem servido de palco para diversas discussões jurídicas em torno do Sistema de Monitoramento Inteligente (SIMI) anunciado pelo governador João Doria. Há diversas Ações Populares que questionam “ausência de consentimento para rastreamento” e criticam a falta de transparência da parceria do governo com as empresas de telefonia móvel. A discussão parou até no Superior Tribunal de Justiça (STJ), em razão de um Habeas Corpus coletivo impetrado contra o governador.
Em decisão da Ministra Laurita Vaz de 16 de abril, argumentou-se no STJ que não há como inferir que os dados de georreferenciamento poderiam orientar escolhas políticas do governador, “que teria plena legitimidade para adotar medidas de isolamento social”, de acordo com ADPF 672/DF, julgada em 14/04 sob relatoria do Ministro Alexandre de Moraes do STF.
A Ministra Vaz entendeu que “ainda que sejam relevantes as questões relativas ao direito de privacidade que podem ser levantadas em razão do compartilhamento de informações pelas empresas a partir da localização de aparelhos de telefonia celular”, aquela não seria a via eleita para que essas questões pudessem ser debatidas. Como o governo alega que os dados são agregados e anonimizados — em uma análise de estilo cartográfica (mapas de calor) –, o Habeas Corpus coletivo seria incabível, por não ter sido demonstrada a possibilidade de identificação dos atingidos. Não bastaria alegar a mera possibilidade, mas sim demonstrar a violação de direito.
Essa situação conflituosa sobre os usos dos dados tende a se agravar enquanto governadores e ministros de estado não adotarem princípios claros antes, durante e após o uso de dados para combate à Covid.
Independentemente da vigência da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) — postergada para maio de 2021 por meio de Medida Provisória precariamente fundamentada –, o Regulamento Sanitário Internacional (Decreto 10.212/2020) e a Lei da Quarentena (Lei 13.979/2020) já trazem regras sobre proteção de dados aplicáveis às medidas tomadas no contexto do combate à pandemia. O artigo 45 do RSI demanda, por sua vez, uma interpretação da consistência dos princípios previstos na LGPD.
Desse manancial jurídico, entendemos que há cinco passos fundamentais para o gestor público que precisa tomar uma decisão sobre um projeto de análise cartográfica, construção de índices de isolamento social e contact tracing. Esses passos podem ser vistos como auxiliares para interpretação do art. 6º da Lei 13.979/2020, que prevê o compartilhamento de “dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação”, incluindo a possibilidade de solicitação de compartilhamento às empresas por autoridade sanitária.
Os passos são os seguintes. Primeiro, avaliar a necessidade de elaboração de política de saúde centrada em dados. A ideia do uso de dados faz sentido enquanto política de saúde ou serve para outras políticas, como de segurança pública? Segundo, definir finalidade e necessidade bem delimitadas. É possível ir além de “usarei os dados para combater a Covid” e detalhar de forma clara por que esses dados precisam ser usados?. Terceiro, definir o ciclo de vida do dado e o descarte. Os dados serão deletados imediatamente após o uso? Há clareza sobre início, meio e fim? Quarto, definir salvaguardas específicas, como a proibição do uso dos dados tratados em conjunto para finalidades lucrativas e discriminação abusiva, bem como a garantia de que as técnicas de anonimização são explicadas. Quinto, garantir transparência e ampla documentação. Todos podem ler informações sobre o convênio ou parceria com setor privado, incluindo o instrumento contratual desenhado para colaboração?
Partindo desses passos, elaboramos um roteiro de perguntas que qualquer agente decisório pode seguir para tomada de decisão com relação ao uso de dados no combate à Covid-19. Se internalizados e bem implementados, aumenta-se a probabilidade de eficiência dessas medidas de contenção à pandemia da Covid, em respeito aos direitos fundamentais.
É preciso entender que proteção de dados não rivaliza com tal propósito, mas sim permite que o Estado seja eficiente no combate à epidemia. Na prática, o atendimento desses princípios tende a diminuir o risco jurídico do empreendimento público de uso de dados.
Não há “trade-off” entre proteção de dados e políticas bem executadas de saúde pública. Os princípios de proteção de dados previstos no Regulamento Sanitário Internacional, explorados em nosso Relatório em conjunto com o direito brasileiro, são ferramentas auxiliares aos gestores públicos.
* RAFAEL ZANATTA é Coordenador de Pesquisas do Data Privacy Brasil e BRUNO R. BIONI é Doutorando em Direito Comercial e Mestre em Direito Civil pela Faculdade de Direito da USP. Trainee do European Data Protection Board e do Departamento de Proteção de Dados do Conselho da Europa. Fundador-professor do Data Privacy Brasil e consultor na área de direito e tecnologia com ênfase em proteção de dados pessoais.
**Este artigo foi originalmente publicado no portal Jota.info, e pode ser acessado em: https://www.jota.info/opiniao-e-analise/artigos/protecao-de-dados-faz-parte-da-vacina-contra-covid-19-04052020
Série Lavits_Covid19
A Lavits_Covid19: Pandemia, tecnologia e capitalismo de vigilância é um exercício de reflexão sobre as respostas tecnológicas, sociais e políticas que vêm sendo dadas à pandemia do novo coronavírus, com especial atenção aos processos de controle e vigilância. Tais respostas levantam problemas que se furtam a saídas simples. A série nos convoca a reinventar ideias, corpos e conexões em tempos de pandemia.