Notícias

25 de Maio de 2020

Artigo – ConJur - A exceção na proteção de dados pessoais durante a Covid-19 - parte 2 - Por Adriana Espíndola Corrêa e Pedro Henrique Machado da Luz

Continua parte 1

Na primeira parte desta coluna, trouxemos alguns exemplos de tratamento de dados pelo poder público brasileiro, como o recadastramento biométrico do TSE e a Lei de Identificação Civil Nacional, para destacar uma prática de pouca aderência aos princípios e medidas voltadas à proteção de dados pessoais.

Em seguida, mencionamos duas medidas governamentais que instaram o Poder Judiciário a dar uma resposta durante a pandemia de Covid-19, uma na esfera federal (MP 954/2020), e outra do governo do Estado de São Paulo (Simi), com diferentes resultados. 

Nesta segunda parte, buscamos traçar as principais diferenças entre as medidas previstas nessas duas iniciativas governamentais, do ponto de vista dos riscos à privacidade e ao direito de proteção de dados pessoais. Além disso, nos debruçamos sobre os fundamentos das decisões judiciais em cotejo com princípios da LGPD.

No caso da MP 954/2020, a violação à privacidade e ao direito à autodeterminação informativa dos cidadãos parece evidente, ante a coleta massiva de dados pessoais individualizados e sensíveis, com uma finalidade excessivamente genérica, sem detalhamento técnico que pudesse inferir uma preocupação dos agentes públicos envolvidos em tutelar a privacidade e liberdade dos afetados, o que permitiu uma decisão assertiva do STF, no sentido de suspender seus efeitos, rapidamente.

A ministra relatora Rosa Weber, que suspendeu liminarmente a MP 954/2020, equaciona a questão em torno da proporcionalidade da medida, ao disponibilizar os dados pessoais dos consumidores das companhias telefônicas para entidade da Administração Pública. E destaca que seu texto não prevê o objeto da estatística a ser produzida, nem a finalidade específica, tampouco sua amplitude.

Também não há previsão do modo de utilização dos dados e a necessidade de sua disponibilização emergencial, e adequação e necessidade para a finalidade prevista para coleta de dados. Como bem nota a Ministra Relatora, o texto da MP 954/2020 não permite sequer saber como esses dados poderiam ser utilizados no combate à pandemia.

Outra preocupação expressa da Ministra diz respeito às medidas concretas, técnicas e administrativas para garantir o sigilo de dados e sua anonimização. Do que concluiu não estar presente interesse público legítimo a justificar tão abrangente coleta de dados.

A decisão apontou a violação de dispositivos constitucionais, tais como o art. 5º, X e XII. Interessante notar que na fundamentação da decisão que a Ministra recorre, ainda que sem fazer referência expressa, a uma série de princípios norteadores dessa matéria Lei Geral de Proteção de Dados, como os da finalidade, segurança, necessidade e adequação, segurança.

Já no que concerne ao Simi, a decisão judicial que manteve seu funcionamento, baseou-se amplamente na manifestação da Procuradoria Geral do Estado de São Paulo que, fundada no Acordo de Cooperação Técnica, informou que os dados tratados pelo SIMI são estatísticos, agregados e anônimos[1], sem identificação dos clientes nem fornecimento desses dados em tempo real, em consonância com o art. 5º, III da LGPD. Isso, somado ao interesse público voltado às medidas de combate à Covid-19, justificou uma decisão judicial que sanciona a continuidade do programa.[2]

Em outra ação que também contestava o Simi[3], o Tribunal de Justiça de São Paulo, por intermédio do desembargador Beretta da Silveira, cassou uma liminar que havia deferido um pedido de não monitoramento de números de celular da parte autora. Em sua argumentação, o julgador constatou, em análise ao Acordo de Cooperação Técnica, o fato de que o tratamento de dados anônimos pelo programa não seria capaz de ofender os direitos à privacidade e intimidade da autora.[4]

Outro argumento em prol do programa é o de que os dados tratados pelo Simi já eram coletados pelas operadoras de telefonia móvel antes da pandemia, servindo para gerenciamento e manutenção da demanda das operadoras.Tratam-se de dados anonimizados, inseridos em uma plataforma de big data gerenciada por uma entidade privada (ABR Telecom), com a finalidade única de elaboração de relatórios estatísticosa.[5]

O Acordo de Cooperação Técnica prevê expressamente a obrigação do ente público em não disponibilizar dados para terceiros sem autorização (cláusula 3.1.1) e a necessidade de comunicação e colaboração na ocorrência de quebras de segurança, a fim se garantir a segurança e integridade dos dados (cláusula 6.1).[6]

De fato, ainda que consideremos os dados disponibilizados ao governo paulista como pessoais, os artigos 11, "c" e 13 da LGPD constituem hipóteses legítimas de tratamento, independente de consentimento, para formulação e execução de políticas públicas e realização de estudos em saúde pública, desde que mantidos em ambiente seguro e controlado. A dispensa da obtenção do consentimento, no entanto, não exonera da observação dos demais princípios da LGPD, dentre os quais o da finalidade, necessidade, adequação e segurança.

Segundo o que está expresso no acordo técnico, o fornecimento de dados "... de mapas de calor" e "da identificação de zonas, onde podem ocorrer maior disseminação do vírus, utilizando-se de matrizes de fluxos de deslocamento de origem e destino", se justifica para o combate à disseminação do coronavírus.

A amplitude e vagueza da finalidade anunciada no acordo certamente não atenderia ao princípio da finalidade no tratamento de dados pessoais (art. 6º, I, LGPD), o que parece ser minimizado, ante a utilização de dados anonimizados, agregados e estatísticos, aliado à emergência da pandemia.

O acordo prevê, ainda, como medida de segurança, que o ente público só terá acesso à plataforma Big Data, em poder da ABR Telecom, que funciona como uma intermediária. Estabelece também o dever de notificação em caso de vazamentos de dados ou de sua disponibilização para demais órgãos governamentais.

É de destacar, no entanto, a ausência de limitação temporal na utilização dos dados, visto que, embora o acordo mencione a impossibilidade de uso para outras finalidades, não há previsão de um termo final para o acordo.

A se considerar os termos do acordo técnico, os dados coletados pelo SIMI podem se afastar da aplicação da LGPD, pois anonimizados[7]. E, se até mesmo dados pessoais podem ser coletados e tratados para a finalidade que descreve o artigo, os dados anônimos também o podem, e com maior discricionaridade pelo Poder Público (artigo 12 da LGPD).

No entanto, a falibilidade técnica dos processos de anonimização,e sua potencial reversibilidade, é elemento que deve ser considerado na avaliação dessas políticas públicas.[8] Vale lembrar que embora esses dados cheguem anonimizados ao ente público, eles, em tese, podem remeter a usuários identificáveis, com base nas informações já detidas pelas prestadoras de serviços de telecomunicações.

 Não há no Brasil, atualmente, uma regulação específica para o tratamento de dados anônimos.Entretanto, ainda assim é possível inferir de leis esparsas deveres e padrões de conduta exigíveis de controladores e gestores que não foram cuidadosamente observados pelo programa.

Dentre os quais, destaca-se o dever de transparência, pois não há nos sítios eletrônicos utilizados pelo Governo de São Paulo para divulgar suas medidas quaisquer informações técnicas sobre o programa, mas tão somente descrições gerais sobre seus objetivos.[9]A ausência de informação adequada e acessível sobre o programa pode gerar, como de fato causou, confusões e incertezas acerca de seu alcance, suas finalidades e especificações técnicas.[10]      

O déficit de transparência caminha na contramão do disposto no art. 37 da Constituição Federal de 1988; arts. 3º, IV e art. 5º, caput da Lei de Acesso à Informação (Lei nº 12.527/2011), art. 7º, III, do Marco Civil da Internet e art. 42 do Regulamento Sanitário Internacional (Decreto nº 10.212/2020).Note-se que as dúvidas, e mesmos os temores, quanto aos riscos envolvidos em fornecimento de dados de geolocalização de celulares, que se consubstanciaram em diversas ações judiciais, não eram completamente infundados, visto que maiores detalhes sobre o programa só foram fornecidos em sede judicial.[11]

Neste momento de emergência de saúde pública, o Poder Público intensifica ações de coleta e tratamento de dados de milhões de pessoas. Em nossas colunas, analisamos duas medidas estatais, que foram objeto de decisão judicial sobre sua legitimidade. De um lado, a MP 954/2020 previu a coleta de dados pessoais, com fins vagos e de modo desproporcional, o que levou ao STF suspender seus efeitos, liminarmente, com decisão confirmada em julgamento recente.[12] O programa Simi-SP, por sua vez, parece estar mais próximo dos padrões normativos de proteção de dados pessoais e da privacidade, embora necessitasse garantir maior transparência e medidas de controle social.

Sem desprezar a excepcionalidade do momento presente, quisemos destacar que a coleta massiva de dados pessoais no Brasil pelo Estado não é novidade inaugurada pelo atual estado de emergência. A avidez estatal pela coleta e tratamento de dados é, no entanto, potencializada em tempos de crise como o que vivemos.

As decisões judiciais analisadas mostram que é possível encontrar alguns parâmetros na LGPD para a proteção de direitos fundamentais e a garantia do necessário controle social.

Não é possível, contudo, descurar da complexidade dos riscos engendrados pelo acúmulo de dados e informações, pessoais e anônimos, que encontram uma série de flexibilizações e alcançam maior aceitabilidade social num momento de emergência de saúde global. O que será feito desses dados, quais seus potenciais usos políticos e mercadológicos é questão ainda em aberto.

A regulação dos dados pessoais, com vista na proteção da autonomia, da privacidade e das liberdades democráticas, não pode ignorar esses enormes desafios. Não se trata de afastar a importância fundamental das medidas de saúde pública e sanitárias, de confinamento e isolamento. Do mesmo modo, não se ignora a relevância do tratamento de dados no combate à pandemia.

Muitas dessas estratégias políticas não são inovações trazidas por um momento excepcional, mas estão sendo adotadas pelo Poder Público há pelo menos uma década.Trata-se de se lembrar das intrincadas, complicadas e potencialmente perigosas relações entre público e privado nessa matéria. E, finalmente, de destacar que esse cenário constitui um ambiente favorável ao afrouxamento crescente e permanente dos limites.

Assine nossa newsletter