Artigos

Covid-19, Contact Tracing e Privacidade

Data: 09/04/2020 Autor: Henrique Somadossi Prado


A pandemia global da Covid-19, além de ter transformado o mundo que conhecemos em um curto período de tempo, vem causado uma onda de mitigação à privacidade e a proteção de dados, com consequências ainda imprevisíveis para os cidadãos.

A utilização de ferramentas que possibilitam uma comunicação ágil das autoridades públicas com a população, não só para o  envio de alertas e informações educativas, e controle de aglomerações, como também para permitir que especialistas, órgãos de pesquisas e epidemiologistas possam entender o fluxo de deslocamento de pessoas, visitas a estabelecimentos e locais públicos, percentagem de pessoas em quarentena e monitoramento da efetividade de medidas como o isolamento social, por exemplo, assumem um papel relevante contra a disseminação do coronavírus.

O emprego de tecnologias atreladas a geolocalização embarcada em smartphones ganhou grande repercussão nos últimos dias, pois estão sendo utilizadas por países do mundo todo para assegurar a proteção das pessoas e evitar a propagação do vírus.

Na prática, esta tecnologia, chamada de contact tracing, funciona a partir da coleta de dados de registros de localização armazenados em nossos dispositivos móveis (celulares). Estes dados são gerados, normalmente, pelas diversas aplicações de internet (apps) que instalamos em nossos smartphones, tais como redes sociais, aplicativos de entrega de comida e de mobilidade urbana, e com mais intensidade, atualmente, através dos registros coletados pelas operadoras de telecomunicações.  

Dessa forma, quando o indivíduo é diagnosticado com a Covid-19, informações de deslocamentos são compartilhados com as autoridades sanitárias e de saúde, que por sua vez emitem notificações às pessoas, cujos smartphones tenham registrado proximidade com o infectado, informando sobre o risco de contágio e orientando a adoção de medida de isolamento.

O cruzamento de dados por meio do uso desta tecnologia pelos países tem se mostrado eficiente, pois substitui o procedimento usual dos agentes de saúde que solicitavam informações da pessoa contaminada a respeito de suas atividades recentes, visando a localização de possíveis infectados e consequente indicação de quarentena.

A Coréia do Sul criou um mapa público, a partir do rastreamento dos dispositivos móveis de pessoas contaminadas, disponibilizando, além dos dados de telefones celulares, registros de cartão de crédito e até mesmo entrevistas pessoais com pacientes. 

A autoridade sanitária coreana envia um alerta contendo idade e gênero do indivíduo infectado, inclusive com detalhamento das agendas diárias, até o minuto, e detalhes de sua residência e empregador - geralmente tornando-os identificáveis individualmente - chegando ao ponto de informar em que cômodo da casa a pessoa esteve.

Essa coleta massiva de dados praticada pelo governo sul coreano foi denunciado à Comissão Nacional de Direitos Humanos, que os classifico-a como “violação aos direitos humanos” (1)

A adoção do contact tracing, no entanto, permitiu governo sul coreano achatar consideravelmente a curva de casos de coronavírus. (2)

O governo chinês desenvolveu um aplicativo de rastreamento de infectados, porém, não existe clareza no sistema de classificação dos contaminados, bem como não se sabe ao certo ainda se está havendo somente a coleta de dados de geolocalização. 

Recentemente foi divulgada notícia de que poderia estar ocorrendo o compartilhamento dos dados coletados com as autoridades policiais, revelando um cenário obscuro de controle social. (3)

Taiwan está utilizando a tecnologia denominada geofencing, que estabelece uma espécie de “cerca” invisível ao redor de casas das pessoas que deveriam estar em quarentena para garantir que elas não saiam de casa.

Na Áustria, a Telekom Austria AG passou a compartilhar dados de localização anonimizados com o governo (4) , causando muita preocupação pela possibilidade da companhia de telecomunicação reidentificar seus usuários e fornecer ao governo a capacidade de rastrear a movimentação dos seus cidadãos no futuro.

No Brasil, foi noticiado no último dia 27 de março que os governos de SP e do RJ, também firmaram acordos com operadoras de Telecomunicações com a finalidade de compartilhamento de dados para combate do coronavírus. Segundo o SindiTelebrasil (Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel Celular e Pessoal), os dados relativos a quase 220 milhões de aparelhos celulares serão repassados de modo agregado, estatístico e anonimizado. (5)

O objetivo, segundo o SindiTelebrasil, é monitorar a mobilidade populacional, deslocamentos, pontos de aglomeração, situações de concentração de pessoas, risco de contaminação pelo novo coronavírus.

Os dados coletados até o presente momento, revelam que até mais da metade da população monitorada estava cumprindo a recomendação de isolamento social . (6)

Este cenário de mitigação da privacidade e à proteção de dados em decorrência da pandemia do Covid-19 que atinge o mundo, gerou preocupação de vários países que já possuem legislação em vigor sobre proteção de dados, que atentos a situação de urgência de se garantir a incolumidade pública, passaram a emitir diretrizes voltadas ao tratamento de dados neste ambiente de crise do coronavírus.

A Global Privacy Assembly (GPA), o principal fórum global de proteção de dados e autoridades de privacidade há mais de quatro décadas, compilou as principais diretrizes de compartilhamento de dados de forma segura neste ambiente de pandemia, emitidas pelas autoridades de proteção de dados ao redor do mundo. (7)

Na Europa, o European Data Protection Board definiu não haver necessidade de se obter o consentimento do titular, caso o tratamento de dados seja necessário visando o interesse público relevante na esfera da saúde pública, além de regulamentar o uso de localização de dispositivos com intuito de monitorar, conter ou mitigar a proliferação do coronavírus.

Todavia, determinou a devida anonimização dos dados coletados, afastando a incidência da GDPR, sob pena do Estado-Membro, assim não fazendo, obrigar-se a garantir medidas de segurança adequadas, além do direito de ação dos titulares dos dados.

O Reino Unido, através de sua autoridade de proteção de ados local – a Information Commisioners Office – divulgou orientações no sentido de validar o compartilhamento de dados pessoais entre empresas e autoridades, sem infringência à lei.

Especialistas na tecnologia de geolocalização fizeram críticas na utilização deste sistema, em razão da imprecisão do GPS, que pode chegar a 60 metros, de modo que se considerar as orientações de distanciamento social equivalente a distância de dois metros, haveria uma probabilidade razoável do método gerar muitos falsos-positivos. (8) 

No campo da privacidade e proteção de dados, as críticas se voltam, especialmente, acerca da confiabilidade das técnicas de anonimização de dados utilizadas nas operações de compartilhamento e sobre o prazo de duração do tratamento.

A Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2018 - LGPD) cuja entrada em vigor estava prevista para 14 de agosto deste ano, parece caminhar para uma prorrogação inevitável, muito possivelmente, para janeiro de 2021, caso aprovado o PL 1.179/2020 na Câmara dos Deputados e, posteriormente, sancionado pelo Presidente da República.

À luz da LGPD, os dados pessoais tratados nestas circunstâncias são classificados como sensíveis, estando autorizado o tratamento sem a necessidade de consentimento expresso e inequívoco do titular, com amparo na alínea “e” do inciso II do artigo 11 (9), porém, desde que respeitados os princípios que regem esta legislação, especialmente, o da finalidade específica do tratamento, que deve ser devidamente informada no momento da coleta.

Ademais, outros princípios não menos importantes deveriam nortear desde já o tratamento de dados para o controle da pandemia, tais como o da transparência, segurança, prevenção e do livre acesso.  

De fato não se discute mais se os governos devem ou não utilizar dados pessoais para fins de enfrentamento da Covid-19, entretanto, a garantia de informações claras, precisas e facilmente acessíveis aos cidadãos, com adoção de medidas técnicas altamente seguras contra incidentes de vazamento dos dados sensíveis, inclusive de forma a prevenir danos, além da necessidade de se garantir aos titulares acesso às informações sobre a forma e a duração do tratamento, sob pena de consequências irremediáveis no presente e, principalmente, no futuro pós-pandêmico que nos aguarda.

Henrique Somadossi Prado
Direito Digital, Proteção de Dados e Privacidade

(1) https://www.channelnewsasia.com/news/asia/covid19-south-korea-coronavirus-details-doxxing-online-privacy-12521854

(2) https://www.nytimes.com/2020/03/23/world/asia/coronavirus-south-korea-flatten-curve.html

(3) https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html

(4) https://www.reuters.com/article/us-health-coronavirus-europe-telecoms/european-mobile-operators-share-data-for-coronavirus-fight-idUSKBN2152C2

(5) https://idec.org.br/idec-na-imprensa/para-combater-covid-19-governo-federal-vai-monitorar-seu-celular

(6) https://oglobo.globo.com/brasil/dados-de-localizacao-de-celulares-indicam-que-isolamento-social-vem-crescendo-para-combate-ao-coronavirus-24356247

(7) https://globalprivacyassembly.org/covid19/

(8) https://olhardigital.com.br/coronavirus/noticia/como-governos-estao-usando-dados-de-localizacao-dos-celulares-no-combate-a-covid-19/98690

(9) Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
     (...)
     II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
     (...)
     e) proteção da vida ou da incolumidade física do titular ou de terceiro;