domingo, 27 de setembro de 2020

COLUNAS

Reflexos do covid-19 na proteção de dados pessoais

À medida em que os impactos do Coronavírus se agravam, exigindo medidas de contenção da doença, verifica-se uma tendência entre autoridades mundiais de abrandarem as restrições ligadas ao tratamento de dados pessoais, de modo a facilitar o monitoramento do surto e a pesquisa e o desenvolvimento de tratamentos.

A Global Privacy Assembly, fórum mundial de proteção de dados e privacidade criado há mais de 40 anos e que reúne autoridades de cerca de 130 países, identificou alterações na privacidade de dados em ao menos 27 países, entre eles Hong Kong, Itália, Espanha, França e Estados Unidos, localidades fortemente atingidas pela pandemia1.

Em Hong Kong, por exemplo, foi autorizada a extração de informações de mídias sociais para rastreamento de portadores do Covid-19. Por intermédio de declaração pública2, a Comissão de Privacidade para a Proteção de Dados, suscitando o artigo 59 do Personal Data Privacy Ordinance (PDPO, Decreto de Privacidade de Dados Pessoais de Hong Kong), que prevê exceção à regra geral de privacidade de dados para a salvaguarda da saúde física ou mental do titular ou de terceiros, afirma que o direito à privacidade de dados pessoais não é absoluto, cedendo frente ao direito absoluto à vida. Com base nessa premissa, declara que "o governo pode coletar e usar informações disponíveis online e off-line com o auxílio de dispositivos, aplicativos, softwares ou supercomputadores visando ao monitoramento de pacientes ou potenciais portadores de Covid-19".

Na Espanha, por sua vez, foram editados diversos atos pela Agência de Proteção de Dados, relacionados ao controle do Coronavírus, baseados no Considerando 46 da General Data Protection Regulation (GDPR, Lei Geral de Proteção de Dados da Comunidade Europeia) - que autoriza o tratamento de dados pessoais em casos excepcionais, como para o controle de epidemias e a sua propagação -, obrigando, por exemplo, controladores de empresas públicas e privadas a repassarem informações sobre servidores e empregados infectados pelo Covid-193, bem como permitindo o tratamento de dados pessoais de saúde sem consentimento do titular4.

No Brasil, embora nossa Lei Geral de Proteção de Dados, lei 13.709/2018 ("LGPD"), ainda não esteja em vigor e sequer tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, é possível identificar dispositivos na lei que, em uma situação crítica como a que vivemos, conferem maior flexibilidade ao tratamento de dados pessoais, notadamente: (i) artigo 4o, III, "a", que não sujeita à lei o tratamento de dados pessoais realizado para fins exclusivos de segurança pública; artigos 7o, VIII, e 11, II, "f", que autorizam o tratamento de dados pessoais, mesmo que sensíveis, para a tutela da saúde por profissionais da área, serviços de saúde e autoridade sanitária; e (iii) artigo 13, que autoriza o acesso a bases de dados pessoais para a realização de estudos em saúde pública.

A despeito da indiscutível existência de uma situação material e de base legal para a mitigação das regras gerais de proteção de dados pessoais, é indispensável que haja, em contrapartida, por parte de controladores e operadores, respeito aos limites do tratamento de dados nessa circunstância excepcional e conscientização quanto à necessidade de adoção de medidas adicionais de proteção e segurança.

Nesse contexto, um outro caso que vale menção é o da China, onde há notícia5 de diversas medidas adotadas pelas autoridades locais visando, alegadamente, o controle do Coronavírus, entre elas que usuários de transporte público em todo o país informem seus dados pessoais antes de tomar ônibus, trens e táxis, bem como da existência de aplicativo que permite saber se a pessoa esteve em um trem ou avião com alguém que contraiu a doença.

Medidas como essas à primeira vista poderiam ser tidas como excessivas e desproporcionais, mas podem ser justificáveis em caso de estado de calamidade, na hipótese de necessidade de proteção da vida do titular ou de terceiro, ou ainda tutela da saúde (artigo 7º, VII e VIII, da lei). Mesmo diante das novas possibilidades de tratamento de dados pessoais surgidas em virtude do Coronavírus, esse tratamento deve ser realizado exclusivamente pelos entes legitimados para tanto e ainda assim para fins específicos de prevenção ou tratamento da doença, enquanto esta representar um risco sanitário e jamais para fins discriminatórios, ilícitos ou abusivos, tal como preceitua o artigo 6o, incisos I, II, III e IX, da LGPD. Tais dados não podem ser tornados públicos e sujeitam à responsabilização em caso de utilização fora da finalidade legal.

Ademais, mesmo nas hipóteses excepcionais de tratamento, ainda que dispensado o consentimento do titular, este deverá ser devidamente informado acerca de quais foram seus dados pessoais coletados (em especial dados sensíveis), com que finalidade e até quando serão armazenados, tudo conforme exigência do artigo 6o, incisos V e VI, da LGPD.

Finalmente, há de se considerar a necessidade de cumprimento do dever de segurança contido no artigo 6o, inciso VII, da LGPD, o que exige um cuidado adicional com a privacidade e a segurança das bases de dados, objetivando evitar ataques de hackers e mesmo vazamentos acidentais por empregados e colaboradores.

Aliás, no que tange especificamente à segurança da informação, vale acrescentar que o cenário pandêmico do Coronavírus tem levado a enormes mudanças no cotidiano de pessoas e empresas, impondo um regime de reclusão e isolamento que conduz inevitavelmente a um aumento significativo no acesso à rede mundial de computadores, às redes particulares de computadores (intranet) e à aplicativos para aparelhos móveis, circunstância que eleva, em igual medida, as preocupações com a proteção de dados pessoais.

Diante das determinações de quarentena por governos locais, como é o caso dos Estados de São Paulo e Rio de Janeiro, e, de um modo geral, do justificável receio de interação social, a população em geral tem feito uso de programas e aplicativos que substituem a necessidade de presença física nos mais variados lugares e circunstâncias, como no trabalho, via home office, em consultórios e hospitais, via telemedicina, e em lojas e restaurantes, via aplicativos de entrega em domicílio.

Essas novas rotinas induzem não apenas maior fluxo de dados pessoais pela via digital, como também aumentam a exposição desses dados a situações e ambientes mais inseguros, com a consequente elevação do risco de vazamento.

Trazendo mais um exemplo da China, lá há registro de que parte dos moradores de Wuhan - provável origem e epicentro inicial do Covid-19 - teve seus dados pessoais, inclusive nome, endereço e deslocamentos diários, vazados na internet devido ao medo trazido pela disseminação da doença5.

A verdade é que a situação propicia a coleta, o processamento e a divulgação de dados pessoais de forma abusiva, exigindo cuidado redobrado de todos, em especial no Brasil, onde o direito específico à proteção de dados pessoais é recente, ainda não arraigado nos costumes e na cultura do brasileiro.

Diante disso, é fundamental que empresas revejam suas políticas de segurança e proteção internas e externas para delimitar as responsabilidades de seus colaboradores no tratamento de dados pessoais, garantindo o uso correto dos sistemas durante o home office, via disponibilização de ferramentas e soluções que mantenham os níveis de segurança da informação e esclarecimentos sobre a utilização de dispositivos pessoais e de redes públicas.

Eventualmente, pode ser útil - e até mesmo recomendável - que empresas elaborem um relatório de impacto à proteção de dados, nos moldes daquele previsto nos artigos 38 e 50, § 2º, I, "d", da LGPD, específico para o cenário atual, contemplando projetos e iniciativas que envolvam formas novas ou adaptadas de tratamento de dados pessoais, de modo a identificar ameaças adicionais e propor medidas de salvaguarda e redução de riscos.

Entre as medidas de segurança, pode-se destacar: (i) atualização e/ou upgrade dos sistemas de segurança digital para suportar o aumento de demanda decorrente de acessos remotos, realizando testes preventivos; (ii) instalação de sistemas de segurança cibernética em laptops, tablets, smartphones, dispositivos de armazenamento e computadores de acesso remoto; (iii) melhoria na qualidade das senhas de acesso e implantação de autenticações multifator (mecanismo de confirmação da autenticidade do usuário, geralmente por mensagem SMS automática ou um aplicativo que gera códigos secundários de acesso) para sistemas e fontes de acesso remoto, inclusive serviços de nuvem; (iv) assegurar que os dispositivos de acesso remoto estejam armazenados em local seguro quando não estejam sendo usados; e (v) utilização de contas de e-mail corporativas e não pessoais para todos os e-mails relacionados a trabalho.

Nota-se que parte dessas medidas depende da conscientização dos próprios usuários, valendo lembrar que, em empresas, todo e qualquer indivíduo é um potencial vazador de dados. Por isso a importância do oferecimento constante de cursos de treinamento e reciclagem em proteção de dados, com vistas a difundir e perpetuar a cultura da empresa, criando um ambiente corporativo seguro, mesmo quando o trabalho é executado remotamente.

Enfim, o Coronavírus tem justificado novas práticas que interferem diretamente no tratamento de dados pessoais. Embora legítimas e necessárias, os princípios fundamentais aplicáveis à proteção de dados pessoais, com destaque para a transparência, segurança, prevenção, não-discriminação, finalidade, adequação e necessidade, permanecem válidos e, mais do que nunca, devem ser rigorosamente observados por controladores e operadores, tanto na esfera pública quanto na privada, de modo a assegurar que, durante e após a superação dessa crise, sejam mantidos intactos direitos e garantias fundamentais ligados à privacidade.

___________

1 https://globalprivacyassembly.org/covid19/

2 https://www.pcpd.org.hk/english/media/media_statements/press_20200226.html

3 https://www.aepd.es/es/documento/2020-0017-en.pdf

4 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en

5 Conforme artigo veiculado pelo jornal chinês South China Morning Post, intitulado Coronavirus accelerates China's big data collection, but privacy concerns remain: https://www.scmp.com/tech/apps-social/article/3052232/coronavirus-accelerates-chinas-big-data-collection-privacy.

Atualizado em: 27/3/2020 11:42

COORDENAÇÃO
Daniel Bittencourt Guariento

Daniel Bittencourt Guariento, é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.

Ricardo Maffeis Martins

Ricardo Maffeis Martins, é professor de Direito Processual Civil da Escola Paulista do Direito - EPD. Advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Membro do Centro de Estudos Avançados de Processo (Ceapro) e da Comissão de Estudos de Inteligência Artificial do IASP. Ex-assessor de ministros do STJ, onde exerceu também a função de coordenador da Segunda Seção.