Texto escrito por Isadora Maria Roseiro Ruiz e Cristina Godoy Bernardo de Oliveira

A essa altura, o problema da pandemia não é novidade para ninguém: trata-se de um vírus transmissível entre humanos que causa uma doença que pode levar à morte. Sem vacinas e remédios específicos que garantam a curada Covid-19, as novidades (e as polêmicas) ficam por conta das estratégias que as autoridades públicas optam por adotar na tentativa de frear a disseminação do vírus e de evitar a contaminação de mais pessoas.

Neste artigo, será realizado o estudo de caso¹ concernente ao Sistema de Informações e Monitoramento Inteligente (SIMI) do Governo do Estado de São Paulo que foi, oficialmente, instituído em 05 de maio de 2020. Por meio do método monográfico, serão analisadas as principais problemáticas relativas à proteção de dados em período de pandemia, tendo em vista a necessidade de se implementarem políticas públicas rápidas neste período de pandemia.

As estratégias são várias e, dentre elas, o distanciamento social teve uma aceitação mais generalizada²,com a promessa de achatar a crescente curva do número de infectados e,consequentemente, de diminuir a contaminação em massa da população. Nessa linha, com um aumento de 1.350% no número de mortes do Estado de São Paulo no mês de abril³, em relação ao mês anterior, a necessidade do isolamento social estava clara,porém, era preciso um meio para monitorar e para medir esse isolamento.

Dessa forma, a solução encontrada pelo Estado de São Paulo foi adotar a taxa de 70% de isolamento social como meta. Ainda que não analisemos os critérios aplicados na escolha desse percentual, o segundo problema era como realizar essa medição. Assim, instituiu-se o Sistema de Informações e Monitoramento Inteligente (SIMI) por meio do decreto estadual 64.963, de 5de maio de 2020, como a "ferramenta de consolidação de dados e informações coligidos por órgãos e entidades da Administração Pública estadual".

Para funcionar, o SIMI precisa ser alimentado por dados capazes de informar se há ou não deslocamento populacional. Optou-se, então,por utilizar uma base de dados já existente e que abrangesse quase 100% da população, isto é, a base de dados das principais operadoras de telefonia do País: Claro, Oi, Vivo e Tim, que possuem a capacidade de monitorar o deslocamento(movimentação que corresponda ao não respeito ao isolamento social) da população a partir dos sinais enviados às torres de antena.

Pode-se observar abaixo o cronograma do desenvolvimento do programa SIMI no Estado de São Paulo:

A estratégia anunciada é digna do patamar técnico atingido em 2020: os avanços da tecnologia permitem a criação em massa de dados e,também, o compartilhamento destes. Esses dados, por serem muitos, permitem a realização de análises apuradas e diversificadas, possibilitando, portanto, um alto nível de geração de informações e, em um segundo momento, novos conhecimentos sobre o comportamento social paulista. Além disso, diferentemente das outras pandemias vividas pela humanidade, dessa vez, temos a tecnologia como aliada, proporcionando oportunidades diversas para a busca de soluções.

No entanto, o Poder Judiciário foi provocado para que fosse feita a exclusão dos dados dos usuários que estavam sendo monitorados pelas quatro operadoras de telefonia acima citadas e repassados ao Governo do Estado de São Paulo. As alegações dos interessados convergiam, principalmente, no tocante ao direito à proteção dos dados pessoais, direito à privacidade e à restrição do direito de ir e de vir.

Nossos telefones móveis têm receptores de dados de satélite de geolocalização que, por meio de sinais, permitem que os nossos telefones informem às operadoras a localização dos mesmos na superfície terrestre. Esse mesmo recurso é usado, por exemplo, pelos aplicativos de mapas que nos guiam pelas cidades. No entanto, há uma grande diferença em relação aos aplicativos de mapa, pois, esses dados da localização dos nossos telefones são passados para estas empresas com consentimento expresso e prévio.

A discussão sobre a afronta à proteção de dados e privacidade dos titulares dos dados foi solucionada pelos tribunais com a alegação de que não houve tal violação por não se tratarem de dados pessoais, mas sim, dados já "anonimizados e agregados, sem a possibilidade de identificação do dado e da prestadora de serviços de telecomunicação que a disponibilizou", conforme estipula o referido Acordo de Cooperação Técnica (ACT)⁴.

O Acordo de Cooperação Técnica⁵ estipula que as operadoras Claro S.A., Oi Móvel S.A., Telefônica Brasil S.A.,Tim S.A. e Associação Brasileira de Recursos em Telecomunicações - ABR - Telecom repassarão dados anônimos e agrupados ao Governo do Estado de São Paulo por meio do Instituto de Pesquisas Tecnológicas (IPT). Esses dados alimentarão a plataforma SIMI, que disponibilizará esse conteúdo às autoridades locais para monitoramento do distanciamento social.

É importante mencionar que o termo dados "agregados" significa os dados que são vistos em blocos. No caso em questão, o SIMI disponibiliza um mapa de calor⁶ que permite a visualização dos agrupamentos de pessoas. Além disso, os dados são renovados e atualizados pelas operadoras para serem novamente compartilhados no dia seguinte. Apesar de se afirmar no ACT que os dados são agregados, surge a seguinte reflexão: o dado de um aparelho celular precisa de ser individualizado para que seja possível acompanhar esse deslocamento. Ora, se não identificado isoladamente é impossível saber se aquele celular, e não outro, se deslocou ou não.

No que se refere ao conceito de dado anonimizado, o próprio acórdão⁷ do Egrégio Tribunal de Justiça de São Paulo utiliza a norma do art. 5º, inciso III, da Lei Geral de Proteção de Dados (LGPD - lei 13.709/2018): é o "dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento".

Para que seja possível o processo de anonimização dos dados dos usuários de telefones móveis, as operadoras tratam esses dados para torná-los anônimos. São vários os tipos de procedimentos que podem ser feitos,como por exemplo, randomização e generalização⁸,mas o termo agregação sugere uma sumarização dos dados porque a agregação dedados converte um conjunto de dados de uma lista para valores resumidos, não sendo, portanto, necessários registros individuais⁹.

O primeiro problema com que nos deparamos é a ausência de concordância, ou seja, de um consentimento esclarecido dos usuários sobre a disponibilidade das informações acerca da sua localização com o intuito de monitorar seu deslocamento. No início da relação contratual entre o usuário e a operadora, há, efetivamente, um consentimento amplo, com o objetivo primordial de ofertar um serviço adequado pela operadora; porém, não há o consentimento específico para qualquer finalidade que não se refira à comunicação à distância, por exemplo, a identificação de sua posição geográfica.

Nesse sentido, o artigo 7º da LGPD é determina que o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular. Ainda, a mesma lei reserva um capítulo específico para tratar dos direitos do titular dos dados, sendo um deles a eliminação dos dados tratados (artigo 18, inciso III).

Esse entendimento nos permite perceber o segundo problema.Os usuários, assegurados pelo direito de seus interesses serem defendidos em juízo (artigo 22 da LGPD) pleitearam a remoção de seus telefones celulares do monitoramento feito pelas operadoras e repassadas ao IPT. Entretanto, os seus pedidos foram denegados pelo Poder Judiciário sob o argumento de que não há tratamento de dados pessoais.

Neste sentido, cumpre-se mencionar que o processo de anonimização dos dados pessoais já se configura como tratamento de dados.Independentemente de estarem anônimos, esses dados estão sendo utilizados para formar o mencionado agrupamento, o qual tem como objetivo o monitoramento individual. Assim, pode-se compreender que há monitoramento quando a finalidade do uso do georreferenciamento é identificar o deslocamento de um indivíduo.

Evidenciamos, ainda, um terceiro problema no que diz respeito a esses julgados. É inadmissível afirmar que o autor da ação deve provar que os dados não foram anonimizados. O fundamento legal para este entendimento está na própria LGPD (artigo 42, § 2º), que estabelece que haverá a inversão do ônus da prova quando "houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa". Por conseguinte, não há o que se discutir acerca da hipossuficiência do usuário do serviço de telefonia celular, visto que ele não possui condições (informacionais, técnicas e econômicas) de demonstrar a existência ou não do processo de a nonimização dos dados.

Além dos problemas identificados no âmbito judicial, deve-se apontar um quarto problema, o qual é concernente às datas de disponibilização dos dados ao IPT pelas operadoras de telefonia e a celebração do ACT. O anúncio feito pelo Governador João Doria apresentando a plataforma SIMI foi realizado sem qualquer formalização prévia, pois o ACT somente foi assinado no dia 14 de abril, sendo que o anúncio foi dia 09 de abril, ou seja, 5 dias após o anúncio.

Há, ainda, a denúncia¹⁰ de que o sistema SIMI começou a funcionar desde o dia 24 de março, coletando informações desde o dia 9 de março. Ademais, caso seja visitado o site do SIMI¹¹,pode-se verificar que os dados referentes ao monitoramento do isolamento social começam a ser apresentados a partir do dia 06 de março de 2020.

Assim, notamos que esses dados dos usuários, clientes dessas operadoras, foram indevidamente utilizados. É possível, ainda, estender para a dúvida de que se não havia convênio firmado entre essas empresas públicas com a entidade estadual, nada garante que, por esse período de mais de 20 dias, esses dados foram ao menos estavam anonimizados.

Dessa forma, como quarto problema identificado, aponta-se a falta de instrumento jurídico para a realização de convênio entre o Governo do Estado de São Paulo e as empresas privadas. Apesar de flexibilizadas algumas normas da Lei de Licitação por conta da pandemia pela MPV 926/20 ( O PLV 25/20 que converte a MPV 926/20 em lei foi aprovado pelo Senado Federal e aguarda sanção presidencial, sendo o prazo máximo para a sanção ou veto: 20 de agosto de 2020), a Administração Pública não pode firmar acordos verbais sob pena de serem nulos (parágrafo único do artigo 60 da lei 8.666). Trata-se declara afronta ao princípio da publicidade e da garantia de acesso às informações como preconiza nossa Constituição Federal (artigo 37 e parágrafos).

Em que pese o decreto estadual 64.879 de 20/3/2020 reconhecer o estado de calamidade pública no Estado de São Paulo, ou a Lei Federal nº 13.979,que dispõe acerca das medidas que poderão ser adotadas para enfrentamento da Covid-19, não é possível afirmar que o Estado pode intervir e monitorar o direito de ir e vir e invadir a inviolabilidade dos meios de comunicação individuais. Em síntese, o Estado não pode desrespeitar quaisquer direitos individuais se pode empregar outros meios (por exemplo, contact tracing tradicionais por agentes públicos) para assegurar o controle da pandemia.

Todos os problemas e questionamentos trazidos ao longo deste artigo são relevantes para o mundo jurídico e, principalmente, para a sociedade brasileira, que ainda está se desenvolvendo e se ambientando com a proteção dos dados. Sabe-se que, apesar da LGPD ainda não estar em vigor, nosso sistema legislativo conta uma tutela esparsa que, direta ou indiretamente, protege os dados pessoais¹². Por exemplo, o Marco Civil da Internet (Lei n. 12.965/2014) garante, no art. 7º: o direito à inviolabilidade da intimidade e da vida privada (inc. I); direito à inviolabilidade e sigilo do fluxo de suas comunicações (inc. II); direito à inviolabilidade e sigilo de suas comunicações (inc. III); informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados pessoais (inc. VIII); direito ao consentimento (inc. IX); direito à exclusão(inc. X).

Em suma, os questionamentos advindos, neste caso específico de monitoramento do isolamento social, configuram-se o início do que o Poder Judiciário enfrentará nos próximo anos, uma vez que, cada vez mais, problemas surgirão quanto à violação da proteção de dados e da privacidade dos cidadãos,sendo necessária a compreensão de como as tecnologias estão sendo empregadas e até que ponto está sendo realizado o correto tratamento dos dados pessoais.

*Cristina Godoy Bernardo de Oliveira é Professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitorda Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da Universidade de São Paulo(2011). Graduada pela Faculdade de Direito da Universidade de São Paulo (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.

*Isadora Maria Roseiro Ruiz é pesquisadora e integrante dos Grupos de Pesquisa "Direito, Ética e Inteligência Artificial", "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e"Observatório do Marco Civil da Internet", USP - CNPq. Graduada pela Faculdade de Direito de Franca - FDF. Advogada. Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.

__________

1 OLIVEIRA,Cristina Godoy Bernardo de; SILVA, Rafael Meira. O que é Estudo de Caso e Como Fazer? In Codex Data, São Paulo, 2019. Disponível aqui. Acesso em: 10 ago. 2020.

2 GOVERNO DO ESTADO DE SÃO PAULO. Saúde define critérios de distanciamento social com base em diferentes cenários. In Saúde Notícias, São Paulo, 06 abr.2020. Disponível aqui. Acesso em: 10 ago. 2020.

3 G1SP. Mortes por coronavírus aumentam 1.350% em abril em São Paulo. In G1, Rio de Janeiro, 2020. Disponível aqui. Acesso em: 11 ago. 2020.

4 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 11 ago. 2020.

5 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 10 ago. 2020.

6 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 10 ago. 2020.

7 BRASIL. Tribunal de Justiça de São Paulo (TJ-SP). Mandado de Segurança Cível nº 2073723-23.2020.8.26.0000. Relator: Desembargador Evaristo dos Santos, 2020,p.4.

8 POSSI, Ana Carolina Benincasa. O que é anonimização e pseudo anonimização dedados? In Instituto Avançado de Proteção de Dados (IAPD), Ribeirão Preto, 3 nov. 2019. Disponível aqui. Acesso em: 10 ago. 2020.

9 GOVERNO DA REGIÃO ADMINISTRATIVA ESPECIAL DE MACAU. Guia para Técnicas Básicas de Anonimização de Dados. In Gabinete para a Proteção de Dados Pessoais,Macau, Abri/2020. Disponível aqui. Acesso em: 10 ago. 2020.

10 UOL. Sem avisar, SPiniciou monitoramento de celular antes de acordo formal. In Tilti, o canalde tecnologia do UOL, São Paulo, 2020. Disponível aqui. Acesso em: 11ago. 2020.

11 GOVERNO DO ESTADO DE SÃO PAULO. Adesão ao Isolamento Social em SP. São Paulo, 2020. Disponível aqui. Acesso em: 10ago. 2020.

12 Ver texto inaugural da Coluna Migalhas de Proteção de Dados: LIMA, Cíntia Rosa Pereira de - DE LUCCA, Newton.Polêmicas em torno da vigência da Lei Geral de Proteção de Dados. In Migalhas,2020. Disponível aqui. Acesso em: 10 ago. 2020.