COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Vulnerabilidade >
  4. A saúde na sociedade da vigilância: como proteger os dados sensíveis?

A saúde na sociedade da vigilância: como proteger os dados sensíveis?

terça-feira, 14 de abril de 2020

Atualizado às 08:58

Texto de autoria de Chiara Spadaccini de Teffé

Diante do avanço da pandemia, o debate em torno de medidas que utilizam dados pessoais sensíveis e sistemas de vigilância para combater o vírus torna-se ainda mais importante. Até onde o interesse coletivo pode avançar sobre o individual?

Tratamentos em massa de dados pessoais e aplicações de tecnologias de reconhecimento facial vêm sendo encarados como ferramentas necessárias para o combate ao covid-19. Todavia, a falta de transparência, informação e segurança no trato dessas informações preocupa diversos setores da sociedade. A busca estatal por institucionalizar sistemas de controle e ampliar a receptividade da população a medidas mais invasivas em sua intimidade também é ponto constantemente questionado.

Qual será o impacto dessa vigilância estatal (e privada, levando-se em conta as diversas parcerias firmadas) a longo prazo? Quais mecanismos de rastreamento e coleta de dados serão aplicados e por quanto tempo? Quem terá acesso aos bancos de dados criados? Serão eles algum dia descartados? Quão estáveis e seguros são os sistemas de armazenamento e tratamento? O que se mostra justificável diante de um cenário de pandemia global e qual legado isso deixará para o tema da proteção de dados? Perguntas apresentadas globalmente, mas ainda sem respostas.

Stefano Rodotà em "A Vida na Sociedade da Vigilância: a Privacidade Hoje" nos lembra que, em relação aos dados de saúde, "a proteção especial atribuída a estes dados não se justifica somente por se referirem a fatos íntimos, mas também, e às vezes sobretudo, pelo risco que seu conhecimento possa provocar discriminações"1. Não há dúvida de que o conhecimento, por parte de empregadores, companhias seguradoras ou planos de saúde, de informações sobre pessoas que foram infectadas poderá causar discriminações, além de prejudicar determinadas contratações. Dados de geolocalização, mesmo a princípio não sensíveis, podem ser facilmente manipulados para usos lesivos a seu titular e para verificação de informações íntimas. Em verdade, essencial para se determinar se um dado é sensível ou não é verificar o contexto de sua utilização, as relações que podem ser estabelecidas com as demais informações disponíveis e a potencialidade de seu tratamento servir como instrumento de estigmatização ou discriminação ilícita ou abusiva.

Entretanto, mesmo levando em conta essas considerações, o que se apresenta no momento é um cenário de grandes danos à saúde da coletividade. O covid-19 ataca diretamente a dignidade da pessoa humana, afetando sua integridade psicofísica e liberdade. Além da patente necessidade de se conter o alastramento da doença e verificar pontos de contaminação, sabe-se que um indivíduo infectado coloca em risco diversos outros que com ele tenham estado. Diante disso, entende-se que existindo risco grave e real para a saúde pública mostra-se legítimo flexibilizar e publicar2 normas para que o Estado possa tanto monitorar locais públicos quanto cuidar de pessoas infectadas ou que estejam em elevado risco de contaminação, não podendo transcurar, porém, salvaguardas de proteção aos direitos e liberdades fundamentais e mecanismos de mitigação de danos, como a aplicação dos princípios para a proteção de dados, criptografia e, sempre que possível, a técnica da anonimização de informações pessoais.

Nesse sentido, afirmou o  European Data Protection Board que as normas de proteção de dados não impedem as medidas tomadas na luta contra a pandemia de coronavírus. Todavia, sublinhou que, mesmo em momentos excepcionais, os agentes devem garantir a proteção dos dados pessoais que tratarem. Além disso, qualquer medida tomada deverá respeitar princípios gerais e não ser irreversível. Emergência é uma condição legal que pode legitimar restrições à liberdade, desde que elas sejam proporcionais e limitadas ao período em questão.

Alguns exemplos - replicados em vários países - de aplicação de tecnologias de controle e vigilância para a contenção da doença são: aplicativos que usam sinais de Bluetooth entre celulares para verificar se possíveis portadores do coronavírus estão em contato próximo com outras pessoas (Cingapura); análises de transações com cartões de crédito, de dados de localização e conversas para rastrear casos confirmados e informar às pessoas se elas chegaram perto de um portador de coronavírus (Coréia do sul); na Índia, carimbos nas mãos de pessoas suspeitas de ter a doença e rastreamento a partir de seus celulares e dados pessoais, de forma a reforçar as quarentenas; diálogo entre governo e empresas de tecnologia sobre a possibilidade de usar dados de localização e movimentação dos smartphones (EUA); empresa de telecomunicações usando dados de localização geográfica do cartão SIM para se comunicar com as autoridades quando mais de vinte telefones forem detectados em uma área de cem metros quadrados (Suíça); uso massivo de reconhecimento facial para identificar quem está violando a quarentena (Rússia); e uso de drones para vigiar os cidadãos e impedir reuniões ao ar livre em locais na China.

As relações de prevalência entre interesses privados e públicos não comportam determinação a priori e em caráter abstrato, devendo ser analisadas dentro do sistema constitucional e por meio de ponderações que envolvam direitos fundamentais e metas coletivas da sociedade. Há muito a tese da supremacia do interesse público sobre o individual vem sendo rediscutida3. Nessa ótica, defende-se que a preservação dos direitos individuais constitui porção do próprio interesse público, visto que são objetivos gerais da sociedade tanto viabilizar o funcionamento da Administração Pública quanto preservar e promover, extensamente, os direitos fundamentais dos particulares.

A tutela do interesse público voltada à vida e saúde das pessoas pode legitimar o tratamento de dados nessa crise, mas os direitos à intimidade, igualdade e ao sigilo das comunicações e de dados permanecem fundamentais. O Código de Defesa do Consumidor estabelece como direitos básicos: a proteção da vida, saúde e segurança do consumidor contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos; a informação adequada e clara sobre os diferentes produtos e serviços, bem como sobre os riscos que apresentem; e a efetiva prevenção e reparação de danos individuais e coletivos. Além disso, vale recordar a Lei do Cadastro Positivo (lei 12.414/11), a Lei de Acesso à Informação (lei 12.527/11) e o Marco Civil da Internet (lei 12.965/14), que dispõe que ao usuário da internet são assegurados os direitos: à inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; à inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento ou nas hipóteses previstas em lei; e informações claras e completas sobre o tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que justifiquem sua coleta e não sejam vedadas pela legislação.

Dos diplomas legais acima é possível extrair princípios essenciais para a proteção de dados pessoais, que são de observância obrigatória (mesmo) na conjuntura atual, quais sejam: a minimização dos dados, finalidade, transparência, informação, qualidade dos dados, não discriminação, adequação, prevenção e segurança. Não obstante o debate em torno da postergação da vacatio legis da Lei Geral de Proteção de Dados4, há disposições claras no sistema jurídico para a proteção da privacidade e dos dados pessoais e que são aplicáveis tanto ao ambiente privado quanto ao setor público.

Adicionalmente, não é demais lembrar que a LGPD - mesmo se estivesse em vigor - ofereceria respaldo para o tratamento de dados (inclusive sensíveis) necessário, disposições específicas para o Poder Público atuar e normas acerca de sua não aplicação em hipóteses excepcionais, como no caso de segurança pública. Atrasar sua efetividade apenas traz opacidade e maior insegurança para a conjuntura atual, ainda que modulações possam ser desenvolvidas no que concerne às sanções e deveres ali dispostos. Entende-se também que ter uma Autoridade Nacional de Proteção de Dados em pleno funcionamento no Brasil seria de grande relevância para a orientação de profissionais, empresas, cidadãos e governo, como vêm fazendo a Autoridade do Reino Unido (ICO) e diversas outras ao redor do mundo.

Na presente conjuntura, os dados pessoais necessários para a tutela da saúde pública devem ser processados para finalidades legítimas, específicas, explícitas e informadas ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Os titulares dos dados devem receber informações transparentes sobre as atividades de tratamento que estão sendo realizadas, os objetivos de sua realização e principais características, incluindo o período de retenção dos dados coletados. Outra recomendação é que as informações fornecidas sejam facilmente acessíveis e que estejam em linguagem clara e compreensível para os mais variados públicos. Nesse cenário, soluções menos invasivas devem ser preferidas, mostrando-se também relevante adotar medidas de segurança (que retomem os valores da proteção de dados by design e by default) e políticas de confidencialidade que garantam que os dados não sejam divulgados a terceiros não autorizados, bem como documentar adequadamente as medidas implementadas e os processos de tomada de decisão.

Os dados sensíveis necessitam mais do que nunca de uma tutela diferenciada e especial, de forma a se evitar que informações dessa natureza sejam vazadas, usadas indevidamente, comercializadas ou sirvam para embasar discriminações em relação ao titular5. Todavia, a mera proibição do tratamento de dados sensíveis mostra-se inviável, pois, em alguns momentos, o uso de tais dados será legítimo, além do que existem determinadas instituições cuja própria razão de ser estaria comprometida caso não pudessem obter informações dessa categoria. De toda forma, todo tratamento de dados sensíveis deverá ser pautado nos ditames já positivados e desenvolvidos no ordenamento brasileiro (incluindo-se, aqui, também trabalhos doutrinários e jurisprudência), pela relevância dos valores em questão, e legitimado apenas quando não servir para a realização de discriminações ilícitas ou abusivas.

Mecanismos dotados de inteligência artificial e processamentos refinados de dados, com as devidas garantias estabelecidas aos direitos humanos, apresentam papel essencial para a proteção da pessoa e podem garantir maior segurança e previsibilidade de cenários, visando reduzir o risco de transmissão, controlar a epidemia e evitar a formação de novos focos. Um mapeamento inteligente de relações e contatos, atrelado a testagens em massa e medidas sanitárias e de higiene adequadas, pode permitir futuramente a flexibilização de algumas medidas restritivas de locomoção. Adicionalmente, sistemas inteligentes são úteis para, por exemplo, (a) estimar o número de leitos necessários nos hospitais, (b) avaliar a prioridade de pacientes em UTIs, (c) determinar a priorização de pacientes no uso de aparelhos de ventilação pulmonar, (d) dar suporte a decisões médicas, agregando velocidade e precisão, (e) executar tarefas específicas nos centros de saúde, por meio de robôs, e (f) realizar diagnósticos com base na análise de imagens.

Em momentos excepcionais que exigem maior acesso e tratamento de dados, a fim de se proteger interesse maior, a disciplina da proteção de dados (nas dimensões individual e coletiva) não deve ser compreendida como empecilho ou despesa. É a partir dela que a utilização de informações pessoais poderá ter legitimidade e que limites e procedimentos específicos serão estabelecidos de acordo com a cláusula geral de tutela da dignidade da pessoa humana.

*Chiara Spadaccini de Teffé é doutoranda e mestre em Direito Civil pela UERJ. Atualmente, é professora de Direito Civil e Tecnologia no IBMEC. Leciona também em cursos do CEPED-UERJ, na pós-graduação da PUC-Rio em Direito da Saúde (Instituto de Direito), na EMERJ, no Instituto New Law, no ITS Rio e na Pós-graduação em Advocacia Contratual e Responsabilidade Civil da EBRADI. Membro do conselho executivo da revista eletrônica civilistica.com. Coordenadora da Disciplina "Direito e Internet" no Instituto New Law. Membro do Fórum permanente de mídia e liberdade de expressão da EMERJ. Associada ao Instituto Brasileiro de Estudos em Responsabilidade Civil (IBERC). Foi professora substituta de Direito Civil na UFRJ e pesquisadora do Instituto de Tecnologia e Sociedade do Rio (ITS Rio). Advogada e consultora em proteção de dados.

__________

1 RODOTÀ, Stefano. A vida na sociedade da vigilância - a privacidade hoje. Coord. Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008. p.106.

2 Como, por exemplo, a lei 13.979/20, que dispõe sobre as medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus responsável pelo surto de 2019. Para o presente artigo, vale destacar disposições presentes nos artigos 3º e 6º: "Art. 3º Para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus, as autoridades poderão adotar, no âmbito de suas competências, dentre outras, as seguintes medidas: (...) III - determinação de realização compulsória de: a) exames médicos; b) testes laboratoriais; c) coleta de amostras clínicas; d) vacinação e outras medidas profiláticas; ou e) tratamentos médicos específicos; (...)" "Art. 6º É obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação. §1º A obrigação a que se refere o caput deste artigo estende-se às pessoas jurídicas de direito privado quando os dados forem solicitados por autoridade sanitária. §2º O Ministério da Saúde manterá dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, relativos à situação de emergência pública sanitária, resguardando o direito ao sigilo das informações pessoais".

3 BINENBOJM, Gustavo. Uma teoria do direito administrativo: direitos fundamentais, democracia e constitucionalização. 3ª ed. revista e atualizada. Rio de Janeiro: Renovar, 2014.p.88.

4 Artigo concluído em 11 de abril de 2020.

5 A Comissão Interamericana de Direitos Humanos fez as seguintes recomendações aos governos dos Estados-Membros: "Proteger el derecho a la privacidad y los datos personales de la población, especialmente de la información personal sensible de los pacientes y personas sometidas a exámenes durante la pandemia. Los Estados, prestadores de salud, empresas y otros actores económicos involucrados en los esfuerzos de contención y tratamiento de la pandemia, deberán obtener el consentimiento al recabar y compartir datos sensibles de tales personas. Solo deben almacenar los datos personales recabados durante la emergencia con el fin limitado de combatir la pandemia, sin compartirlos con fines comerciales o de otra naturaleza. Las personas afectadas y pacientes conservarán el derecho a cancelación de sus datos sensibles". RESOLUCIÓN NO. 1/2020 - PANDEMIA Y DERECHOS HUMANOS EN LAS AMÉRICAS (Adoptado por la CIDH el 10 de abril de 2020).