A exceção na proteção de dados pessoais durante a Covid-19 - parte 2
Autores
23 de maio de 2020, 16h13
Continua parte 1
Na primeira parte desta coluna, trouxemos alguns exemplos de tratamento de dados pelo poder público brasileiro, como o recadastramento biométrico do TSE e a Lei de Identificação Civil Nacional, para destacar uma prática de pouca aderência aos princípios e medidas voltadas à proteção de dados pessoais.
Em seguida, mencionamos duas medidas governamentais que instaram o Poder Judiciário a dar uma resposta durante a pandemia de Covid-19, uma na esfera federal (MP 954/2020), e outra do governo do Estado de São Paulo (Simi), com diferentes resultados.
Nesta segunda parte, buscamos traçar as principais diferenças entre as medidas previstas nessas duas iniciativas governamentais, do ponto de vista dos riscos à privacidade e ao direito de proteção de dados pessoais. Além disso, nos debruçamos sobre os fundamentos das decisões judiciais em cotejo com princípios da LGPD.
No caso da MP 954/2020, a violação à privacidade e ao direito à autodeterminação informativa dos cidadãos parece evidente, ante a coleta massiva de dados pessoais individualizados e sensíveis, com uma finalidade excessivamente genérica, sem detalhamento técnico que pudesse inferir uma preocupação dos agentes públicos envolvidos em tutelar a privacidade e liberdade dos afetados, o que permitiu uma decisão assertiva do STF, no sentido de suspender seus efeitos, rapidamente.
A ministra relatora Rosa Weber, que suspendeu liminarmente a MP 954/2020, equaciona a questão em torno da proporcionalidade da medida, ao disponibilizar os dados pessoais dos consumidores das companhias telefônicas para entidade da Administração Pública. E destaca que seu texto não prevê o objeto da estatística a ser produzida, nem a finalidade específica, tampouco sua amplitude.
Também não há previsão do modo de utilização dos dados e a necessidade de sua disponibilização emergencial, e adequação e necessidade para a finalidade prevista para coleta de dados. Como bem nota a Ministra Relatora, o texto da MP 954/2020 não permite sequer saber como esses dados poderiam ser utilizados no combate à pandemia.
Outra preocupação expressa da Ministra diz respeito às medidas concretas, técnicas e administrativas para garantir o sigilo de dados e sua anonimização. Do que concluiu não estar presente interesse público legítimo a justificar tão abrangente coleta de dados.
A decisão apontou a violação de dispositivos constitucionais, tais como o art. 5º, X e XII. Interessante notar que na fundamentação da decisão que a Ministra recorre, ainda que sem fazer referência expressa, a uma série de princípios norteadores dessa matéria Lei Geral de Proteção de Dados, como os da finalidade, segurança, necessidade e adequação, segurança.
Já no que concerne ao Simi, a decisão judicial que manteve seu funcionamento, baseou-se amplamente na manifestação da Procuradoria Geral do Estado de São Paulo que, fundada no Acordo de Cooperação Técnica, informou que os dados tratados pelo SIMI são estatísticos, agregados e anônimos[1], sem identificação dos clientes nem fornecimento desses dados em tempo real, em consonância com o art. 5º, III da LGPD. Isso, somado ao interesse público voltado às medidas de combate à Covid-19, justificou uma decisão judicial que sanciona a continuidade do programa.[2]
Em outra ação que também contestava o Simi[3], o Tribunal de Justiça de São Paulo, por intermédio do desembargador Beretta da Silveira, cassou uma liminar que havia deferido um pedido de não monitoramento de números de celular da parte autora. Em sua argumentação, o julgador constatou, em análise ao Acordo de Cooperação Técnica, o fato de que o tratamento de dados anônimos pelo programa não seria capaz de ofender os direitos à privacidade e intimidade da autora.[4]
Outro argumento em prol do programa é o de que os dados tratados pelo Simi já eram coletados pelas operadoras de telefonia móvel antes da pandemia, servindo para gerenciamento e manutenção da demanda das operadoras.Tratam-se de dados anonimizados, inseridos em uma plataforma de big data gerenciada por uma entidade privada (ABR Telecom), com a finalidade única de elaboração de relatórios estatísticosa.[5]
O Acordo de Cooperação Técnica prevê expressamente a obrigação do ente público em não disponibilizar dados para terceiros sem autorização (cláusula 3.1.1) e a necessidade de comunicação e colaboração na ocorrência de quebras de segurança, a fim se garantir a segurança e integridade dos dados (cláusula 6.1).[6]
De fato, ainda que consideremos os dados disponibilizados ao governo paulista como pessoais, os artigos 11, "c" e 13 da LGPD constituem hipóteses legítimas de tratamento, independente de consentimento, para formulação e execução de políticas públicas e realização de estudos em saúde pública, desde que mantidos em ambiente seguro e controlado. A dispensa da obtenção do consentimento, no entanto, não exonera da observação dos demais princípios da LGPD, dentre os quais o da finalidade, necessidade, adequação e segurança.
Segundo o que está expresso no acordo técnico, o fornecimento de dados "… de mapas de calor" e "da identificação de zonas, onde podem ocorrer maior disseminação do vírus, utilizando-se de matrizes de fluxos de deslocamento de origem e destino", se justifica para o combate à disseminação do coronavírus.
A amplitude e vagueza da finalidade anunciada no acordo certamente não atenderia ao princípio da finalidade no tratamento de dados pessoais (art. 6º, I, LGPD), o que parece ser minimizado, ante a utilização de dados anonimizados, agregados e estatísticos, aliado à emergência da pandemia.
O acordo prevê, ainda, como medida de segurança, que o ente público só terá acesso à plataforma Big Data, em poder da ABR Telecom, que funciona como uma intermediária. Estabelece também o dever de notificação em caso de vazamentos de dados ou de sua disponibilização para demais órgãos governamentais.
É de destacar, no entanto, a ausência de limitação temporal na utilização dos dados, visto que, embora o acordo mencione a impossibilidade de uso para outras finalidades, não há previsão de um termo final para o acordo.
A se considerar os termos do acordo técnico, os dados coletados pelo SIMI podem se afastar da aplicação da LGPD, pois anonimizados[7]. E, se até mesmo dados pessoais podem ser coletados e tratados para a finalidade que descreve o artigo, os dados anônimos também o podem, e com maior discricionaridade pelo Poder Público (artigo 12 da LGPD).
No entanto, a falibilidade técnica dos processos de anonimização,e sua potencial reversibilidade, é elemento que deve ser considerado na avaliação dessas políticas públicas.[8] Vale lembrar que embora esses dados cheguem anonimizados ao ente público, eles, em tese, podem remeter a usuários identificáveis, com base nas informações já detidas pelas prestadoras de serviços de telecomunicações.
Não há no Brasil, atualmente, uma regulação específica para o tratamento de dados anônimos.Entretanto, ainda assim é possível inferir de leis esparsas deveres e padrões de conduta exigíveis de controladores e gestores que não foram cuidadosamente observados pelo programa.
Dentre os quais, destaca-se o dever de transparência, pois não há nos sítios eletrônicos utilizados pelo Governo de São Paulo para divulgar suas medidas quaisquer informações técnicas sobre o programa, mas tão somente descrições gerais sobre seus objetivos.[9]A ausência de informação adequada e acessível sobre o programa pode gerar, como de fato causou, confusões e incertezas acerca de seu alcance, suas finalidades e especificações técnicas.[10]
O déficit de transparência caminha na contramão do disposto no art. 37 da Constituição Federal de 1988; arts. 3º, IV e art. 5º, caput da Lei de Acesso à Informação (Lei nº 12.527/2011), art. 7º, III, do Marco Civil da Internet e art. 42 do Regulamento Sanitário Internacional (Decreto nº 10.212/2020).Note-se que as dúvidas, e mesmos os temores, quanto aos riscos envolvidos em fornecimento de dados de geolocalização de celulares, que se consubstanciaram em diversas ações judiciais, não eram completamente infundados, visto que maiores detalhes sobre o programa só foram fornecidos em sede judicial.[11]
Neste momento de emergência de saúde pública, o Poder Público intensifica ações de coleta e tratamento de dados de milhões de pessoas. Em nossas colunas, analisamos duas medidas estatais, que foram objeto de decisão judicial sobre sua legitimidade. De um lado, a MP 954/2020 previu a coleta de dados pessoais, com fins vagos e de modo desproporcional, o que levou ao STF suspender seus efeitos, liminarmente, com decisão confirmada em julgamento recente.[12] O programa Simi-SP, por sua vez, parece estar mais próximo dos padrões normativos de proteção de dados pessoais e da privacidade, embora necessitasse garantir maior transparência e medidas de controle social.
Sem desprezar a excepcionalidade do momento presente, quisemos destacar que a coleta massiva de dados pessoais no Brasil pelo Estado não é novidade inaugurada pelo atual estado de emergência. A avidez estatal pela coleta e tratamento de dados é, no entanto, potencializada em tempos de crise como o que vivemos.
As decisões judiciais analisadas mostram que é possível encontrar alguns parâmetros na LGPD para a proteção de direitos fundamentais e a garantia do necessário controle social.
Não é possível, contudo, descurar da complexidade dos riscos engendrados pelo acúmulo de dados e informações, pessoais e anônimos, que encontram uma série de flexibilizações e alcançam maior aceitabilidade social num momento de emergência de saúde global. O que será feito desses dados, quais seus potenciais usos políticos e mercadológicos é questão ainda em aberto.
A regulação dos dados pessoais, com vista na proteção da autonomia, da privacidade e das liberdades democráticas, não pode ignorar esses enormes desafios. Não se trata de afastar a importância fundamental das medidas de saúde pública e sanitárias, de confinamento e isolamento. Do mesmo modo, não se ignora a relevância do tratamento de dados no combate à pandemia.
Muitas dessas estratégias políticas não são inovações trazidas por um momento excepcional, mas estão sendo adotadas pelo Poder Público há pelo menos uma década.Trata-se de se lembrar das intrincadas, complicadas e potencialmente perigosas relações entre público e privado nessa matéria. E, finalmente, de destacar que esse cenário constitui um ambiente favorável ao afrouxamento crescente e permanente dos limites.
*Esta coluna é produzida pelos membros e convidados da Rede de Pesquisa de Direito Civil Contemporâneo (USP, Humboldt-Berlim, Coimbra, Lisboa, Porto, Roma II-TorVergata, Girona, UFMG, UFPR, UFRGS, UFSC, UFPE, UFF, UFC, UFMT, UFBA, UFRJ e UFAM).
[1] Segundo redação do art. 5º, III, da Lei Geração de Proteção de Dados, dados anonimizados são aqueles relativos “a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento […]”.
[2]Ação Popular nº 1020192-74.2020.8.26.0053. 3ª Vara da Fazenda Pública de São Paulo. Juiz Luis Manoel Fonseca Pires. Decisão de 22 de abril de 2020. Disponivel em: <http://shorturl.at/rvFU3> Acesso em 14 de maio de 2020. Também houve decisão do Superior Tribunal de Justiça, em sede do Habeas Corpus nº 572.996, de relatoria da Ministra Laurita Vaz, a respeito do projeto SIMI, mas sem decisão mérito, por se entender que a via eleita era inadequada. Disponível em: <https://www.jota.info/wp-content/uploads/2020/04/hc-572-996.pdf> Acesso em: 14 de maio de 2020.
[3] Mandado de Segurança nº 2078414-80.2020.8.26.0000/SP. O acesso a íntegra dos autos pode ser obtido no seguinte link. Disponível em: <http://www.shorturl.at/dDT04>. Acesso em 16/05/2020.
[4] O magistrado, em sua fundamentação, ancorou-se também em manifestação da doutrina sobre o tema, em especial a seguinte coluna de Ronaldo Lemos. Disponível em: <https://www1.folha.uol.com.br/colunas/ronaldolemos/2020/04/uso-de-dados-de-celular-na-covid-19.shtml>. Acesso em 17/05/2020.
[5] ”1.2 As PARTES declaram que para a execução do presente Acordo não há o tratamento de qualquer dado pessoal, tendo em vista que todos os DADOS são anonimizados, agregados, estatísticos e volumétricos disponibilizados das bases das PRESTADORAS”. Os termos do acordo podem ser obtidos em acesso aos autos do citado processo. Disponível em: <http://shorturl.at/inyC1> Acesso em 07/05/2020.
[6] O projeto SIMI também encontra respaldo em parecer da Advocacia Geral da União, referente a possibilidade de utilização de dados anonimizados, em geral, para combate ao COVID-19. A AGU registra que dados anonimizados não podem ser considerados dados pessoais, merecendo tratamento jurídico distinto. Além disso, pontua que mesmo se estivessem submetidos à Lei Geral de Proteção de Dados, esta prevê exceções para o tratamento de dados pessoais em matéria de saúde pública, e que nessas questões deveria ser considerado o princípio da supremacia do interesse público sobre o particular. Parecer AGU n 00280/2020/CONJUR-MCTIC/CGU/AGU Data 01 de abril de 2020. Disponivel na íntegra dos autos em: <http://shorturl.at/inyC1> Acesso em 14 de maio de 2020.
[7] Segundo o art. 5º, III, da Lei Geral de Proteção de Dados, dados anônimos são aqueles relativos a um titular que não pode ser identificado. A doutrina sobre o tema diverge (corrente reducionista ou expansionista) em alguns pontos: cada vez mais estudos demonstram a possibilidade de reversibilidade dos dados anônimos em dados pessoais. Para definir se o dado é anônimo ou pessoal, portanto, alguns autores apelam para o critério da razoabilidade, como por exemplo a observação dos requisitos técnicos para a reversão desses dados anônimos. BIONI, Bruno Ricardo. Xeque-mate: o tripé da proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil. USP-Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação. Relatório de Pesquisa, 2016. P.28-30.
[8] Sobre proteção de dados e técnicas de anonimização conferir: BIONI, Bruno Ricardo. Xeque-mate: o tripé da proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil. USP-Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação. Relatório de Pesquisa, 2016. p 27-30.
[9] Disponível em: <https://www.saopaulo.sp.gov.br/noticias-coronavirus/governo-de-sp-apresenta-sistema-de-monitoramento-inteligente-contra-coronavirus/>. Acesso em 04/05/2020.
[10] Os detalhes acerca do programa foram obtidos com intermédio do acesso aos autos das já citadas ações, eis que houve dificuldade em encontrar informações pertinentes nos veículos oficiais ou na rede mundial de computadores.
[11] Casou dúvidas e críticas, também, entre especialistas no tema, como se vê da matéria do site UOL, em que se levantam pontos falhos dos sistemas no Brasil, intitulada " Monitoramento de celular para combate a covid-19 escorrega feio em 5 pontos" (Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/04/17/sem-data-para-acabar-e-mais-monitoramento-no-brasil-escorrega-em-5-pontos.htm. Acesso em: 30.04.2020).
[12] Disponível em: <http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902>. Acesso em 15/05/2020.
Encontrou um erro? Avise nossa equipe!