Geolocalização e reconhecimento facial: vilãs ou aliadas da saúde pública?

Um debate importante tomou conta da comunidade de proteção de dados na última semana: como evitar abusos no uso de dados pessoais (em especial dados de geolocalização e de reconhecimento facial) para a aplicação de políticas públicas de combate à proliferação do coronavírus? É possível utilizar a tecnologia como aliada no combate à COVID-19 sem a necessidade de uma política de vigilância e violação da privacidade por parte de qualquer instituição pública ou privada?

Iniciativas para utilização de dados pessoais no combate ao vírus no Brasil estão a pleno vapor. A Tim fez um acordo com a prefeitura do Rio. A InLoco, com a prefeitura de Recife.  O SUS criou um app para aferir a necessidade de encaminhamento de casos suspeitos de Covid-19 para unidades de saúde.

Dois artigos, um de autoria do advogado Ronaldo Lemos e outro escrito pelo professor Danilo Doneda, abriram a semana reconhecendo que dados pessoais são elementos essenciais para modelar e executar políticas públicas de contenção e controle do vírus, incluindo os dados de geolocalização, desde que submetidos a processos de  anonimização.

"Hoje, é cada vez mais comum que normativas de proteção de dados proporcionem uma base legal para o tratamento de dados em situações de emergência, de necessidade vital, de saúde pública, para fins humanitários e outras similares", escreve Doneda. Para depois lembrar que "a existência de um marco normativo em proteção de dados torna o processo de tratamento de dados em situações emergenciais mais seguro e caracterizado por maior segurança jurídica".

Como agir, então, se faltam ao Brasil a própria lei (prevista para entrar vigorar a partir de agosto, caso os pedidos de adiamento da vigência não sejam considerados), e uma agência reguladora comprometida em fazer cumprir essa lei?

"É patente que a Autoridade Nacional de Proteção de dados poderia, neste contexto, desempenhar papel fundamental, ao estabelecer diretrizes, esclarecer limites e, em sua atuação geral, favorecer a utilização de dados pessoais neste contexto ao mesmo tempo em que estabelece limites e salvaguardas de forma concreta e dinâmica", escreve Doneda.

De fato.

Hoje, a maioria das iniciativas em curso no Brasil tem procurado estar, de algum modo, em conformidade com o texto da LGPD. Ao menos é o que dizem.

Logo após ser lançado, o app do SUS ganhou uma atualização a partir da qual passou a pedir o consentimento dos usuários para o uso de seus dados pessoais. Nela, informa sua política de privacidade, considerada um tanto enigmática por muitos especialistas.

A equipe da InLoco, por sua vez, descreveu em um extenso paper como  está utilizando sua inteligência de dados nesse momento. Vale lembrar que, em fevereiro, a Comissão de Proteção de Dados Pessoais do MPDFT (Ministério Público do Distrito Federal e Territórios) arquivou um inquérito de 2018 que investigava a empresa de localização pela obtenção de dados pessoais de 60 milhões de celulares brasileiros.

Depois do acordo com a prefeitura de Recife, com mais cidades e estados decretando quarentena, a InLoco passou a compilar os dados e a criar um Score de Isolamento Social. A média da semana passada, publicada pelo Brazil Journal, foi de de 59,33% da população brasileira, dividida da seguinte forma:

Domingo (22): 70%
Segunda (23): 56%
Terça (24): 56%
Quarta (25): 57%
Quinta (26): 58%
Sexta (27) 59%

Para chegar a esses números, a InLoco pondera os números pela população de cada estado. A empresa já está compartilhando esses dados gratuitamente (incluindo movimentações até um raio de 400 metros) com outras prefeituras e governos estaduais.

Independente dos esforços de cada um, o fato é que cada nova ação de combate ao coronavirus, não só aqui, mas no mundo inteiro, vem expondo dilemas éticos importantes. No Canadá, por exemplo, as autoridades de privacidade acreditam que levarão algum tempo para revisar todas as medidas de privacidade implementada pelo aplicativo Babylon, desenvolvido pela Telus Health, para consultas remotas. A Telus Health cumpriu sua obrigação legal, submetendo uma avaliação de impacto da privacidade do aplicativo ao comissário de privacidade da província de Alberta antes do lançamento. Que precisou entrar em uso imediatamente.

"Em situações e momentos que clamem pelo acesso e disponibilização mais amplo de dados pessoais a fim que se atinja um inconteste interesse maior, a disciplina de proteção de dados não há de se constituir um empecilho – pelo contrário, é a partir dela que, justamente, a utilização destes dados pode ter legitimidade e que os respectivos limites e procedimentos específicos são tornados claros", escreve o professor Danilo Doneda.

Diversas autoridades de proteção de dados também já pronunciaram a respeito, seguindo a mesma linha de que as normas de proteção de dados não são obstáculo na luta contra o vírus e que a colaboração entre seus membros é agora mais vital que nunca.

Mas e quando a autoridade de proteção de dados ainda não existe?

O potencial comprometimento da privacidade e da proteção dos dados dos indivíduos em razão de medidas emergenciais vem sendo discutido em webinários, lives em redes sociais, e chegou até a motivar uma chamada pública do Data Privacy Brasil para a produção de ensaios com a temática "COVID-19 e os direitos à privacidade e proteção de dados pessoais".

O próximo desses webinários será promovido pelo LAPIN (Laboratório de Pesquisa em Políticas Públicas e Internet), na próxima terça-feira, 31/03, às 18h, com a presença advogados, representantes da academia e da sociedade civil. Entre eles, Fabricio da Mota Alves, Laura Schertel, Danilo Doneda, Daniel T.Stivelberg, Marcos Pinto, Flávia Lefèvre, Thiago Luís Sombra e Bia Barbosa. Você pode assistir, fazendo sua inscrição através desse formulário, para receber o link de acesso.

Esse debate ainda está longe de terminar.

Como bem lembra o filósofo e futurista Yuval Harari, em artigo publicado dia 20 deste mês pelo Financial Times, "nos últimos anos, governos e empresas vêm usando tecnologias cada vez mais sofisticadas para rastrear, monitorar e manipular pessoas. No entanto, se não tomarmos cuidado, a epidemia pode, no entanto, marcar um importante divisor de águas na história da vigilância. Não apenas porque pode normalizar a implantação de ferramentas de vigilância em massa nos países que até agora as rejeitaram".

Harari alerta que o monitoramento biométrico sem controles faria as táticas de hackers de dados da Cambridge Analytica parecerem algo da Idade da Pedra. E que a crise do coronavírus pode ser o ponto de inflexão da batalha contra o vigilantismo e a favor da privacidade, porque "quando as pessoas podem escolher entre privacidade e saúde, geralmente escolhem a saúde".

Depois, é chorar sobre o leite derramado.

E, mais uma vez, se não começarmos a levantar essas questões agora, o Brasil pode vir a se tornar um ótimo laboratório para o exercício da Sociedade da Vigilância e do Controle.

@@@@@@@

Finalizado o assunto da semana, um parêntesis para atualizações em relação ao artigo da semana passada. Mais um projeto de lei deu entrada no Senado Federal, alongando a lista daqueles que requerem a prorrogação da entrada em vigor da LGPD. E ainda não é nenhum dos que, já se tem conhecimento, usará a Covid-19 como argumento.  Proposto pelo senador Otto Alencar, o PL 1027/2020 pede que a LGPD só passe a vigorar em 16 de fevereiro de 2022. O motivo alegado é a falta da ANPD.

Já, nos EUA, o procurador-geral da Califórnia decidiu não acatar o pedido de mais de 60 organizações e manter o prazo para o início da fiscalização da CCPA (The California Consumer Privacy Act) para 1º Julho, como previsto antes da pandemia.