Últimas notícias

Fique informado

O uso dos dados pessoais na Coreia do Sul no combate ao coronavírus, o que podemos aprender?

01/06/2020

Spotlight

A MP 983 e a classificação das assinaturas eletrônicas: comparação com a MP 2.200-2 | Por Fabiano Menke

Em 16 de junho de 2020 foi editada a Medida Provisória nº 983 (MP 983), que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde, e trata sobre as licenças de softwares desenvolvidos por entes públicos.

29/06/2020

Entre as medidas mais discutidas, tem-se o monitoramento da Coreia do Sul como um modelo frequentemente citado pelos defensores desse sistema

Por Margareth Kang

Margareth Kang – Advogada de Tecnologia, Mídia e Telecomunicações do CTA Advogados

A apreensão aumenta no Brasil em relação à Covid-19. Ainda não atingimos o pico da pandemia, mas os hospitais estão com a sua capacidade máxima, parte do país pressiona a favor de um isolamento vertical, ao mesmo tempo em que o mundo acompanha vítimas já curadas da Covid-19 serem infectadas novamente.

Afinal, o monitoramento deve ser a estratégia adotada pelo Brasil? O que podemos aprender com a Coreia do Sul?

Com o primeiro diagnóstico no dia 10 de janeiro deste ano, a Coreia do Sul, até o dia 20 de abril, apresentava 10.661 casos confirmados e 234 mortes. Seu sucesso no controle da letalidade e da transmissão é explicado por muitos como resultado de duas medidas: testes em massa e o monitoramento através de ferramentas de geolocalização de pessoas contaminadas (rastreamento de contato/contact tracing).

Apesar dessas duas medidas serem de fato alguns dos pilares no controle da pandemia, são deveras insuficientes e rasas para explicar por que a Coreia do Sul tem conquistado significativo êxito nessa batalha.

Assim, para que possamos entender como esse país asiático destaca-se como um modelo, é necessária uma análise holística de pelos menos três aspectos: histórico, jurídico e econômico-social.

Em 2015, a Coreia do Sul passou por uma experiência traumática, foi o segundo país com o maior número de casos confirmados da MERS (Middle East Respiratory Syndrome) depois da Arábia Saudita. Entre as razões para essa tragédia está a falta de transparência do seu Ministério da Saúde, tardio na divulgação de informações pelo receio de causar ansiedade na população. Como hospitais e autoridades municipais não eram propriamente notificados sobre o número de casos, o planejamento e a preparação também foram prejudicados, resultando em duras críticas ao governo.

O evento desencadeou, entre outros pontos, maior desenvolvimento da capacidade de diagnóstico em futuras crises de saúde e uma sofisticação nos procedimentos de combate a pandemias.

Os investimentos feitos nessa área não foram em vão. Com os primeiros casos confirmados em janeiro, uma sofisticada indústria de biotecnologia, formada por empresas locais, passou a produzir kits para diagnósticos em massa, uma estrutura multidisciplinar foi formada para atender a população, testes drive-thru foram implementados, informações sobre o status da pandemia disponibilizados pelas administrações federal, distrital e municipal, planos de gestão da pandemia colocados em prática, entre outros.

Aos que chegam no aeroporto de Incheon, por exemplo, além de ter a temperatura medida e um questionário obrigatório, o passageiro recebe contatos diários por mensagens ou telefone para verificação de qualquer sintoma. Em caso afirmativo, uma ambulância preparada é enviada ao local para isolar e fazer o teste no paciente, ao mesmo tempo em que outra é enviada para fazer o diagnóstico dos outros membros que compartilham a mesma residência, e um terceiro carro da vigilância sanitária é mobilizado para higienizar a residência.

O resultado do diagnóstico sai em seis horas, e cuidados necessários para cada situação são postos em prática, incluindo entrevistas, monitoramento diário, assistência médica, fornecimento de insumos de higienização como máscaras, luvas etc.

Além disso, hospitais e centros de saúde espalhados pelo país, onde pacientes com a Covid-19 são direcionados, estão preparados com protocolos específicos, equipamentos, staff treinado e condições seguras de atendimento. Por fim, para o rastreamento dos contaminados pela Covid-19, além de dados do GPS, CFTV e do cartão de crédito, são realizadas entrevistas por telefone com o paciente e possíveis pessoas que entraram em contato com ele, alimentando um conjunto de informações para uma reconstrução hora a hora do trajeto do indivíduo.

O acompanhamento é individualizado, e equipes de higienização podem ser acionadas a qualquer momento. Os dados são atualizados nos sites estaduais e municipais, assim como no app, sem a identificação direta do paciente (apenas idade e gênero) e alertas são enviados via SMS pelos distritos por onde passou a paciente infectado. Esse sistema de rastreamento e informação rápida à população é possível graças à avançada infraestrutura de telecomunicação do país, que adotou o 5G em larga escala desde 2019.

No entanto, os recursos materiais e procedimentais são apenas uma faceta dos bons índices da Coreia do Sul. Vale ressaltar que ele é um país coletivista.

Assim, não raro em sua história, colocou as necessidades e objetivos da nação acima dos desejos individuais, como por exemplo, em 1998, quando a população fez filas para doar ao governo, de forma voluntária, seus pertences em ouro, incluindo alianças de casamento e dentes de ouro, para pagar a dívida do país com o FMI, com a consequente arrecadação de 227 toneladas do metal precioso, sendo um importante componente na superação da crise econômica.

Por isso, em uma situação de crise como a da Covid-19, a população reage em coletividade, coloca nos ombros o dever de tomar as medidas adequadas não só pela sua saúde, mas principalmente para preservar o todo. Consequentemente, o apelo governamental pelo uso de máscaras e luvas, higienização, isolamento voluntário e o distanciamento em locais públicos tem grande peso.

Importante destacar, no entanto, que a lealdade do coreano com a sua pátria é acompanhada por uma cobrança para com seus governantes. Verifica-se, por exemplo, que dos 10 ex-presidentes que o país teve, um foi exilado, um assassinado, um cometeu suicídio e outros 4 foram sentenciados com longas penas, incluindo a pena de prisão perpétua.

Nesse sentido, se faz natural que ações dos entes públicos em uma sociedade coletivista, exigente, e com alto grau de escolaridade como a coreana tenham por base a lei ou regulamento que as sustente, o que veremos a seguir.

Em 2011, a Coreia do Sul ganhou destaque por adotar uma das leis de proteção de dados pessoais mais rígidas do mundo, com regras que iam além das exigidas pela Diretriz europeia EC 95/46. Sua maturidade na regulação da proteção de dados pessoais tem início na década de 1990, com leis setoriais no setor público, e no início dos anos 2000, no setor privado.

No entanto, em 2011, com a aprovação da Lei Geral de Proteção de Dados Pessoais (Personal Information Protection Act – PIPA) formou-se um arcabouço jurídico de regulação do tema que combinava a PIPA com as leis setoriais ainda vigentes.

A PIPA determinou também a construção de duas autoridades específicas, a Comissão de Proteção  de Informações Pessoais (Personal Information Protection Commission – PIPC) e o Comitê de Mediação  de Informações Pessoais (Personal Information Dispute Mediation Commitee – PICO), que em conjunto com o Ministério do Interior (Ministry of Interior – MOI) e a Agência de Segurança na Internet (Korea Internet Security Agency – KISA) passaram a compor a estrutura de proteção de dados pessoais no país.

Nesses quase dez anos de vigência da nova lei e de uma estrutura de proteção de dados pessoais, o conhecimento e a implementação de medidas protetivas aos dados pessoais amadureceram consideravelmente.

Porém, assim como a maioria das leis de proteção de dados, a PIPA apresenta algumas exceções quanto ao âmbito de atuação, como por exemplo no atual contexto da pandemia. Nesse sentido, o principal regulamento que rege as medidas da pandemia, inclusive a utilização dos dados pessoais é a IDCPA.

A Lei de Controle e Prevenção de Doenças Infecciosas (Infectious Disease Control and Prevention Act – IDCPA, Lei nº 14286/2016) é a regulação mais relevante no contexto da Covid-19. Inicialmente promulgada em 1954, a IDCPA sofreu diversas revisões em resposta às doenças infecciosas, principalmente a MERS, já explicada neste texto.

A IDCPA e suas diversas regulamentações concede ao governo meios específicos para distribuir recursos aos órgãos envolvidos e a pessoas infectadas (ex. Art. 70); mobilizar e estimular os diversos atores da sociedade; além de determinar direitos e obrigações do poder público e cidadãos, incluindo os relacionados ao tratamento de dados pessoais.

Considerando que a IDCPA sofreu substantiva reforma após os resultados trágicos da MERS na Coreia do Sul, quanto ao uso dos dados pessoais, a lei determina através do artigo 76-2 (1), que, para prevenir e bloquear a propagação de doenças infecciosas, o ministro da Saúde, ou o diretor dos Centros de Controle e Prevenção de Doenças, poderá solicitar às agências administrativas centrais, governos locais, instituições médicas, farmácias, corporações, organizações e indivíduos informações pessoais sobre pacientes com doenças infecciosas e pessoas suscetíveis de serem infectadas.

O artigo 76-2(2) (2) acrescenta que, empresas de telecomunicações e a polícia compartilhem as informações de localização dos pacientes e prováveis pessoas infectadas com as autoridades de saúde quando solicitadas. Além disso os artigos 6 e 34-2 invocam especificamente o “direito de saber” da população sobre o monitoramento e o desenrolar da crise de saúde.

Apesar da IDCPA dar amplos poderes às autoridades no acesso e tratamento de dados pessoais durante a crise, ela parece ir em contrassenso à lei de proteção de dados (PIPA). Parte dessa aceitação do monitoramento público pode ser explicada por diversos fatores, entre eles: o contexto histórico da MERS em 2015, a característica coletivista da cultura coreana, ambos já trazidos neste texto, e também por não haver grandes questionamentos sobre a capacidade da administração pública em manter a segurança dos dados.

Sobre isso, destacamos que a Coreia do Sul sofre há décadas não só com os ataques de hackers, vindos de inimigos aleatórios, mas principalmente, do seu vizinho-irmão, a Coreia do Norte. A intensa digitalização do país, somada aos diversos ataques às infraestruturas críticas, forçaram os coreanos, que vivem ainda em armistício, a investir pesadamente no setor de Cyber Segurança e desenvolver uma cultura de segurança da informação.

No entanto, desde a implementação dessa nova estratégia de rastreamento e alerta, questionamentos relacionados à privacidade têm sido levantados. Isso porque em comunidades pequenas por exemplo, quando gênero, idade e histórico de movimentação da pessoa contaminada é divulgado, existe a possibilidade do reconhecimento do indivíduo pela comunidade, o que pode acarretar discriminação.

Nesse sentido, em Busan, um dos pacientes da Covid-19 com histórico de viagem revelado acionou a Comissão Nacional de Direitos Humanos da Coreia do Sul (NHRC), que condenou a publicação indiscriminada – não a coleta – de dados pessoais e solicitou a revisão de diretrizes sobre o monitoramento da pandemia para que somente dados necessários sejam utilizados e divulgados.

Em resposta, no dia 14 de março, o Centro de Controle e Prevenção de Doenças (Korea Centers for Disease Control and Prevention – KCDC) divulgou novas diretrizes para coleta e divulgação de dados de paciente, entre eles: a) os contatos a serem rastreados devem ser determinados com base nos sintomas e condições de exposição do paciente; e b) informações de identificação pessoal – incluindo endereços comerciais – não poderão ser mais divulgados. Essa segunda regra foi adotada em razão dos impactos que estabelecimentos comerciais vinham sofrendo.

Além disso, outros questionamentos estão sendo levantados na esfera da privacidade, com relação aos amplos poderes concedidos às autoridades através da IDCPA no tratamento de dados, e o risco das práticas de exceção abrirem brechas para futuros tratamentos abusivos. O debate entre os diversos setores permanece, e alterações e adaptações continuarão.

Através da breve análise acima, verificamos que “importar soluções” do país asiático no controle da pandemia não é tão banal. Os bons números da Coreia do Sul não se resumem à quantidade de testes e aos mecanismos de rastreamento. Por trás da utilização massiva dos dados pessoais, têm-se experiências traumáticas, pesados investimentos nos diversos setores, uma cultura coletivista rigorosa, e um constante amadurecimento na cultura de dados.

Esse conjunto possibilitou um aparato complexo, mas não perfeito, de políticas públicas, que utiliza os dados pessoais para fornecer uma assistência completa à população, um mosaico de leis e regulamentos que legitimam o tratamento dos dados, trazendo segurança jurídica a todas as partes, mecanismos de salvaguarda dos direitos do sujeito e uma constante adaptação das melhores políticas no uso de dados no país.

Ou seja, a luta da Coreia do Sul frente à pandemia, com todas as suas virtudes e defeitos, tem sido contextual, usando meios e ferramentas típicos daquele país, sendo esse o principal aprendizado para o Brasil.

Nesse compasso, antes de adotar qualquer “solução milagrosa”, na seara dos dados pessoais, colocar à mesa pontos como: categoria, forma, meio, transparência, segurança, finalidade e efetividade no tratamento dos dados pessoais é apenas o início.

Questionamentos devem ser feitos: O que o Brasil poderia fazer com uma coleta massiva de dados? Quais são os riscos ao adotar o “rastreamento de contato” à moda coreana, por exemplo? Teríamos condições de oferecer todos os cuidados advindos dessa informação ou estaríamos somente criando um cenário do pânico e discriminação?

Temos um mecanismo de segurança suficiente para proteger os dados de vazamentos e outros incidentes? Temos um conjunto regulatório que traga segurança jurídica nas ações, garantindo direitos e deveres não só dos titulares de dados, mas também do poder público e do setor privado?

Essas entre outras indagações são intrínsecas na implantação de políticas públicas que usam dados pessoais em âmbito municipal, estadual e federal.

Além disso, assim como a Coreia do Sul desenvolveu-se com a crise do MERS em 2015, é necessário olhar para dentro e buscar o que podemos aprender através desta crise.

Entre os pontos de reflexão está o fato de a nossa Lei Geral de Proteção de Dados (LGPD) ameaça entrar em vigor com atraso e que ainda não temos uma Autoridade Nacional de Proteção de Dados (ANPD) para estabelecer diretrizes e mediar o diálogo sobre o uso de dados no país, o que traria mais segurança jurídica para o setor público, empresas que compartilham dados e os titulares dos dados.

Em meio às diversas discussões sobre o uso de dados pessoais no combate à Covid-19, lembramos que estamos em construção de uma cultura de proteção de dados pessoais, e não podemos deixar que uma situação de crise justifique ações atropeladas.

Ao se tratar de dados pessoais, precisamos de critérios. Portanto, tendo em vista a sociedade da informação na qual vivemos e o atual contexto do país, é fundamental lembramos ainda o ensino de Stefano Rodotà: que a proteção de dados pessoais não é apenas mais um direito fundamental, é o mais expressivo na situação contemporânea.

Hospitais precisam se proteger contra vírus digitais, agora mais do que nunca

ITI integra o Grupo de Trabalho de Ações Estratégicas de Tecnologia da Informação no monitoramento a COVID-19

Postos de saúde do SUS terão consulta virtual

Confira nossa coluna sobre proteção de dados para ler mais sobre!

  Explore outros artigos! ] i