Faltando pouco mais de quatro meses para que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) entre em vigor, os desafios da Covid-19 se impõem ao país
Por Raquel Lamboglia Guimarães e Nicole Katarivas
Durante período em que, teoricamente, empresas e entidades públicas deveriam estar se adequando às novas regras (a despeito de ter sido apresentado Projeto de Lei prevendo adiamento do início de vigência da LGPD, ainda sem aprovação), surge uma série de questões quanto à possibilidade de se utilizar dados pessoais para auxílio à contenção da pandemia.
Tendo em vista que o rápido tratamento de dados pessoais pode salvar milhares de pessoas, tais questões devem ser respondidas de forma célere, diante de um cenário de calamidade pública.
Cenário internacional
Por isso, governos de diversos países optaram por socorrer-se da tecnologia. No dia 17 de março, o governo israelense comunicou que utilizaria o monitoramento por celular para rastrear movimentos de pessoas infectadas, mesmo sem autorização.
No mesmo sentido, a Coreia do Sul criou um aplicativo para monitorá-las cotidianamente por geolocalização e relatos diários sobre sua saúde.
Já o governo chinês, entre outras medidas, instalou detectores de temperatura corporal em locais públicos, o que, combinado aos sistemas de reconhecimento facial (já em uso) e geolocalização, pode mapear a contaminação. Nos Estados Unidos se desenvolveu uma pulseira capaz de registrar as oscilações de temperatura corporal dos seus usuários e alertá-lo em caso de constatação do padrão associado ao vírus.
De acordo com recente declaração do Comitê Europeu de Proteção de Dados (EDPB), “as regras de proteção de dados (como o GDPR) não devem impedir as medidas tomadas no combate à pandemia do coronavírus”.
Foi ressaltado que mesmo em momentos excepcionais, o controlador deve garantir a proteção dos dados pessoais dos titulares dos dados e que as medidas tomadas devem respeitar os princípios gerais do direito e não ser irreversíveis.
O EDPB destacou que a emergência pode legitimar restrições de liberdades, desde que proporcionais e limitadas ao período de emergência.
Situação brasileira
No Brasil, de início, a prefeitura do Rio de Janeiro assinou acordo com a Tim para acesso a dados de deslocamento, com o fim de rastrear concentrações e movimentos de pessoas. Dessa forma, poderá avaliar a tendência de mobilidade de cada região e a efetividade das medidas tomadas, de modo a desenvolver soluções mais assertivas.
De acordo com a operadora, é garantida a anonimização.
Em seguida, as grandes operadoras de serviços de telecomunicações do país (Algar Telecom, Claro, Oi, Tim e Vivo), atuando em parceria, irão oferecer ao MCTIC solução única de dados para monitorar a mobilidade da população e seus deslocamentos e os locais de concentração de pessoas. O MCTIC assegura que a utilização desses dados e a sua gestão observarão a LGPD e o Marco Civil da Internet.
Foram, também, criados diversos aplicativos, como o “Coronavírus — SUS”, com acesso à localização dos usuários e seu estado de saúde; o “CheckCorona”, que disponibiliza um atendente automático para analisar sintomas informados e orientar usuários; e o “CovidApp”, que informa aos usuários se tiveram contato ou estiveram próximos a pessoas infectadas.
Para tanto, profissionais da saúde são habilitados a cadastrar smartphones de pessoas infectadas ou casos suspeitos, recebendo uma grande quantia de dados pessoais.
Legislação aplicável
Nos termos do artigo 3º da Lei nº 13.979/2020, referente às medidas para enfrentamento da emergência de saúde pública, as autoridades poderão determinar a realização compulsória de exames médicos, testes laboratoriais e coleta de amostras clínicas, ou seja, a coleta compulsória de dados pessoais. Já o artigo 6º obriga o compartilhamento entre órgãos e entidades da Administração Pública de todos os níveis federados, de dados essenciais a identificar pessoas infectadas e casos suspeitos, com a finalidade exclusiva de evitar propagação.
Tal obrigação estende-se às pessoas jurídicas de direito privado quando os dados forem solicitados por autoridade sanitária. Ainda, o Ministério da Saúde deverá manter dados públicos e atualizados sobre os casos confirmados, suspeitos e em investigação, resguardando o direito ao sigilo das informações pessoais.
No mesmo sentido, o artigo 73 do Código de Ética Médica autoriza o médico a revelar fato de que tenha conhecimento em virtude do exercício de sua profissão por motivo justo ou dever legal, e a Lei nº 6.259 estabelece o dever de profissionais de saúde no exercício da profissão e responsáveis por organizações e estabelecimentos públicos e particulares de saúde e ensino de notificar autoridades sanitárias de casos suspeitos ou confirmados de doença transmissível.
Na LGPD, os dados relativos à saúde dos titulares são considerados “sensíveis” e possuem proteção mais restritiva, por esta razão é importante mencionar as hipóteses em que o tratamento é permitido.
O artigo 4º prevê o tratamento de dados pessoais para fins exclusivamente de segurança pública como excludente da aplicação das regras da lei. No entanto, isso não significa que possa haver tratamento sem respeito à intimidade, à vida privada e à imagem dos titulares, uma vez que estas são garantias constitucionais.
Ainda, o artigo 7º estabelece hipóteses permissivas para o tratamento de dados pessoais (mesmo sem consentimento do titular). Tais como: cumprimento de obrigação legal; necessidade de execução de políticas públicas previstas em leis e regulamentos, quando o tratamento for realizado pela administração pública; proteção da vida ou da incolumidade física do titular ou de terceiro; e tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Em qualquer caso das hipóteses permissivas para o tratamento de dados, os princípios previstos na lei, assim como os direitos dos titulares devem ser respeitados, especialmente a finalidade/necessidade, informação e transparência.
Nesse sentido, o §4º do artigo 11 veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com objetivo de obter vantagem econômica, respeitadas as exceções previstas. Portanto, o abuso no uso de dados ou a finalidade meramente econômica ou discriminatória não devem ser tolerados.
Assim, é certo que os dados pessoais podem e devem ser utilizados para o enfrentamento da pandemia, respeitando-se os princípios da LGPD, mas resta a questão sobre o que se fará deles após a crise — já que, sem o devido consentimento dos titulares, não pode haver uso com finalidade diversa daquela para a qual foram coletados. Por isso, é relevante documentar os tratamentos realizados durante a crise, para proteção em futuras fiscalizações ou demandas.
Por fim, cabe destacar que tem havido frustração na celebração de parcerias com empresas estrangeiras que objetivavam desenvolver ações de combate à Covid-19 no país. Elas argumentam que ainda não há uma legislação brasileira para a proteção de dados em vigor, bem como que o Estado brasileiro não está organizado para a sua efetiva implementação.
Diante disso, somos da opinião de que a postergação da vigência da LGPD não seja a melhor solução no momento, especialmente tendo em vista que a hipótese de utilização dos dados para enfrentamento da crise é autorizada.
Fonte: Conjur
De olho na LGPD a CLM agrega plataforma de segurança de dados Varonis à seus serviços
Brasscom publica manifesto com medidas urgentes sobre a LGPD
Senado aprova projeto que adia vigência da LGPD para janeiro
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!