Proteção de dados pessoais no combate ao COVID-19: parceria Apple/Google
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
22 de abril de 2020
Alguns dias atrás, as gigantes da tecnologia Apple e Google anunciaram uma iniciativa conjunta para desenvolver software de monitoramento de pessoas durante a pandemia do coronavírus. Este post busca colocar em discussão algumas das principais questões relativas a essa parceria, com atenção especial às repercussões relativas a privacidade do usuário e proteção de dados. Também serão apontadas algumas iniciativas semelhantes adotadas no Brasil, sob as quais recaem as mesmas preocupações sobre segurança digital.
Do que se trata a parceria entre Apple e Google?
Em termos gerais, a parceria entre as empresas foi criada para combinar esforços na criação de um software que facilite a obtenção de dados de usuários por aplicações de autoridades de saúde. O objetivo é que seja mais fácil identificar possíveis infectados e adotar medidas de contingenciamento da pandemia, através de informações sobre localização de cada usuário, pessoas com quem entrou em contato nos últimos tempos, entre outras. Esses dados fornecem às autoridades de saúde informações mais detalhadas sobre os padrões de disseminação do vírus, e permitem a adoção de decisões melhor fundamentadas para o enfrentamento da pandemia.
A parceria, analisada por esse ângulo ilustra o quanto o avanço da tecnologia da informação e o Big Data podem ser benéficos para melhor administração de eventos fortuitos. Adicionalmente, ilustra que grandes empresas concorrentes no mercado de tecnologia de ponta e que apresentam um histórico de rivalidade entre si estão dispostas a unir-se para enfrentar a situação adversa pela qual estamos passando, o que reforça a seriedade da doença e a necessidade da colaboração de todos para combatê-la.
Preocupações quanto ao uso de dados pessoais dos usuários
Apesar de apresentar pontos positivos importantes, como os apontados anteriormente, há questionamentos sérios que estão sendo dirigidos à parceria Apple/Google e à tecnologia que as empresas anunciaram estar desenvolvendo.
O principal desses questionamentos diz respeito a privacidade, proteção de dados e segurança da informação. Como apontado pela American Civil Liberties Union (ACLU) em uma postagem recente, a tecnologia, apesar de potencialmente trazer benefícios para a saúde pública, pode resultar em consequências desastrosas caso mal desenvolvida, e as informações disponibilizadas sobre o aplicativo não são suficientes para garantir sua confiabilidade neste momento.
Dentre as consequências possíveis, pode-se destacar por exemplo o acesso de informações relativas a localização, moradia, local de trabalho, contatos próximos e saúde dos usuários – entre outras – por pessoas não autorizadas. Isso pode incluir desde terceiros mal intencionados até órgãos estatais que não têm legitimidade para tratar essas informações – consideradas todas dados pessoais – para as finalidades pelas quais estão sendo coletadas (quais sejam, a organização dos sistemas públicos de saúde para enfrentamento da crise trazida pelo COVID-19).
Por esses motivos, a adoção de protocolos de segurança na tecnologia que está sendo desenvolvida é essencial, mas não constitui a única medida necessária para que sejam garantidos os direitos dos usuários de internet.
Pode-se citar também a necessidade de que haja mecanismos de transparência efetivos sobre quem tem acesso aos dados coletados, e a distinção pormenorizada das finalidades e atividades de tratamento aos quais essas informações são submetidas. Essas medidas, em adição ao respeito aos demais direitos dos titulares de dados pessoais – como a não discriminação, a necessidade do tratamento, a qualidade dos dados, o livre acesso, entre outros –, garantirão que sejam contemplados os direitos dos usuários cujos dados serão submetidos ao aplicativo
A ACLU menciona que o consentimento do usuário para ter seus dados submetidos ao aplicativo também é extremamente importante, alegando que a obrigatoriedade da participação da população nas atividades do aplicativo repercutirá em uma sensação de desconfiança por parte dos usuários, que buscarão meios de contornar a coleta de seus dados. Outra preocupação da entidade é de a contabilização de falsos positivos ou de suspeitas infundadas que seriam evitadas caso o usuário tivesse autonomia sobre o compartilhamento de suas informações: pode ser o caso, por exemplo, de um usuário estar próximo a alguém infectado, mas devidamente seguro com equipamento de proteção, ou mesmo dentro de um carro no qual o referido infectado não está – ambas situações que a mera coleta de dados de localização não conseguiriam distinguir e que possibilitariam métricas errôneas na base de dados do aplicativo.
Cabe apontar, contudo, que, embora preferível, o consentimento é colocado em diversas legislações de proteção de dados – inclusive o Regulamento Geral de Proteção de Dados da UE e a Lei Geral de Proteção de Dados brasileira – como não essencial para que sejam justificadas as atividades de tratamento, bastando que haja alguma justificativa razoável para tal, como uma base legal de proteção da vida ou tutela da saúde, ou mesmo uma prerrogativa de segurança pública.
Dessa forma, caso seja utilizada exclusivamente para os fins lícitos anunciados pelas empresas Apple e Google, ou seja, para compartilhamento com autoridades de saúde para fins unicamente voltados à superação da pandemia do COVID-19, talvez o consentimento do usuário não seja considerado um pré-requisito essencial para as atividades de tratamento. Isso, por sua vez, amplifica a necessidade de que sejam adotadas medidas de transparência adequadas, para que se comprove que a coleta dos dados pessoais dos usuários está em conformidade com as expectativas internacionais e com os enunciados legais dos países em que for aplicada essa tecnologia.
Importa ainda apontar que a desnecessidade do consentimento do usuário é um tema cada vez mais discutido na União Europeia. A European Data Protection Board (EDPB) publicou recentemente as diretrizes para uso de dados de localização e de análise de contatos, nas quais ressalta a importância de que essas atividades sejam realizadas em observância da diretiva sobre ePrivacy (privacidade digital), também da União Europeia.
Dentre as previsões dessa regulação, consta, por exemplo, a necessidade de que dados de localização coletados por provedores de conexão sejam anonimizados antes de seu envio a autoridades estatais, e que a coleta dessas informações por provedores de aplicação necessitam sempre do consentimento do usuário sempre que a atividade de tratamento de dados em questão não for essencial para o funcionamento do aplicativo utilizado. A entidade também ressalta as previsões da diretiva sobre a análise de contatos, ressaltando que trata-se de atividade de tratamento em que é essencial o consentimento do usuário.
Por fim, a EDPB enfatiza que, em se tratando de atividades potencialmente muito lesivas à privacidade dos usuários de internet, a transparência mostra-se fundamental para a legalidade dessas atividades de tratamento de dados.
O Brasil e o uso de tecnologias similares
No Brasil, recentemente foram divulgadas informações sobre a adoção de tecnologias similares à proposta pela parceria Apple/Google, tanto por iniciativa do governo federal quanto de governos estaduais.
Aqui, contudo, observa-se a particularidade de que nossa Lei Geral de Proteção de Dados ainda não está em vigor, e tem chance de ter sua validade adiada para o ano de 2021. Adicionalmente, a inexistência de uma Autoridade Nacional de Proteção de Dados devidamente edificada corrobora para o fato de que a população brasileira se encontra em situação de considerável carência de direitos sobre privacidade e proteção de seus dados pessoais.
Em termos gerais, isso resulta na vulnerabilidade dos usuários de internet brasileiros, que ainda não contam com mecanismos efetivos para defesa de seus direitos. Frente a esta situação, multiplica-se a importância de que a população exija informações detalhadas sobre as tecnologias empregadas por órgãos governamentais: frente à deficiência dos mecanismos legais em voga, reforça-se a necessidade pela externalização dos anseios dos usuários de internet.
Conclusão
O uso de tecnologias de localização de indivíduos pode ser uma ferramenta extremamente importante para um tratamento mais rápido e eficaz da pandemia do coronavírus. Contudo, é importante termos em mente o que a EDPB menciona na conclusão do seu documento de diretrizes para endereçar a situação. Em tradução livre, a entidade aponta que “não deve ser necessário escolher entre uma resposta eficiente à crise atual e a proteção de nossos direitos fundamentais: nós conseguimos alcançar os dois objetivos, e, adicionalmente, os princípios de proteção de dados podem ser peças chave na luta contra o coronavírus”.
Tem interesse em conteúdo sobre como a atual situação global quanto ao coronavírus afeta temas relativos a Direito e internet? O IRIS tem publicado conteúdo sobre o tema consistentemente nas últimas semanas. Para acessar nosso post mais recente, sobre a pandemia do COVID-19, aplicativos de saúde e a prática de zero-rating em planos de telefonia móvel, clique aqui!
As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração por Freepik Stories
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).