Danilo Doneda / Publicado no JOTA em 25 de março de 2020
Em uma crise aguda como a da atual pandemia do Covid-19, os dados pessoais são elementos essenciais para modelar e executar políticas públicas de contenção e controle do vírus, bem como para tornar possível que a pesquisa científica proporcione os melhores resultados possíveis no menor período de tempo. Ao mesmo tempo, o papel das legislações de proteção de dados na proteção de liberdades individuais e coletivas ganha relevância fundamental, diante do risco de que novos usos de dados derivem para interesses não relacionados ao combate à doença.
A disciplina da proteção de dados foi influenciada por situações como esta e possui previsões específicas a respeito. Por exemplo, a possibilidade ampla de utilização de dados submetidos a processos de anonimização ou a facilidade em usar dados pseudonimizados e seu impacto à privacidade são discutidas desde, ao menos, a primeira metade do século XX, justamente em estudos sobre saúde pública. Nesta época, publicações da área chamavam a atenção para a importância para a pesquisa em saúde de um “livro da vida”, um conjunto dos dados e feitos relevantes na vida de uma pessoa. A partir daí, a necessidade de proteger dados como estes adentrou tanto a ética em pesquisa quanto, mais tarde, a própria disciplina da proteção de dados.
Hoje, é cada vez mais comum que normativas de proteção de dados proporcionem uma base legal para o tratamento de dados em situações de emergência, de necessidade vital, de saúde pública, para fins humanitários e outras similares.
A disciplina da proteção de dados nasceu voltada à proteção do indivíduo. Assim, em situações e momentos que clamem pelo acesso e disponibilização mais amplo de dados pessoais a fim que se atinja um inconteste interesse maior, a disciplina de proteção de dados não há de se constituir um empecilho – pelo contrário, é a partir dela que, justamente, a utilização destes dados pode ter legitimidade e que os respectivos limites e procedimentos específicos são tornados claros. Vejamos.
Em primeiro lugar, a própria existência de um marco normativo em proteção de dados torna o processo de tratamento de dados em situações emergenciais mais seguro e caracterizado por maior segurança jurídica. Estando a proteção de dados vocacionada à proteção do cidadão, a sua disciplina compreende dispositivos capazes de legitimar a utilização de seus dados pessoais em situações nas quais o seu interesse ou o da sociedade é prioritário, como ocorre em situação como a que estamos passando. Assim, com a legislação de proteção de dados, ao proporcionar base legal e legitimidade para que dados pessoais sejam usados neste contexto, os controladores e demais responsáveis passam a ter segurança jurídica para que os forneçam e tratem para esta finalidade.
A enorme importância do tratamento de dados pessoais neste contexto, aliás, reverbera a admoestação de Robert Kirkpatrick, do projeto Global Pulse da Organização das Nações Unidas, que, justamente, promove a utilização de dados para fins humanitários, ao afirmar que, em situações de emergência ou interesse humanitário, a sociedade não deve somente tutelar os dados pessoais porém também tem o dever de utilizá-los efetivamente, sempre que, neste contexto, possam ser úteis.
Este elemento fundamental que é a legitimação para o uso em situações de emergência não é, de forma alguma, uma carta em branco fornecida pelas legislações de proteção de dados para o emprego irrestrito de dados pessoais: assim como em outras situações, o seu tratamento deve respeitar direitos e garantias individuais, princípios e regras aplicáveis, entre outras: que a utilização dos dados pessoais seja somente para a estrita finalidade de conter a emergência, a minimização de riscos através da utilização de um conjunto mínimo de dados possível, a anonimização e pseudonimização sempre que possível, o emprego das medidas de segurança necessárias.
Hoje, diversas utilizações de dados pessoais em função da pandemia já se fazem notar. Em Israel, cidadãos contaminados são objeto de monitoramento da sua própria quarentena; em Singapura, dados estatísticos, juntamente com dados anonimizados de cada pessoa diagnosticada são tornados públicos em um painel; na China, as medidas de monitoramento dos cidadãos foram levadas a um patamar ainda maior que o habitual, entre tantos outros casos.
Um grande número de autoridades de proteção de dados já se pronunciou a respeito: a Global Privacy Assembly , que congrega autoridades de proteção de dados de todo o mundo, declarou que as normas de proteção de dados não são obstáculo na luta contra o vírus e que a colaboração entre seus membros é agora mais vital que nunca; o Comitê Europeu de Proteção de Dados (EPDB) enfatizou a necessidade de que a utilização dos dados pessoais e a restrição a direitos justificados pelo combate ao vírus sejam proporcionais e limitadas ao período de emergência.
Um grande número de autoridades nacionais de proteção de dados se manifestaram a este respeito, tanto chamando a atenção para a necessidade do uso de dados pessoais quanto para os limites a serem observados e outras orientações específicas, como as autoridades espanhola, italiana e britânica, entre diversas outras.
A Lei Geral de Proteção de Dados brasileira ainda não está em vigor – aliás, originariamente ela deveria ter entrado em vigor em fevereiro de 2020, a tempo, portanto, de ser aplicada na situação que vivemos. Ainda assim, o fato de sua gramática e seus elementos principais já se encontrarem em plena assimilação por organizações brasileiras, bem como que muitos de seus princípios e regras, ainda que não estejam em vigor, encontram ressonância em outras normas hoje vigentes, faz com que a a proteção de dados e a LGPD devam ser consideradas com atenção no cenário atual.
A legislação de proteção de dados oferece dois elementos fundamentais para o debate atual: o primeiro, já mencionado, é que, ao contrário das normas tradicionais de confidencialidade e sigilo, a normativa de proteção de dados convive bastante bem com regimes complexos de autorizações e limitações específicas para uso de dados conforme os atributos presentes, como a sua finalidade e, desta forma, é capaz de proporcionar legitimidade e segurança jurídica para a utilização de dados pessoais no combate ao vírus – favorecendo, inclusive, o uso destes dados para tal fim.
O segundo elemento refere-se a uma situação que surgirá após o vírus: diversos tratamentos de dados pessoais no combate ao vírus hão de ser pontuais e somente se justificam neste contexto. A ideia de um legado de vigilância e hipertrofia do uso de dados pessoais para outras finalidades, cessada a emergência, há de ser combatida com vigor e, hoje, um marco regulatório e uma cultura estabelecida de proteção de dados são o maior remédio de que uma sociedade possa dispor para evitar o risco da consolidação de um estado de “vigilância crônica”.
Iniciativas para utilização de dados pessoais no combate ao vírus no Brasil estão a pleno vapor, como a de fornecimento de dados de geolocalização que envolve a empresa de telefonia TIM e a Prefeitura do Rio de Janeiro. O fato da legislação a respeito não estar ainda em vigor não deve engessar iniciativas voltadas ao combate ao vírus, bem como não pode induzir a que não sejam observados os limites e a proporcionalidade cuja observância, ainda em situação de emergência, é vital.
É patente que a Autoridade Nacional de Proteção de dados poderia, neste contexto, desempenhar papel fundamental, ao estabelecer diretrizes, esclarecer limites e, de forma geral, favorecer a utilização de dados pessoais neste contexto ao mesmo tempo em que estabelece limites e salvaguardas de forma concreta e dinâmica. Lembrando que a LGPD, no que toca à criação da Autoridade, já se encontra em vigor, caracterizando justamente a mora e inação do Poder Executivo na criação de um órgão que, ainda que previamente à entrada em vigor da lei, já seria capaz de proporcionar um debate e direcionamento fundamentais neste momento. A omissão do poder público quanto à sua estruturação acaba por se acumular, portanto, a diversas outras que se fazem sentir de maneira particularmente clamorosa neste momento.
A LGPD possui instrumentos capazes de cuidar das demandas advindas da emergência por qual passamos em um quadro de manutenção de direitos e garantias individuais e coletivas e, além disso, será um elemento fundamental para a reestruturação que advirá após a crise. É imprescindível e urgente que contemos com ela o quanto antes, assim como com a Autoridade Nacional de Proteção de Dados para proporcionar liderança, definir parâmetros e organizar o debate, a exemplo de outras autoridades nacionais.
Danilo Doneda é advogado, professor no IDP e membro indicado pela Câmara dos Deputados no Conselho Nacional de Proteção de Dados Pessoais e Privacidade