Reflexões sobre o aplicativo chinês Alipay Health Code, que classifica os usuários de acordo com suspeitas

Desde a declaração de pandemia do coronavírus (COVID-19) pela Organização Mundial da Saúde (OMS), as discussões a respeito do tratamento de informações pessoais de indivíduos de todo mundo têm sido levantadas com afinco.

Na China, primeiro epicentro da COVID-19, a empresa Ant criou o aplicativo Alipay Health Code, que utiliza informações pessoais coletadas dos usuários para enquadrá-los conforme o nível de risco e definir a necessidade de isolá-los, como tentativa de conter o avanço do vírus.

De acordo com o aplicativo, pessoas que recebem o código verde podem se locomover livremente. Para aquelas que recebem o código amarelo, o aplicativo solicita que se isolem em suas residências pelo período de sete dias e, por fim, para quem recebe o código vermelho, a permanência em quarentena de duas semanas é obrigatória.

Tal ferramenta, que auxilia as autoridades chinesas sobremaneira na tentativa de mitigar a disseminação do coronavírus, deve observar os princípios e diretrizes elencados e estabelecidos no regulamento de segurança das informações pessoais1 e nas leis de cibersegurança2 e de criptografia3 da China.

No contexto europeu, em que a Itália figura como epicentro da pandemia da COVID-19, o European Data Protection Board (EDPB) se manifestou a respeito do tratamento de dados pessoais de europeus no contexto atípico e devastador que vive a humanidade.

Na oportunidade, o EDPB ressaltou que o General Data Protection Regulation (GDPR) permite que autoridades sanitárias processem os dados pessoais no contexto de uma epidemia, respeitada, também, a legislação de cada país-membro.

É dizer, na atual sociedade da informação – que Manuel Castells tanto se dedicou a estudar e na qual é evidente a vulnerabilidade dos usuários enquanto titulares dos seus dados –, a criação de softwares que se utilizam do Big Data acende a discussão para os possíveis abusos que podem ser causados na utilização desses aplicativos, não só em casos extremos como o da guerra contra o coronavírus.

Foi no desígnio de salvaguardar as informações pessoais dos indivíduos que emergiu, inclusive, o conceito de privacy by design (PbD), baseado na percepção de que a privacidade não é assegurada somente pelo Compliance com as estruturas regulatórias.

Na realidade, essa garantia deve ser o modus operandi por detrás das organizações. Isso implica a garantia de que a privacidade seja implementada, em nível máximo, durante toda a estruturação e design de determinado projeto, da essência ao seu desfecho, isto é, durante todo o ciclo da ferramenta que processa dados pessoais, conforme explana Ann Cavoukian4.

Também a ideia do chamado privacy by default – atrelado ao privacy by design – preceitua que as configurações de privacidade devem ser feitas da maneira mais restrita possível, por padrão, de modo que informações pessoais além daquelas necessárias para a atividade exercida deve ser liberada pelo usuário, caso queira.

Assim, em um cenário de disseminação global da COVID–19, interessante seria a aplicação dos conceitos do privacy by design e do privacy by default na arquitetura dos dispositivos virtuais, como o Alipay Health Code.

No contexto da pandemia, a ideia de que “todo instrumento de contenção do coronavírus é bem-vindo” pode parecer tentadora, contudo, a validação desse tipo de discurso deve ser cautelosa.

Isso porque os diversos aplicativos utilizados pelo governo e por empresas chinesas somados às demais tecnologias que coletam dados pessoais, como a câmera desenvolvida pela Hanwang Technology que, por meio do reconhecimento facial, identifica quais chineses têm usado máscaras de proteção nas ruas e detecta o nome e a temperatura corporal das pessoas, exercem vigilância constante na população chinesa.

Essa vigilância, que se dá de forma descentralizada, ocorre por meio da atuação do que Bruce Schneier 5 chamou de little brothers, isto é, dispositivos que se alimentam das interações online e off-line dos indivíduos e que geram um volume imenso e valioso de informações pessoais, inclusive aquelas relativas à saúde.

Desse modo, para garantir o respeito aos limites mínimos de proteção e segurança da informação, ao se utilizar aplicativos como o Alipay Health Code, tanto o governo quanto as empresas chinesas precisam observar o regulamento chinês que, em seu Capítulo 3.2, reconhece a sensibilidade de dados relacionados à saúde dos indivíduos.

A observância das normas protetivas, especialmente para aqueles agentes que processam informações extraídas de registros feitos em tratamentos médicos; relatórios de testes de saúde, de cirurgias feitas ou de diagnósticos; histórico médico familiar; registros de doenças infecciosas e demais informações relacionadas à saúde do indivíduo, é fundamental.

Isso porque incidentes como o vazamento de dados ou até mesmo a utilização ilegal e/ou indevida dessas informações colocam em risco a reputação e a saúde mental e física do titular de dados, além de abrir caminho para o tratamento de informações pessoais sob a ótica discriminatória.

Portanto, ainda que em um cenário de pandemia surjam análises que originam discursos favoráveis à flexibilização das normas protetivas de dados pessoais em prol da saúde dos usuários, tais análises devem ser feitas de forma cuidadosa a fim de preservar a privacidade e a integridade das informações pessoais dos usuários, o que inclui, também, a utilização de aplicativos como o Alipay Health Code no combate ao coronavírus.

Fonte: Jota