Continua parte 1
Na primeira parte desta coluna, trouxemos alguns exemplos de
tratamento de dados pelo poder público brasileiro, como o recadastramento
biométrico do TSE e a Lei de Identificação Civil Nacional, para destacar uma
prática de pouca aderência aos princípios e medidas voltadas à proteção de
dados pessoais.
Em seguida, mencionamos duas medidas governamentais que
instaram o Poder Judiciário a dar uma resposta durante a pandemia de Covid-19,
uma na esfera federal (MP 954/2020), e outra do governo do Estado de São Paulo
(Simi), com diferentes resultados.
Nesta segunda parte, buscamos traçar as principais
diferenças entre as medidas previstas nessas duas iniciativas governamentais,
do ponto de vista dos riscos à privacidade e ao direito de proteção de dados
pessoais. Além disso, nos debruçamos sobre os fundamentos das decisões
judiciais em cotejo com princípios da LGPD.
No caso da MP 954/2020, a violação à privacidade e ao
direito à autodeterminação informativa dos cidadãos parece evidente, ante a
coleta massiva de dados pessoais individualizados e sensíveis, com uma
finalidade excessivamente genérica, sem detalhamento técnico que pudesse
inferir uma preocupação dos agentes públicos envolvidos em tutelar a
privacidade e liberdade dos afetados, o que permitiu uma decisão assertiva do
STF, no sentido de suspender seus efeitos, rapidamente.
A ministra relatora Rosa Weber, que suspendeu liminarmente a
MP 954/2020, equaciona a questão em torno da proporcionalidade da medida, ao
disponibilizar os dados pessoais dos consumidores das companhias telefônicas
para entidade da Administração Pública. E destaca que seu texto não prevê o
objeto da estatística a ser produzida, nem a finalidade específica, tampouco
sua amplitude.
Também não há previsão do modo de utilização dos dados e a
necessidade de sua disponibilização emergencial, e adequação e necessidade para
a finalidade prevista para coleta de dados. Como bem nota a Ministra Relatora,
o texto da MP 954/2020 não permite sequer saber como esses dados poderiam ser
utilizados no combate à pandemia.
Outra preocupação expressa da Ministra diz respeito às
medidas concretas, técnicas e administrativas para garantir o sigilo de dados e
sua anonimização. Do que concluiu não estar presente interesse público legítimo
a justificar tão abrangente coleta de dados.
A decisão apontou a violação de dispositivos constitucionais,
tais como o art. 5º, X e XII. Interessante notar que na fundamentação da
decisão que a Ministra recorre, ainda que sem fazer referência expressa, a uma
série de princípios norteadores dessa matéria Lei Geral de Proteção de Dados,
como os da finalidade, segurança, necessidade e adequação, segurança.
Já no que concerne ao Simi, a decisão judicial que manteve
seu funcionamento, baseou-se amplamente na manifestação da Procuradoria Geral
do Estado de São Paulo que, fundada no Acordo de Cooperação Técnica, informou
que os dados tratados pelo SIMI são estatísticos, agregados e anônimos[1], sem identificação dos clientes nem fornecimento
desses dados em tempo real, em consonância com o art. 5º, III da LGPD. Isso,
somado ao interesse público voltado às medidas de combate à Covid-19,
justificou uma decisão judicial que sanciona a continuidade do programa.[2]
Em outra ação que também contestava o Simi[3], o Tribunal de Justiça de São Paulo, por
intermédio do desembargador Beretta da Silveira, cassou uma liminar que havia
deferido um pedido de não monitoramento de números de celular da parte autora.
Em sua argumentação, o julgador constatou, em análise ao Acordo de Cooperação
Técnica, o fato de que o tratamento de dados anônimos pelo programa não seria
capaz de ofender os direitos à privacidade e intimidade da autora.[4]
Outro argumento em prol do programa é o de que os dados
tratados pelo Simi já eram coletados pelas operadoras de telefonia móvel
antes da pandemia, servindo para gerenciamento e manutenção da demanda das
operadoras.Tratam-se de dados anonimizados, inseridos em uma plataforma
de big data gerenciada por uma entidade privada (ABR Telecom), com a
finalidade única de elaboração de relatórios estatísticosa.[5]
O Acordo de Cooperação Técnica prevê expressamente a
obrigação do ente público em não disponibilizar dados para terceiros sem autorização
(cláusula 3.1.1) e a necessidade de comunicação e colaboração na ocorrência de
quebras de segurança, a fim se garantir a segurança e integridade dos dados
(cláusula 6.1).[6]
De fato, ainda que consideremos os dados disponibilizados ao
governo paulista como pessoais, os artigos 11, "c" e 13 da LGPD
constituem hipóteses legítimas de tratamento, independente de consentimento,
para formulação e execução de políticas públicas e realização de estudos em
saúde pública, desde que mantidos em ambiente seguro e controlado. A dispensa
da obtenção do consentimento, no entanto, não exonera da observação dos demais
princípios da LGPD, dentre os quais o da finalidade, necessidade, adequação e
segurança.
Segundo o que está expresso no acordo técnico, o
fornecimento de dados "... de mapas de calor" e "da
identificação de zonas, onde podem ocorrer maior disseminação do vírus,
utilizando-se de matrizes de fluxos de deslocamento de origem e destino",
se justifica para o combate à disseminação do coronavírus.
A amplitude e vagueza da finalidade anunciada no acordo
certamente não atenderia ao princípio da finalidade no tratamento de dados pessoais
(art. 6º, I, LGPD), o que parece ser minimizado, ante a utilização de dados
anonimizados, agregados e estatísticos, aliado à emergência da pandemia.
O acordo prevê, ainda, como medida de segurança, que o ente
público só terá acesso à plataforma Big Data, em poder da ABR Telecom, que
funciona como uma intermediária. Estabelece também o dever de notificação em
caso de vazamentos de dados ou de sua disponibilização para demais órgãos
governamentais.
É de destacar, no entanto, a ausência de limitação temporal
na utilização dos dados, visto que, embora o acordo mencione a impossibilidade
de uso para outras finalidades, não há previsão de um termo final para o
acordo.
A se considerar os termos do acordo técnico, os dados
coletados pelo SIMI podem se afastar da aplicação da LGPD, pois anonimizados[7]. E,
se até mesmo dados pessoais podem ser coletados e tratados para a finalidade
que descreve o artigo, os dados anônimos também o podem, e com maior
discricionaridade pelo Poder Público (artigo 12 da LGPD).
No entanto, a falibilidade técnica dos processos de
anonimização,e sua potencial reversibilidade, é elemento que deve ser considerado
na avaliação dessas políticas públicas.[8] Vale
lembrar que embora esses dados cheguem anonimizados ao ente público, eles, em
tese, podem remeter a usuários identificáveis, com base nas informações já
detidas pelas prestadoras de serviços de telecomunicações.
Não há no Brasil, atualmente, uma regulação específica
para o tratamento de dados anônimos.Entretanto, ainda assim é possível inferir
de leis esparsas deveres e padrões de conduta exigíveis de controladores e
gestores que não foram cuidadosamente observados pelo programa.
Dentre os quais, destaca-se o dever de transparência, pois
não há nos sítios eletrônicos utilizados pelo Governo de São Paulo para
divulgar suas medidas quaisquer informações técnicas sobre o programa, mas tão
somente descrições gerais sobre seus objetivos.[9]A
ausência de informação adequada e acessível sobre o programa pode gerar, como
de fato causou, confusões e incertezas acerca de seu alcance, suas finalidades
e especificações técnicas.[10]
O déficit de transparência caminha na contramão do disposto
no art. 37 da Constituição Federal de 1988; arts. 3º, IV e art.
5º, caput da Lei de Acesso à Informação (Lei nº 12.527/2011), art.
7º, III, do Marco Civil da Internet e art. 42 do Regulamento Sanitário
Internacional (Decreto nº 10.212/2020).Note-se que as dúvidas, e mesmos os
temores, quanto aos riscos envolvidos em fornecimento de dados de
geolocalização de celulares, que se consubstanciaram em diversas ações
judiciais, não eram completamente infundados, visto que maiores detalhes sobre
o programa só foram fornecidos em sede judicial.[11]
Neste momento de emergência de saúde pública, o Poder
Público intensifica ações de coleta e tratamento de dados de milhões de
pessoas. Em nossas colunas, analisamos duas medidas estatais, que foram objeto
de decisão judicial sobre sua legitimidade. De um lado, a MP 954/2020 previu a
coleta de dados pessoais, com fins vagos e de modo desproporcional, o que levou
ao STF suspender seus efeitos, liminarmente, com decisão confirmada em
julgamento recente.[12] O
programa Simi-SP, por sua vez, parece estar mais próximo dos padrões normativos
de proteção de dados pessoais e da privacidade, embora necessitasse garantir
maior transparência e medidas de controle social.
Sem desprezar a excepcionalidade do momento presente,
quisemos destacar que a coleta massiva de dados pessoais no Brasil pelo Estado
não é novidade inaugurada pelo atual estado de emergência. A avidez estatal
pela coleta e tratamento de dados é, no entanto, potencializada em tempos de
crise como o que vivemos.
As decisões judiciais analisadas mostram que é possível
encontrar alguns parâmetros na LGPD para a proteção de direitos fundamentais e
a garantia do necessário controle social.
Não é possível, contudo, descurar da complexidade dos riscos
engendrados pelo acúmulo de dados e informações, pessoais e anônimos, que
encontram uma série de flexibilizações e alcançam maior aceitabilidade social
num momento de emergência de saúde global. O que será feito desses dados, quais
seus potenciais usos políticos e mercadológicos é questão ainda em aberto.
A regulação dos dados pessoais, com vista na proteção da
autonomia, da privacidade e das liberdades democráticas, não pode ignorar esses
enormes desafios. Não se trata de afastar a importância fundamental das medidas
de saúde pública e sanitárias, de confinamento e isolamento. Do mesmo modo, não
se ignora a relevância do tratamento de dados no combate à pandemia.
Muitas dessas estratégias políticas não são inovações
trazidas por um momento excepcional, mas estão sendo adotadas pelo Poder
Público há pelo menos uma década.Trata-se de se lembrar das intrincadas,
complicadas e potencialmente perigosas relações entre público e privado nessa
matéria. E, finalmente, de destacar que esse cenário constitui um ambiente
favorável ao afrouxamento crescente e permanente dos limites.
Fonte: Consultor Jurídico