Por Ellen Carolina Silva e José Roberto Camasmie Assad*
Artigo publicado originalmente na ConJur
A pandemia da Covid-19 tem mobilizado ações políticas, econômicas e sociais de proporções inéditas em todo mundo. Nesse contexto, governos de diversos países editaram legislações específicas de enfrentamento da doença, incluindo políticas de isolamento, quarentena e distanciamento social, bem como compartilhamento de dados entre setor público e setor privado com a finalidade de embasar e monitorar as medidas de contenção da epidemia.
No passado, a relativização de direitos fundamentais e o compartilhamento de informações em prol do interesse público causaram danos inimagináveis a milhares de cidadãos e diversas organizações políticas. Em 2001, o então presidente dos Estados Unidos, George W. Bush, sancionou a lei denominada Patriot Act, que possibilitava a interceptação de comunicações privadas para identificar ataques terroristas em defesa da segurança nacional.
Anos depois, Edward Snowden divulgou detalhes de um grande esquema de vigilância conduzido pelo governo americano que envolvia espionagem de cidadãos e de autoridades de vários países. O esquema tinha relação direta com o Patriot Act e acabou por permitir que agentes públicos tivessem acesso ao conteúdo de e-mails e telefonemas de milhares de cidadãos.
O que antes invadia a privacidade do indivíduo, sob a justificativa de se prevenir contra o terrorismo, hoje a invade sob o argumento de combater a Covid-19. Em ambos os casos o discurso é o mesmo. Governos precisariam ter acesso a dados de indivíduos por uma questão de interesse público, visando ao combate de algo maior. Uma lição importante foi aprendida com esse cenário. Não se afasta do poder público a possibilidade de manipular dados pessoais, mas deve fazê-lo de maneira clara e nos limites do quanto necessário à proteção da coletividade e à implantação das políticas públicas que se mostrarem necessárias, permitindo que a sociedade tenha compreensão sobre o que está sendo feito com tais informações.
De lá para cá, diversas foram as legislações editadas de forma a proteger interesses individuais fundamentais e viabilizar a compreensão sobre a utilização de dados pessoais. Em 2018, na Europa, foi publicado o Regulamento Geral de Proteção de Dados (GDPR), fonte inspiradora da nossa Lei Geral de Privacidade de Dados (LGPD — Lei 13709/2018), que, por sua vez, em razão da pandemia da Covid-19, teve a sua vigência prorrogada para 3 de maio de 2021 (Media Provisória 959, de 29 de abril de 2020).
Aqui no Brasil, independentemente da vigência da LGPD, existem ainda legislações setoriais que, de forma específica, já protegem dados pessoais e contemplam medidas de salvaguardas e mecanismos de mitigação de riscos, tais como a Lei 8078/90, que instituiu o Código de Defesa do Consumidor, a Lei 12.965/2014, que instituiu o Marco Civil da Internet, e a Lei de Acesso à Informação (12.527/2011), entre outras. Isso sem contar as normas protetoras de direitos fundamentais resguardadas pela legislação nacional, em especial a Constituição Federal de 1988 e demais tratados internacionais de direitos humanos dos quais o Brasil é signatário.
Apesar disso, as regras trazidas pela LGPD, mesmo sem ter entrado em vigor, já assumem um papel norteador de diversas políticas públicas, pois estabelecem claramente o mínimo de segurança esperada pelos titulares dos dados, na medida em que apresenta um rol de possibilidades restrito para o tratamento. Quando o tratamento não ocorrer com o consentimento do titular — como nos casos de compartilhamento de dados entre governos e entidades privadas no combate ao coronavírus —, a mesma pode se dar para essa finalidade nos casos de proteção da vida ou da incolumidade física do titular ou de terceiros e tutela da saúde em procedimento realizado por serviços de saúde ou autoridade sanitária, bem como para a execução de políticas públicas.
Ao mesmo tempo, a LGPD, em qualquer dessas hipóteses que elencamos acima, permite que os dados pessoais sejam compartilhados no enfrentamento a uma pandemia sem consentimento dos titulares. A lei também é clara ao determinar que a dispensa do consentimento, nessas hipóteses, não desobriga os agentes de tratamento da observância aos princípios gerais e das garantias dos direitos do titular sob pena de responsabilidade. Ao contrário, a utilização desses dados deve ser adstrita a propósitos legítimos, específicos e explícitos informados ao indivíduo, sem a possibilidade de tratamento posterior de forma incompatível com a sua finalidade e a sua adequação.
Nesse momento em que vivemos, o adiamento da vigência da LGPD pode parecer temerário, pois, no mínimo, ela garantiria a proteção clara aos direitos fundamentais da privacidade e da proteção de dados.
A despeito disso, o Poder Judiciário vem levando em consideração não apenas os princípios e o legado que trouxe a LGPD como aplicando as normas setoriais e constitucionais existentes, de forma a prevenir abusos no tratamento dos dados pessoais, seja por parte do governo ou de entes privados, mesmo em casos de situações extraordinárias como a pandemia da Covid-19.
Reconhecendo abusos nas medidas governamentais que determinam compartilhamento de dados em razão da pandemia da Covid-19, a ministra do Supremo Tribunal Federal Rosa Weber determinou recentemente a suspensão da eficácia da Medida Provisória 954/2020 [1], que dispõe sobre o compartilhamento de dados (dos nomes, dos números de telefone e dos endereços de seus consumidores) por empresas de telecomunicações prestadoras de serviço telefônico com o IBGE com o objetivo de possibilitar que o órgão possa realizar a Pesquisa Nacional por Amostra de Domicílios (Pnad Contínua), que mede o desemprego no país durante a situação de emergência de saúde pública.
Na decisão, a ministra enfatizou, acertadamente, que, ao não definir apropriadamente como e para que serão utilizados os dados coletados, tampouco mecanismos de proteção dos dados de acessos não autorizados, vazamentos acidentais ou utilização indevida, e levando em consideração os princípios basilares que norteiam a LGPD, a medida provisória não oferece condições para avaliação da sua adequação, necessidade e finalidade.
Hipóteses como essa, em que o governo manipula os dados de maneira obscura e sem viabilizar compreensão para o que de fato pode acontecer, podem levar a situações como aquelas vivenciadas por muitos após a promulgação do Patriotic Act. A propósito, em recente artigo publicado no Washington Post (“How to avoid a pandemic Patriot Act”) [2], destaca-se que a tecnologia pode ser adotada como uma grande aliada no combate à pandemia, mas com os cuidados e as cautelas necessários de modo a se evitar que o seu uso seja desvirtuado e sirva de amparo a um Estado policialesco.
Cabe às autoridades públicas, ao propor medidas emergenciais nesse período, combinar o resultado útil com a menor exposição de informações pessoais dos cidadãos, evitando-se vigilância governamental indesejada. Neste cenário, as medidas adotadas devem ser adequadas aos fins pretendidos, com as necessárias salvaguardas que protejam os dados contra vazamentos indevidos e acessos não autorizados.
Transparência deve ser a palavra de ordem. A crise da Covid-19 certamente passará, mas os efeitos das medidas adotadas por governos e empresas hoje podem ser duradouros e, se as escolhas não forem adequadas, há a possibilidade de se enfrentar tempos obscuros como aqueles contemporâneos à edição do Patriotic Act.
O uso da tecnologia ou dos dados deve se dar, portanto, de maneira a não comprometer os direitos fundamentais e sociais do cidadão, garantidos constitucionalmente, como a inviolabilidade da privacidade e da intimidade.
[1] Ação Direta de Inconstitucionalidade nº 6387 proposta pelo Conselho Federal da Ordem dos Advogados do Brasil — CFOAB L
[2] https://www.washingtonpost.com/opinions/how-to-avoid-a-pandemic-patriot-act/2020/04/21/61932346-83f5-11ea-a3eb-e9fc93160703_story.html
Ellen Carolina Silva é advogada em São Paulo, sócia do escritório Luchesi Advogados.
José Roberto Camasmie Assad é advogado especialista em Recuperação Judicial do escritório Luchesi Advogados.