Nota Institucional nº 1 – Covid-19: Privacidade, políticas de vigilância e monitoramento em tempos de pandemia
A partir de hoje, o IP.rec irá publicar notas institucionais a respeito de alguns fenômenos relacionados às respostas governamentais, privadas e sociais que surgem no Brasil e no mundo a respeito da crise ocasionada pela Covid-19. Buscaremos realizar um levantamento dos fatos políticos mais relevantes, apontando questões fundamentais relacionadas à garantia de direitos humanos em meio à crise e, por fim, sugerindo boas práticas no uso da Internet e de novas tecnologias.
Em meio às recentes notícias e medidas tomadas pelo poder público relacionadas à adoção de tecnologias de monitoramento e vigilância para prevenção do contágio e implementação de políticas públicas de saúde, o IP.rec entendendo a importância de medidas excepcionais para alcançar a eficácia de propostas de mitigação de riscos – vê com preocupação potenciais riscos relacionados à garantia da privacidade dos cidadãos e cidadãs.
O combate à Covid-19 causadora da maior pandemia dos últimos anos, vem mobilizando os mais variados setores para que sejam encontradas soluções de combate à crise. Dentre os diversos recursos utilizados nesta batalha, ferramentas que se utilizam de tecnologias de big data vêm sendo protagonistas e apresentadas como grandes aliadas nesse cenário. Assim, países como África do Sul, Áustria, Irã, Itália, Singapura, Coréia do Sul, Taiwan, Estados Unidos, Equador, Israel, e Espanha vêm se utilizando, por exemplo, de tecnologias de geolocalização para fins de controle e monitoramento das suas populações.
No Brasil, a situação parece seguir o cenário global. A nível federal, em anúncio feito pelo Ministério da Ciência, Tecnologia, Inovações e Telecomunicações (MCTIC) na última sexta-feira (27), o governo federal afirma que fechou um acordo com empresas de telefonia para otimizar o monitoramento de aglomerações. Entretanto, maiores informações a respeito da iniciativa, assim como a íntegra do acordo, não foram divulgadas.
Apesar do apoio de todas as empresas de telefonia do país – com custo zero para o governo – a medida apresenta problemas devido à falta de transparência em relação ao funcionamento da solução. Informações devem ser suficientemente publicizadas à sociedade, tal como quais dados estão sendo efetivamente compartilhados (e com que setores do governo), a duração prevista do compartilhamento, os padrões de segurança, a estrita finalidade do uso e, se possível, projeções de eficácia da medida. O que vemos é o contrário: a divulgação insuficiente dos termos do acordo entre o MCTIC e as empresas de telefonia, abrindo margem para o esvaziamento do controle sobre os próprios dados por parte dos titulares.
As regras de proteção de dados necessitam, mais do que nunca, ser observadas, sob risco de serem ampliados os níveis de desconfiança em relação aos setores governamentais, sobretudo em tempos de grande sensibilidade e instabilidade política. Não há motivo justo aparente para que os termos do compartilhamento de dados de telefonia sobre dezenas de milhões de cidadãos e cidadãs não sejam amplamente esclarecidos, divulgados e fiscalizados pela sociedade.
Já na cidade do Recife, a Prefeitura divulgou na última terça-feira (24), como mais uma ação estratégica do Plano Municipal de Contingenciamento Covid-19, o uso de uma ferramenta de mapeamento e verificação do cumprimento de ordens de isolamento social estabelecidas pelo poder público. De acordo com o prefeito Geraldo Júlio, a ferramenta, que também se utiliza da tecnologia de geolocalização, permite o monitoramento do fluxo de transeuntes em bairros da cidade do Recife.
Apesar de atores envolvidos na iniciativa enfatizarem que garantem “a possibilidade de conter o avanço da doença sem a necessidade de uma política de vigilância”, a medida nos parece, ainda assim, oferecer riscos à privacidade dos cidadãos e cidadãs que estão tendo os seus dados coletados – e esses riscos devem ser levados em consideração na implementação da política pública em questão e esclarecidos à coletividade. Assim, enxergamos o uso da tecnologia de maneira extremamente preocupante em diversos aspectos.
- Capacidade de anonimização
Ainda que articulações entre setores públicos e privados sejam fundamentais para a criação de vias de minimização dos danos causados pela Covid-19, preocupa-nos que os critérios de garantia da privacidade estejam aquém de padrões recomendados. Aponta-se, primeiramente, que os dados coletados serão desvinculados de dados cadastrais ou de identificação civil, na tentativa de proteger a identidade do titular dos dados, ou seja, anonimizá-lo. Porém, um padrão de deslocamento pode gerar resultados como, por exemplo, a possível residência do indivíduo e, consequentemente, sua identidade.
Apesar de empresas alegarem que os dados disponibilizados a autoridades e governos serão compartilhados de forma agrupada, dificultando a sua individualização, preocupa-nos os chamados casos “excepcionais”. Seriam aqueles em que, identificado um fator de contaminação de um usuário, a empresa responsável pela coleta e processamento de geolocalização poderia ceder ao poder público um histórico de toda a trajetória daquele indivíduo, os locais que visitou, outros indivíduos com quem teve contato e padrões de comportamento em deslocamento. Maiores informações a respeito de dados pessoais e sensíveis do usuário podem ser facilitadas e compartilhadas com autoridades, o que poderia induzir a sua identificação.
O fator “anonimização” em dinâmicas e modelos de processamento de bancos de dados está longe de ser pacífico entre estudiosos. Como já afirmado por diversos especialistas, técnicas de anonimização ainda não são consideradas 100% eficazes. A questão, claramente, se torna ainda mais sensível quando esse conjunto de dados é compartilhado com o poder público, situação que pode ensejar o aprofundamento de programas de vigilância em massa e o enfraquecimento da privacidade dos cidadãos. A possibilidade de reidentificação dos dados, portanto, deve ser levada em consideração no estabelecimento de políticas de segurança e privacidade de tais acordos de cooperação.
- Relativização de direitos fundamentais e o solucionismo tecnológico
Diversas tecnologias vêm sendo aplicadas de diferentes formas no contexto do coronavírus e obtêm variável sucesso em seus esforços. Por mais que sejam instrumentos centrais para a solução de problemas, não podem ser enxergadas meramente como benéficas. Independentemente do êxito, há custos sociais na implantação das tecnologias que devem ser considerados, evitando cair numa visão otimista de um solucionismo tecnológico que ignora quaisquer problemas. Um dos custos em questão é a privacidade dos indivíduos, um direito fundamental à vida em sociedade e pré-requisito para o exercício de outros direitos, como a liberdade de expressão, de reunião e associação.
Defendemos que é necessário realizar esforços por parte do setor privado e público para que sejam elevados os padrões de compreensão sobre os custos sociais relacionados ao emprego de novas tecnologias. O combate à pandemia – e, consequentemente, a ampliação dos poderes do Estado – não deve ter como efeito o esvaziamento de direitos. É preciso pensar na herança social e tecnológica que as situações de exceção poderão deixar e cuja reversão será de difícil controle pela sociedade.
- Transparência e abertura de dados
Dados os custos sociais das soluções tecnológicas desenvolvidas para combater a epidemia da Covid-19, é importante criar mecanismos e possibilidades de auditoria e fiscalização das tecnologias e de seus usos. É importante não apenas limitar os poderes dos operadores dessas tecnologias, mas também promover espaço para controlar e ajustar os usos das ferramentas utilizadas. Por isso, sustentamos que é necessário promover mais canais de transparência sobre o seu funcionamento, a exemplo dos algoritmos que automatizam os processos e decisões, bem como as informações elencadas ao longo desta nota.
Devem estar sob controle democrático tanto as pessoas, como as máquinas, seus comportamentos e orientações. Nesse período crítico, boas práticas em transparência podem otimizar as soluções tecnológicas, corrigindo erros operacionais, mitigando custos sociais, democratizando o processo decisório e estabelecendo relações de confiança entre sociedade, empresas e poder público. Receber informações honestas sobre os esforços de combate à pandemia é um direito de todos. Tais informações contribuem para empoderar cidadãos e criar uma cultura cooperação para o combate da pandemia. Por fim, vale ressaltar que a transparência é um pressuposto dos processos de tomada de decisão democráticos, um processo no qual é possível atribuir responsabilidades e prestar contas. Relegar tais decisões a máquinas ou de maneira exclusiva ao setor privado esvazia a possibilidade de prestação de contas (accountability) nestas decisões.
- Risco de vazamentos e o adiamento da LGPD
A coleta massiva de dados, como necessário para a utilidade de uma ferramenta de monitoramento de grandes aglomerados e de indivíduos, demanda meios de armazenamento seguro, que evite vazamentos de toda sorte, situação que ganha relevo em se tratando de dado sensíveis.
No mesmo sentido, levando em conta a nova realidade cotidiana, em que praticamente todas as atividades sociais, econômicas e profissionais foram transferidas para ambientes online devido ao estado de quarentena, consideramos fundamental que a vigência da LGPD se mantenha no mês de agosto de 2020. Seria temerário adiar a vigência da lei – a qual já teve sua vacatio legis ampliada pela Lei nº 13.853 de 18 para 24 meses – fosse mais uma vez adiada sob o pretexto de que as empresas não tiveram tempo de se adequar aos seus termos (agora em razão da pandemia), quando tiveram tempo suficiente para promover as adequações necessárias.
Por fim, ao contrário do que muitos afirmam, a LGPD não impede o compartilhamento de dados de saúde. Pelo contrário, permite a utilização e o compartilhamento dos dados para fins de tutela da saúde, bem como para proteção da vida e da incolumidade física do titular ou de terceiros (como observado no art. 7º, inciso VII). Oferece, portanto, a segurança jurídica para atividades relacionadas às soluções de combate à Covid-19, enquanto são resguardados os princípios de proteção de dados, delineando os limites a essas práticas.
Como regra geral para que medidas excepcionais sobre o uso dos dados dos cidadãos sejam implementadas de forma eficaz, segura e responsiva à garantia da privacidade, a transparência deve ser continuamente buscada. Além disso, as políticas de combate à Covid-19 não devem repousar unicamente em uso de tecnologias que prometem soluções imediatas e baseadas em dados: medida de educação, como campanhas informativas, fiscalização in loco sobre o agrupamento de pessoas nos espaços públicos, combate à desinformação e cumprimento das recomendações dos órgãos de saúde também devem ser energicamente buscados. A partir da colaboração entre todos os setores da sociedade, através de processos suficientemente informados, alcançaremos a superação da crise de saúde sem que direitos fundamentais sejam violados.