A pandemia do coronavírus intensificou o já crescente uso de dados pessoais de consumidores brasileiros e os rastros digitais coletados por telefones celulares e redes sociais são, cada vez mais, uma valiosa fonte de informações.

Um dos dados mais relevantes utilizados neste período de pandemia são os de geolocalização, ou georreferenciamento, que podem ser utilizados para conter os efeitos da crise, mas também abrem margem para violações ao direito fundamental à privacidade, como já comprovam algumas medidas implementadas em diferentes países.

No Brasil, as iniciativas do poder público para proteção à privacidade dos consumidores são bastante frágeis. A AGU (Advocacia Geral da União), afirmou que o compartilhamento de dados de geolocalização de consumidores por parte das operadoras de telecomunicações não viola a Constituição Federal e a LGPD (Lei Geral de Proteção de Dados), desde que seja feito de modo agregado e anonimizado, ou seja, um tratamento conjunto das informações, para fins de estatística, em que o objetivo é analisar um dado geral.

Em harmonia com o governo federal, a prefeitura do Rio de Janeiro e o governo do estado de São Paulo fizeram acordos de compartilhamento desses dados com operadoras de telefonia e a prefeitura de Recife chegou a contratar os serviços de uma empresa de inteligência de dados para isso. Em todos os casos faltou transparência do poder público.

Considerando que o compartilhamento de dados de localização da população brasileira envolve, necessariamente, riscos como vazamento de dados, desvio de finalidade levando à discriminação de titulares e a vigilância e controle social, caso o poder público decida fazê-lo mesmo assim, é fundamental buscar o equilíbrio entre o uso destas informações para efetivo combate à pandemia e a garantia de que os direitos dos consumidores não sejam violados.

Atraso da LGPD e ausência da Autoridade Nacional 

Somado aos riscos, o atraso na criação da Autoridade Nacional de Proteção de Dados (ANPD) e o possível adiamento da vigência da LGPD, em decorrência do Projeto de Lei nº 1.179/2020, já aprovado pelo Senado Federal e aguardando votação na Câmara dos Deputados, tornam esse cenário mais preocupante. 

Como uma das organizações propulsoras da nova legislação, o Idec já se manifestou contrariamente ao adiamento, que em situação de crise coloca os cidadãos-consumidores em uma posição de vulnerabilidade ainda maior. O equilíbrio desejado para o uso efetivo de dados pessoais no combate à Covid-19 deveria justamente ter a LGPD como referência e ser regulado pela ANPD, assim como ocorreu, por exemplo, em países europeus. 

Ainda assim, mesmo que a vigência da Lei seja adiada, seus princípios devem ser observados para a melhor adequação do uso de dados pessoais e das tecnologias da informação e comunicação no enfrentamento à pandemia. O período antecessor a sua entrada em vigor foi determinado para garantir os processos de adequação, que levam tempo e dedicação, pois além de se tratar de uma legislação aprovada de forma unânime no Congresso, representa a consolidação de normas que já existiam no ordenamento jurídico. 

É importante ressaltar que princípios relacionados ao direito à privacidade e a proteção de dados estão presentes em leis nacionais muito anteriores à LGPD, como o Código de Defesa do Consumidor, a Lei de Acesso à Informação, o Marco Civil da Internet e a Lei Geral de Telecomunicações, assim como a própria Constituição Federal. Com a falta da ANPD, devem ser seguidas as diretrizes de órgãos diretamente relacionados com o setor, no caso dos dados de geolocalização por meio de telefones celulares, a Agência Nacional de Telecomunicações (ANATEL) é responsável. 

Diretrizes para a proteção de dados pessoais em tempos de pandemia 

Com base nesse sistema regulatório, especialistas do Idec elencaram 5 princípios norteadores com objetivo de orientar agentes públicos e privados envolvidos na coleta e tratamento de dados de geolocalização e garantir o cumprimento das normas que protegem os direitos digitais de consumidores. 

1. Transparência: é necessário clareza e publicidade nos termos dos acordos de compartilhamento, visando facilitar a compreensão do público e garantir a lisura do processo (Art. 6º, inciso VI, LGPD; Art. 3º, LAI).
2. Finalidade e adequação: é preciso determinar um objetivo concreto, específico e legítimo do tratamento dos dados, não justificativas genéricas como "combate à pandemia". Para se adequar ao princípio da finalidade específica, deve-se destrinchar propósitos concretos como "melhor manejo dos leitos de UTI" ou "análise do cumprimento do isolamento social" e realizar uma avaliação sobre a capacidade do tratamento proposto em alcançar as finalidades estabelecidas (Art. 6º, incisos I e II, LGPD).
3. Minimização e necessidade: é fundamental limitar o uso somente aos dados necessários às finalidades informadas, de forma proporcional,  considerando as eficiências com as mitigações à proteção de dados e à privacidade dos cidadãos (Art. 6º, inciso III, LGPD).
4. Ciclo de vida: para evitar o uso indevido de dados, deve-se determinar claramente o início, meio e o fim do tratamento, incluindo políticas de descarte dos dados para garantir o respeito à  finalidade legítima (Arts. 5º, inciso X, e 16, LGPD). 
5. Anonimização, agregação e não discriminação: em casos em que não seja necessário saber informações sobre pessoas específicas, os dados devem ser agregados e anonimizados para a finalidade determinada, o que significa fazer um tratamento conjunto das informações, para fins de estatística, em que o objetivo não é rastrear, mas sim analisar um dado geral. Essa prática diminui as preocupações com as brechas para possíveis discriminações de titulares devido a divulgação de dados individualizados que poderiam ser reidentificados, ou seja, permitir que a pessoa titular dos dados seja identificada. (Arts. 6º, inciso IX, 12, 13 e 18, LGPD).

Iniciativas de compartilhamento de dados podem ser úteis para a minimização dos impactos da pandemia, mas é preciso ter equilíbrio entre a necessidade do uso dos dados e sua efetividade para fins determinados e concretos. Os mesmos princípios podem ser aplicados a outros casos de compartilhamentos de dados neste momento de crise, como por exemplo o caso do IBGE, determinado pela Medida Provisória 954.

É preciso analisar qual a real efetividade do uso de dados, considerando que o Brasil não está conduzindo testes em massa da população, nem tomando medidas de isolamento de maneira uniforme no país. Por isso, algumas das iniciativas implementadas em outros países, que aqui podem ser consideradas violações à privacidade, não devem ser consideradas efetivas neste cenário de ausência de testes de contaminação em massa. Sendo assim, existem fortes dúvidas e preocupações sobre a eficácia do compartilhamento de dados de geolocalização sem a autorização dos titulares.

Dessa forma, práticas como a medição de índices de isolamento e produção de mapas de aglomeração, por serem dados anonimizados, são mais recomendadas. Por outro lado, o uso de dados de contágio relacionados a informações de geolocalização individualizadas, por serem desproporcionais e intrusivas, além de ineficazes em um cenário de baixa escala de testes, deve ser evitado.

Em um momento de crise global é ainda mais urgente valorizar e privilegiar iniciativas que preservam direitos fundamentais, como o direito à privacidade e proteção de dados pessoais. Colocá-los em risco neste cenário é repetir o erro de alguns exemplos históricos, em que a violação de direitos acabou se perpetuando após as crises, com finalidades deturpadas. 

Por isso, o Idec recomenda extrema cautela no uso dos dados de geolocalização dos consumidores brasileiros para que formas de coleta e tratamento de dados pessoais abusivas e que violem direitos fundamentais não sejam toleradas, nem durante nem após a crise, em defesa dos direitos individuais e da democracia.