A COVID-19, a privacidade e a proteção dos dados pessoais em: a “ponte para a libertação da doença” na Índia

COVID-19 e a proteção de dados na Índia

Introdução

Aarogya Setu: leia-se “ponte para a libertação da doença” ou “ponte para a saúde”, em sânscrito. Este é um aplicativo do governo indiano, desenvolvido já no início de 2020 e aperfeiçoado ao longo do ano, que visa, sobretudo, o controle, na Índia, da disseminação da COVID-19, permitindo que os seus usuários sejam notificados, pelo próprio sistema, na hipótese de terem possuído um contato com outros usuários que tenham testado de forma positiva à doença.

Em 1° de maio de 2020, o governo indiano tornou obrigatório o download do aplicativo para todos os servidores públicos e trabalhadores do setor privado, cabendo às organizações a garantia de 100% da adesão de seu pessoal.

Em apenas 40 dias, mais de 100 milhões de pessoas já estavam conectadas à plataforma – um recorde global, acima de Pokémon Go (reportou Arnab Kumar, desenvolvedor do Aarogya Setu ao MIT Technology Review).

Críticas logo vieram à tona entorno de duas questões essenciais que o aplicativo parece esmorecer-se: a obrigatoriedade de seu uso e os seus apontados problemas com a segurança da informação e o tratamento de dados de seus usuários.

Os usuários concordaram (e concordam) com que está a seguir:

Leia-me: Termos e Condições & Política de Privacidade

Dentre as funções do aplicativo mencionadas em seus Termos e Condições, algumas merecem um devido destaque e atenção:

(i) a notificação a usuários que tenham tido contato com outros usuários que acabaram por testar positivo à COVID-19, bem como rastreá-lo e apoiá-lo;

(ii) constituir-se como um indicador de casos em que um usuário foi ou não infectado, bem como se é provável que tenha sido;

(iii) o fornecimento aos usuários de informações úteis relativas à COVID-19;

(iv) a permissão de que os usuários divulguem seu estado de saúde por meio de um QR Code; e

(v) a detecção do dispositivo móvel do usuário, por meio de seu Bluetooth, pelos dispositivos móveis de quaisquer outros usuários, que estejam dentro do alcance do Bluetooth, para que seja possível o rastreamento dos e entre os usuários.

Quanto à utilização da rede formada por Bluetooth, de modo símile a outros aplicativos de controle relacionados à pandemia (como o TraceTogether, de Cingapura), o que há (e o que deve haver, em prol da minimização da coleta de dados pessoais) é o compartilhamento da localização deste Bluetooth com outros dispositivos móveis próximos – não há disposição acerca da imediata coleta desse dado de localização para as autoridades.

Os itens (i) e (ii), especialmente, expõem a necessária cautela quanto a seguinte questão: apenas quais são os dados pessoais necessários para que essas finalidades sejam plenamente alcançadas?

Foi em razão do excesso de dados coletados – quando comparados às finalidades propostas – que o MIT Tecnology Review pontuou a avaliação do aplicativo com a nota 1 – de 5. Sem uma análise acurada dessa questão, sua nota anterior havia sido 2 – de 5. O ponto positivo que restou é o da afirmada disposição da eliminação dos dados pessoais após o alcance das finalidades.

Como mencionado, para além de informar ao usuário sobre o seu contato com pessoas positivas ao COVID-19 e rastreá-lo (para que o aplicativo possa, por sua vez, informar a outro usuário que tenha tido contato com este, sobre essa situação, e assim por diante), o aplicativo é desenhado para apoiá-lo, o que significa, em outros termos, que oferece acesso à telemedicina e a muitos serviços de conveniência (como as farmácias), tudo para evitar o contato de seu dispositivo móvel, via Bluetooth, com outros, de outrem.

Nesse sentido, o aplicativo tem uma funcionalidade proativa, sugerindo ações e cuidados para que a progressão de contágio decaia, o quanto possível.

No entanto, existe uma falta grave de confiança em relação à utilização dos dados, porque, embora haja muitas disposições razoáveis e coerentes, estampadas em seus Termos e Condições, bem como em sua Política de Privacidade (em verdade, inicialmente, o aplicativo estava disponível sem ao menos esses documentos), a Índia não possui uma legislação nacional de proteção de dados pessoais e da privacidade (embora conte com mais de 500 milhões de usuários de Internet) e não há uma autoridade, aos moldes de uma autoridade garante da UE, que fiscalize o comprometimento do governo e do setor privado (uma vez que desenvolvedores do aplicativo não são apenas do setor público) no cumprimento das disposições desses documentos.

Os dados pessoais relativos à saúde

Arnab Kumar, após o desenvolvimento da Política de Privacidade e dos Termos e Condições, afirmou que esses documentos à utilização do Aarogya Setu estão em conformidade com o projeto de lei, atualmente em curso no parlamento indiano, de proteção de dados pessoais.

No entanto, a transparência em relação a como estão sendo efetivamente tratados os dados pessoais faz com que a confiança permaneça um problema.

A análise da conveniência e das funcionalidades de um programa como o Aarogya Setu são essenciais para que possam ser sopesados o interesse público, de um lado, e a privacidade, a intimidade e os dados pessoais, de outro.

O Brasil, diferentemente de outros 48 países (ao menos), não adotou um programa nacional de rastreamento ao combate à disseminação da COVID-19, cuja causa pode estar na situação em que se pretendeu, pela Medida Provisória n. 954/2020, o compartilhamento de dados pessoais, por redes de telefonia móvel e fixa, com o IBGE, a fim de se realizar um monitoramento. O Supremo Tribunal Federal, pelas Ações Diretas de Inconstitucionalidade 6387, 6388, 6389, 6393, 6390, suspendeu a aplicação da Medida, reconhecendo ser a proteção de dados pessoais um direito fundamental.

Também é certo, por outro lado (agora, com a vigência da LGPD), que o tratamento de dados pessoais pode ser realizado sem o consentimento do titular, mesmo na hipótese de dados pessoais sensíveis, como os são os relativos à saúde – exclusivamente, quando realizados por profissionais de saúde, serviços de saúde ou por autoridade sanitária, como dispõe a alínea “f”, art. 11 da Lei.

Considerações finais

Dessa equação (entre interesse público e um direito fundamental, como a proteção de dados pessoais) deverá advir, também, o resultado do debate obrigatoriedade versus facultatividade em se propor um programa de larga escala, como esse, aos fins, justificados, de controle, tanto em relação à disseminação da doença, por técnicas de prevenção ao contágio (como o distanciamento social), como em relação à implementação de um programa nacional de vacinação.

Para além da discussão da possibilidade ou obrigatoriedade das vacinas, pode ser dito que, apesar do conflito havido entre o conteúdo do que dispunha a Medida Provisória n. 954 e o que foi acordado pelo STF, ainda é incerto o debate sobre a necessidade ou facultatividade da utilização de uma plataforma em larga escala, como a Aarogya Setu (que atualmente conta com mais de 160 milhões de usuários), para o cadastro daqueles que serão, por escolha ou obrigação, vacinados – para aqueles que puderem se utilizar dessa não tão nova “ponte para a saúde” (a vacinação). Certamente, uma questão de controle epidemiológico – de interesse púbico. Além disso, evidentemente, de privacidade, a qual requererá confiança, assim como em relação às vacinas.

Em 2021, ainda com a COVID-19, não há espaço para uma nova Revolta da Vacina e nem mesmo para uma Revolta contra o Consentimento – por essa razão, deve ser, esse último, livre, informado e inequívoco (art. 5°, inc. XII da LGPD), mas que também não é absoluto.

Referências bibliográficas

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, Diário Oficial da União, 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 21 de janeiro de 2021.

CHO, Hyunghoon; IPPOLITO, Daphne; YU, Yun William. Contact Tracing Mobile Apps for COVID-19: Privacy Considerations and Related Trade-offs. Cornell University, COVID-19 e-print. ArXiv, 30 de março de 2020. Disponível em: <https://arxiv.org/abs/2003.11511>. Acesso em: 23 de janeiro de 2021.

FUNDAÇÃO OSWALDO CRUZ. A Revolta da Vacina. Fiocruz, 25 de abril de 2005. Disponível em: <https://portal.fiocruz.br/noticia/revolta-da-vacina-2>. Acesso em: 21 de janeiro de 2021.

LIMA, Cíntia Rosa Pereira de; RUIZ, Evandro Eduardo Seron.  Proteção de dados e pandemia: os perigos das tecnologias de rastreamento pessoal. Migalhas. Coluna Migalhas de Proteção de Dados, 09 de outubro de 2020. Disponível em: <https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/334676/protecao-de-dados-e-pandemia–os-perigos-das-tecnologias-de-rastreamento-pessoal>. Acesso em: 22 de janeiro de 2021.

MONEY CONTROL. Arogya Setu app mandatory for government, private sector employees. Money Control, 02 de maio de 2020. Disponível em: <https://www.moneycontrol.com/news/india/coronavirus-pandemic-arogya-setu-app-mandatory-for-govt-private-sector-employees-5213901.html>. Acesso em: 21 de janeiro de 2021.

O’NEILL, Patrick Howell. India is forcing people to use its covid app, unlike any other democracy. MIT Technology Review, 07 de maio de 2020. Disponível em: <https://www.technologyreview.com/2020/05/07/1001360/india-aarogya-setu-covid-app-mandatory/>. Acesso em: 22 de janeiro de 2021.

O’NEILL, Patrick Howell; RYAN-MOSLEY, Tate; JOHNSON, Bobbie. A flood of coronavirus apps are tracking us. Now it’s time to keep track of them. MIT Technology Review, 07 de maio de 2020. Disponível em: <https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/>. Acesso em: 22 de janeiro de 2021.

REPÚBLICA DA ÍNDIA. Ministério da Saúde e do Bem-Estar Familiar. Aarogya Setu. Terms & Conditions. Aarogya Setu, 2020. Disponível em: <https://aarogyasetu.gov.in/terms-conditions/>. Acesso em: 22 de janeiro de 2021.

+ posts

Graduando em Direito na Faculdade de Direito de Ribeirão Preto da USP, com experiência acadêmica na Seconda Università degli Studi di Napoli (Itália). Membro dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Pesquisa do CNPq. Integrante do Grupo de Estudos "Tech Law", do Instituto de Estudos Avançados da USP. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD. Membro do IBDCONT - Instituto Brasileiro de Direito Contratual. Autor de livro e artigos sobre Direito Digital.

Artigos relacionados

Respostas

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *