Imagem <https://unsplash.com/photos/Wt5CAihrePA>
Texto por Jaqueline Trevisan Pigatto
Jaqueline Trevisan Pigatto é doutoranda em Ciências Sociais (FCL-UNESP) e Mestre pelo PPGRI San Tiago Dantas (UNESP, UNICAMP, PUC-SP). Pesquisa o tema de Governança da Internet e participa dos grupos Laboratório de Novas Tecnologias em Relações Internacionais (LANTRI) e Grupo de Estudos Interdisciplinares sobre Cultura e Desenvolvimento (GEICD).
___________________________________________________________
A pandemia do corona vírus está atingindo os mais diversos e tradicionais aspectos das sociedades. A proteção de dados pessoais é um dos temas que está no foco das atenções, já que os dados são ferramentas para a monitoração e combate à COVID-19, especialmente por trazer abordagens tão distintas de regiões globais. A localização do seu smartphone pode revelar se você está infringindo as medidas de isolamento social, se muitos aparelhos (portanto pessoas) estão aglomerados, além de claro, evidenciar suas preferências e locais frequentados.
A China conseguiu fazer um contingenciamento rápido e eficaz da doença graças ao seu aparato de vigilância massiva: dados fornecidos por uma empresa de telecomunicações mostraram às autoridades chinesas os deslocamentos de pessoas de Hubei (a província onde se deu o foco da doença) para outras localidades, assim como das que entravam na província. No entanto, os dados de localização fornecidos pelas operadoras não é tão preciso como os de aplicativos da Alipay e WeChat1, por exemplo, evidenciando que o maior poder dos dados está com o setor privado do país, e não diretamente com o governo. Por fim, unindo-se dados de todos os aplicativos comumente usado pelos chineses, é possível não apenas rastrear o deslocamento, como identificar onde aquele usuário pediu comida, quais meios de transporte utilizou, com quem se comunicou, entre outras atividades cotidianas.
As tecnologias de reconhecimento facial também auxiliam no controle de cidadãos, ferramenta essa que vêm causando polêmicas por onde é implementada. Além disso, a China está avançando com tecnologias de reconhecimento de calor, para identificar cidadãos com febre. O receio de muitos cidadãos chineses é que esse aumento de vigilância se mantenha mesmo após a crise da pandemia, já que se utilizar de um grande evento para ampliar a vigilância não é novidade no país. Recentemente, o debate sobre maior privacidade para os usuários também atingiu a China e seu grande setor privado que busca expansão internacional.
A cultura da privacidade vem se irradiando a partir da União Europeia. A entrada em vigor de sua Regulação Geral de Proteção de Dados (GDPR)2 em 2018 foi bem sucedida em globalizar um alto padrão para a coleta e tratamento de dados pessoais, fazendo com que empresas do mundo todo se adaptassem, inclusive as gigantes americanas como Google e Facebook. Ainda que a aplicação da lei enfrente dificuldades, ela tem sido um bom parâmetro para notificação de violações, além de incentivar outros países a implementarem diretrizes semelhantes.
Com a pandemia que “bagunçou” o ano de 2020, a abordagem unificada dos países do bloco se fragmentou com cada membro aplicando um sistema diferenciado para tentar controlar a transmissão do vírus a partir dos dados de seus cidadãos. Ainda que por vários Estados europeus a preocupação com a proteção dos dados pessoais esteja repercutindo, não há um sistema único que integre esses dados para um controle como o da China. O que alguns países estão fazendo é criar um aplicativo que, voluntariamente, coleta os dados do usuário para que este seja monitorado. Mesmo com o consentimento do cidadão, alguns aplicativos parecem querer extrapolar a coleta para informações além das necessárias para auxiliarem no controle da pandemia, como no caso da Polônia, cuja autoridade nacional de proteção de dados, responsável pela aplicação da GDPR, não foi consultada sobre o funcionamento de tal aplicativo, fornecido pelo próprio governo.
Por outro lado, pesquisadores e start-ups europeias trabalham em conjunto em um sistema inspirado pelos esforços asiáticos no controle do contágio de COVID-19. A iniciativa Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) pretende, a partir do dia 7 de abril, colocar em vigor um sistema que identifica um cidadão infectado, através de informações fornecidas pelo próprio usuário, para então identificar outras pessoas que estiveram em contato e alertá-las para entrarem em quarentena. Seguindo o modelo chinês, esse rastreamento permite uma concentração de recursos e esforços de lockdown em uma localidade específica para conter um aumento da transmissão. Respeitando as diretrizes da GDPR, o sistema promete anonimizar os dados3, ou seja, não será possível identificar a pessoa, apenas alertá-la se ela esteve em contato com alguém infectado, através de seu smartphone ou outro aparelho que tenha conexão por bluetooth. Diferente do rastreamento chinês, o sistema da PEPP-PT não permite reconstruir todos os passos do usuário baseados na localização, mas sim uma espécie de “memória” que revela com quem a pessoa teve contato recente, assim se uma pessoa testar positivo para a COVID-19, as outras são imediatamente alertadas. Um estudo de pesquisadores britânicos afirma que tal método pode se mostrar eficaz se mais da metade da população de um país aderir ao sistema de rastreamento, o que evitaria lockdowns massivos e poderia retomar parte da economia enquanto locais específicos fazem quarentena.
Naturalmente, as grandes empresas de tecnologia estadunidenses também enfrentam pressão para compartilhar dados que possibilitem rastreamento e contenção da doença. Após o caso Snowden em 2013, que revelou como o governo se utilizava dos dados pessoais coletados por essas empresas para espionagem e vigilância massivas, houve um aumento com preocupações de privacidade e muitas dessas empresas, como Google e Facebook, passaram a se utilizar de ferramentas como criptografia e relatórios de transparência, revelando assim publicamente os pedidos de dados governamentais. Agora, algumas dessas empresas, junto a operadoras de celulares, estão fornecendo ao governo dados que mostram onde ainda surgem aglomerações de pessoas, sem deixar claro se está ocorrendo uma anonimização desses dados. Em nível federal os Estados Unidos não possui uma lei de proteção de dados, como a da União Europeia, exatamente por interferir em um dos setores mais lucrativos dessa era: a exploração e comercialização de dados pessoais a partir da publicidade.
No Brasil, esse debate não está menos acalorado. Inspirada pela GDPR, nossa Lei Geral de Proteção de Dados (LGPD) foi aprovada em 2018, motivada pelo caso da Cambridge Analytica e o uso dos dados em eleições, mas sua entrada em vigor ficou prevista para agosto de 2020. A pandemia da COVID-19 se tornou então um pretexto para o adiamento da aplicação da lei, já que há altos custos para empresas se adaptarem aos novos padrões de uso e coleta de dados pessoais, o que seria bastante inviável no atual momento de crise.
Entretanto, a falta de um marco regulatório se mostra importante justamente nesse momento onde o uso dos dados pode auxiliar no combate à doença, especialmente por parte de uso do governo. Para alguns especialistas, o momento pede uma flexibilização da lei, e não sua aplicação total, que pode ser postergada. A “importação” de sistemas de rastreamento já está sendo discutida no Rio de Janeiro com a operadora TIM, seguindo modelos adotados por outros países, como a Itália. No caso brasileiro, a empresa promete a anonimização dos dados e busca diálogo com outras operadoras para que o mecanismo seja eficaz e monitore o maior número de celulares possível. No estado de São Paulo, já foi concretizada uma parceria entre o governo estadual e a Telefônica/Vivo para a disponibilização de dados anonimizados que indiquem violações das medidas de isolamento social. Por fim, o Ministério de Ciência e Tecnologia fechou parceria com cinco grandes operadoras brasileiras para o monitoramento de deslocamentos e “grupos de calor”, visando passar os dados ao Ministério da Saúde para identificar possíveis aglomerações e focos da doença. De acordo com as empresas participantes, os dados serão agregados e anonimizados, seguindo diretrizes de tratamento da LGPD.
Muitos grupos ligados aos direitos digitais e aos Direitos Humanos têm expressado preocupações com as medidas de vigilância ampliadas frente ao combate à COVID-19. Mais de cem grupos representantes da sociedade civil assinaram uma declaração conjunta chamando a atenção de autoridades governamentais para que a pandemia não seja um pretexto para o aumento da vigilância tecnológica, e que o uso responsável de ferramentas para monitoramento e controle da doença esteja de acordo com os Direitos Humanos, portanto, sem violações de privacidade. O Alto Comissariado da ONU para os Direitos Humanos também emitiu declaração conjunta com outras organizações governamentais, pedindo aos governos que divulguem informações verdadeiras a respeito da pandemia para a população, que forneçam acesso à Internet, que protejam a liberdade de informação (em especial para apoio ao trabalho de jornalistas), que combatam junto às empresas de Internet a desinformação a respeito da pandemia, e que assegurem os padrões internacionais de Direitos Humanos no uso de tecnologias utilizadas para monitoramento e controle.
Ainda que os dados coletados por uma empresa/aplicativo não explicite o nome do usuário, o cruzamento desses dados com outros coletados por outros serviços podem, eventualmente, identificar a pessoa ou torná-la identificável. Enquanto o debate hoje é entre o valor da privacidade e o valor de salvar vidas, as questões que ficam são se esses dados permanecerão armazenados ou se serão excluídos uma vez que não sejam mais necessários, e se tais mecanismos de rastreamento e outros métodos de vigilância permanecerão mesmo após a pandemia, sobre outros pretextos duvidosos como da segurança. Vale lembrar que foi uma situação de emergência e segurança nacional, o 11 de setembro de 2001, que ampliou a vigilância massiva estadunidense da qual Edward Snowden nos alertou em 2013.
O atual cenário está trazendo profundas mudanças em muitos aspectos das sociedades e, no caso da proteção de dados e condução de vigilância tecnológica, veremos se as diferentes abordagens tomadas hoje levarão a uma fragmentação regulatória ou a uma possível harmonização de práticas globais. Mais do que nunca, esse momento aponta para a entrada definitiva do tema da proteção de dados nas atividades políticas e econômicas dos mais diferentes países. Vemos assim a importância da cooperação transnacional, para temas outros além da proteção de dados pessoais, que unam governos, setor privado e sociedade civil.
NOTAS
1 O WeChat é um super aplicativo da empresa Tencent, que além de realizar trocas rápidas de mensagens (como o Whatsapp), também permite múltiplos serviços: transações bancárias, consultas médicas, pedidos por delivery, pedir um táxi, entre outras atividades cotidianas. Desse modo, o aplicativo concentra uma imensa quantidade de informações pessoais.
2 Dentre os principais pontos da GDPR, destacam-se o consentimento explícito do usuário para a coleta e tratamento dos dados, e que essa coleta seja restrita ao mínimo necessário para o fornecimento do serviço requisitado.
3 Segundo o especialista Ronaldo Lemos, do Instituto de Tecnologia e Sociedade do Rio de Janeiro, dados efetivamente anonimizados não são considerados dados pessoais. Há, ainda, outro processo denominado pseudonimização, por meio do qual um dado perde a possibilidade de associação à um indivíduo, exceto pelo uso de alguma informação adicional, que é mantida separadamente pelo controlador dos dados em ambiente seguro.
