A escalada dos casos de COVID-19 e as medidas de distanciamento recomendadas pela Organização Mundial da Saúde – OMS, convergem para levantar questões sobre o conflito entre interesse público e interesse privado na privacidade dos indivíduos. Por um lado, a privacidade é um direito fundamental. Por outro, a necessidade de acompanhamento da evolução da pandemia necessita de monitoramento e divulgação de informações pessoais.
Desde 06 de fevereiro de 2020, a Lei Federal nº 13.979 (disciplina especificamente medidas sobre saúde pública durante o enfrentamento do surto de COVID-19, com aplicação do Regulamento Sanitário Internacional da OMS) dispõe sobre a obrigatoriedade de compartilhamento, entre o poder público e os entes privados, daqueles dados essenciais à identificação de pessoas suspeitas de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação (art. 6º, parágrafo primeiro). O compartilhamento pode ocorrer entre os órgãos e entidades da administração pública federal, estadual, distrital e municipal e até mesmo empresas e entidades privadas e pode abranger todo tipo de coleta e troca de dados pessoais, como: nome, estado de saúde, local onde se encontra em tempo real, por exemplo.
A lei faz menção expressa à limitação de finalidade para coleta e uso dos dados, o que é positivo. Mas como balizar a proteção do indivíduo e interpretar o que é ou não é ilícito fazer com os dados? Fica a cargo de cada ente e posteriormente será avaliado pelo judiciário.
Especificamente quanto às empresas e entidades privadas, temos uma situação de maior insegurança quanto à obrigação de comunicar suspeita de contágio. As ações para combate à pandemia implicam detecção da doença, segregação e isolamento de cliente e colaboradores que possam estar doentes. Com isso, farão a coleta e compartilhamento de informações internamente e para as autoridades sanitárias, mas estarão, potencialmente, colocando a privacidade dos indivíduos afetados em risco e infringindo outras leis em vigor, como o Código Civil, o Código de Defesa do Consumidor e a Consolidação das Leis do Trabalho
Como regra, nossa sugestão para as empresas neste momento é de, usando a base de princípios da LGPD como um guia de boas práticas, observar a legislação específica de seu setor ou aplicável à sua relação com os indivíduos cujas medidas de combate à pandemia poderão afetar. Entendemos que, dadas as circunstâncias, é razoável uma empresa negar acesso físico às suas instalações por consumidores ou empregados que mostrem sintomas compatíveis com COVID-19, usando métodos não-intrusivos (por exemplo, termômetros a laser ou a simples observação da pessoa). Também nos parece adequado exigir resultados de exames de empregados afastados por suspeita de doença respiratória para que retornem ao seu posto, tomando cuidados para garantir que o tratamento desses dados pessoais seja feito de forma transparente e limitada à finalidade específica de evitar contaminação no ambiente de trabalho, mantendo a informação restrita às pessoas que precisem ter acesso a ela e descartando-a tão depressa quanto seja possível. Notificação às autoridades sanitárias deve se restringir aos serviços de saúde e outras entidades obrigadas a realizá-la, cumprindo os protocolos previstos na legislação de saúde pública e pelos seus meios específicos, mas a empresa que detiver informação sobre caso suspeito entre seus parceiros, consumidores ou colaboradores pode e deve realizar comunicados internos, suprimindo dados que possam identificar a pessoa afetada.
Cuidado redobrado deve ser tomado por empresas que façam parcerias com entes públicos para desenvolver soluções de massa relativas a comunicação e monitoramento de cidadãos, usando de medidas como anonimização e pseudonimização para desidentificar os dados pessoais, entre outras que possam ser identificadas como úteis para diminuir o impacto e mitigar os potenciais danos às pessoas afetadas.
Por exemplo na China e Coreia do Sul operadoras de telefonia estão compartilhando dados individualizados de clientes com os serviços de segurança pública e autoridades sanitárias, possibilitando, assim, que o Estado saiba a exata localização dos cidadãos e as pessoas com as quais tiveram contato físico, entre outras informações que, apesar de invasivas, podem auxiliam na previsão e contenção do contágio. Em menor extensão, também já são vistos no Brasil alguns convênios entre operadoras de telefonia móvel e empresas de big data para auxiliar prefeituras a descobrir e evitar aglomerações de pessoas por meio de geolocalização, tendo as empresas que se desdobrar para minimizar riscos para si e para as pessoas afetadas.
Diversas autoridades e fóruns de proteção de dados ao redor do mundo, inclusive o European Data Protection Board, vêm reconhecendo que, em tempos de pandemia, as regras de proteção de dados não são empecilhos à atuação emergencial, mas possuem extrema importância para respostas efetivas sem sacrifício permanente dos direitos e garantias do cidadão.
Em um cenário em que a LGPD estivesse em vigor, as incertezas seriam menores, já que a preocupação com a privacidade pura e simples daria lugar à proteção de dados pessoais (são conceitos diferentes e a proteção de dados pessoais é mais específica e oferece orientações pontuais quanto a cada um dos dados).
A LGPD estabelece hipóteses específicas em que a coleta e uso de dados pessoais será legal e legítima e estabelece balizas objetivas para se lidar com atividades que impactam a privacidade. Assim, ao mesmo tempo que as obrigações e ônus específicos podem aumentar, as empresas e o governo passam a possuir ferramentas para calcular e lidar com os riscos de sua atividade. A LGPD classifica os dados referentes à saúde como sendo dados sensíveis (passíveis de proteção maior), ao mesmo tempo em que determina a possibilidade expressa de coleta, uso e compartilhamento desses dados em casos como a proteção da vida ou a atuação das autoridades sanitárias para a tutela da saúde. Essas regras se tornam claras com a interpretação e criação de regulamentos técnicos e normativos pela ANPD, que, prevista pelo texto da LGPD, já poderia ter sido constituída pelo Governo Federal e estar em funcionamento desde o ano passado.
Outras autoridades de proteção da dados ao redor do mundo com suas diretrizes sobre governança e boas práticas no tratamento de dados de saúde auxiliam o governo e as empresas a navegar pelo complexo cenário das parcerias necessárias para implementar atividades de monitoramento e comunicação de novos casos de COVID-19 de forma eficiente.
Dr. Karin Klempp Franco
Luiz Fernando Plastino Andrade (CIPP/E)
Mahyra Milani