Tatiana Meinhart Hahn
O cenário de guerra traz questões paradoxais na teoria e na prática. Estamos submersos por todos os meios de comunicação a um exponencial volume de (des)informações, vídeos, áudios e notícias. Mas a mente humana tende à curiosidade, procuramos, incessantemente, por mais detalhes, por mais informações, ainda que isso possa nos causar uma inquietação pior.
Dostoiévski em “O paradoxalista” defende um progresso no comportamento humano em tempos de guerra, sob o argumento de que “as ideias elevadas definham em tempos de paz prolongada” e que “em tempos de paz prolongada, a ciência entre em decadência”.[1] A par dos contra-argumentos que ele próprio apresenta a essa forma de pensamento, fato é que estamos à prova nesse período e, certos ou não, temos de fazer escolhas mesmo diante das incertezas.
Embora possa parecer sem sentido pensar em proteção de dados pessoais, quando a própria saúde do indivíduo está em risco, a União Europeia (UE), atual epicentro da crise da Covid-19, indica caminhos de como usar e proteger os dados pessoais nesse momento.
Ao longo do mês de março, as autoridades nacionais e centrais de proteção de dados no continente europeu deixaram claro que a Covid-19 não é escusa à aplicação do Regulamento Geral de Proteção de Dados (RGPD), bem como ratificaram as regras aplicáveis aos diferentes tipos tratamentos de dados pessoais envolvidos no combate à pandemia, identificados no art.4º quanto aos “dados pessoais”, no item 1, aos “dados genéticos”, no item 13, aos “dados biométricos”, no item 14 e aos “dados relativos à saúde”, no item 15.
Pelo contexto das normas e diretrizes da RGPD, a proteção de dados pessoais não irá impedir o fornecimento de cuidados de saúde e nem o gerenciamento de problemas de saúde pública. Contudo, o regulamento de dados apresenta ponderações relevantes no uso desses dados e de seus elementos informacionais.
Desse modo, é simbiótico o trabalho entre o artigo 6º (quanto à licitude do tratamento de dados pessoais) e o 9º (tratamento em categorias especiais de dados pessoais, como a saúde), nos quais encontramos linhas condutoras inicias da atuação dos atores de tratamento, notadamente quanto a situações de emergência, aos casos de dispensa de consentimento do titular e ao compartilhamento de dados de saúde dos indivíduos.
No último dia 16, em Bruxelas, Andrea Jelinek, presidente do European Data Protection Board (EDPB), defendeu que a aplicação das regras de proteção de dados pessoais nesse momento excepcional de crise mundial na saúde não será um entrave. Em seu pronunciamento oficial[i] sublinhou que “o RGPD fornece as bases legais para permitir que os empregadores e as autoridades de saúde pública competentes processem dados pessoais no contexto de epidemias, sem a necessidade de obter o consentimento”.
Nesse sentido, as autoridades públicas de saúde podem realizar a coleta e o compartilhamento de dados pessoais para proteção da coletividade contra sérias ameaças à saúde pública. Da mesma forma, as empresas podem ser chamadas a compartilhar com o Poder Público dados pessoais de saúde sobre indivíduos previamente especificados quando assim for necessário.
Esse raciocínio na coleta de dados de saúde para fins de interesse e segurança públicos pode ser observado no Aeroporto Fiumicino em Roma, onde agentes de saúde mediam por aparelhos à curta distância a temperatura dos passageiros que passavam pelo desembarque na capital italiana em fevereiro. Ou então na divulgação por autoridades públicas de dados com vista à proteção da coletividade envolvida.
Na Irlanda, a autoridade nacional de dados, Data Protection Commission (DPC) alertou que muitas das medidas necessárias ao combate da COVID-19 passarão por “etapas com processamento de dados pessoais (nome, endereço residencial e comercial, detalhes da viagem) de indivíduos, incluindo em muitos casos dados pessoais sensíveis e de “categoria especial” (dados relacionados à saúde)”,[ii] o que não viola a lei de proteção de dados irlandesa e nem a RGPD desde que sejam proporcionais e necessárias.
No dia 06 de março, a Commission Nationale de l’Informatique et des Libertés (CNIL) publicou[iii] recomendações quanto à proteção de dados pessoais no âmbito das relações trabalhistas francesas no sentido de ser vedado ao empregador impor leituras obrigatórias das temperaturas corporais de cada funcionário, agente ou visitante, bem como ser proibida a coleta de fichas médicas ou questionários de todos os funcionário indistintamente (oposição ao profiling). Tal restrição atende os princípios previstos no art. 5º, do RGPD e consequente a impossibilidade de coleta de dados de saúde para fins de gerenciamento geral de mera suspeita expositiva ao vírus.
Em 17 de março a austríaca Datenschutzbehörde[iv] ratificou a informação de que os dados sobre infecções pelo Covid-19 e sobre casos suspeitos estão entre os dados confidenciais para os quais a lei de proteção de dados fornece proteção especial, o que não impede em particular, a coleta de dados de pessoas que foram diagnosticadas com uma infecção ou que são suspeitas de estar em contato com uma pessoa infectada ou que vão permanecer em uma região de risco. A autoridade nacional austríaca também destacou a aplicação do art. 9º, parágrafo 2º, itens “b”, “h” do RGPD (processamento para fins de assistência médica), com a aplicação do princípio da limitação da memória na forma do artigo 5º, parágrafo 1º, item “e” do RGPD, no sentido de que ao final da pandemia, os dados que não serão mais necessários deverão ser excluídos.
A mesma autoridade alertou para a aplicação dos art. 5º, parágrafo 1º, item “f” em conjunto com o art. 32, parágrafo 1º, ambos do RGPD, para os empregados em home office e a responsabilidade dos empregadores, na medida em que os empregadores devem instruir seus funcionários que o hardware (ex. laptops e celulares de serviço) deve ser mantido seguro por uma conexão WLAN protegida com uma senha forte e por uma conexão VPN criptografada (igualmente não 100% segura), com atenção redobrada a mensagens de phishing. Vale dizer: o empregador também é responsável por quaisquer violações do RGPD que ocorram pela atividade laboral dos seus colaboradores em home office.
Em Madrid, a Agência Espanhola de Proteção de Dados (AEPD) publicou relatório[v] reforçando a linha do RGPD (e de outras leis nacionais fora da EU) de uma regulação responsiva, em que tanto o titular, quanto os envolvidos no tratamento de dados pessoais são coletivamente responsáveis pela gestão desses. Ainda segundo o mesmo relatório espanhol, é dever do empregado informar sobre seu estado de saúde ao empregador, e este, por sua vez, tem o dever de zelar por um tratamento de dados pessoais com legalidade, lealdade, transparência e limitação de propósito (data minimisation).
No Reino Unido, nos dias 16 e 18 de março, a Information Commissioner´s Office (ICO)[vi] publicou, de forma didática, respostas aos questionamentos mais recorrentes dos controladores e afirmou que não irá penalizar as organizações que precisem priorizar outras áreas ou adaptar sua abordagem usual durante esse período extraordinário do COVID-19. Além disso, a ICO aceitou que os prazos de prestação de informações atrasem, desde que isso seja devidamente informado ao solicitante. Outro ponto relevante trazido pela ICO foi no sentido de que as leis de proteção de dados não impedem o envio de mensagens de saúde pública aos cidadãos do Reino Unido, seja por telefone, texto ou e-mail, tanto pelo governo quanto por outro profissional de saúde, uma vez que isso não se caracteriza como marketing direto.
A ICO também se manifestou quanto ao tratamento de dados de saúde em relação ao COVID-19 nas relações trabalhistas. Nessa linha, em que pese seja do empregador a obrigação de proteger a saúde de seus funcionários e colaboradores, isso não o autoriza a proceder a coleta ilimitada de dados de saúde, na mesma linha do que fora recomendado em outros países da UE. Por outro lado, seria permitido, segundo a ICO, o questionamento quanto aos sintomas, destinos anteriores, bem como divulgação entre os demais funcionários sobre tais informações, desde que o tratamento de tais dados seja posteriormente salvaguardado na forma legal.[2]
No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), a quem, em tese, caberá expedir recomendações como as acima mencionadas, foi criada como órgão da administração pública federal, integrante da Presidência da República, e ainda não tem existência prática.
De concreto, tem-se a expectativa quanto ao início da vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) marcada para o mês de agosto, bem como o paradoxo entre a comemoração pela promoção urgente desses direitos no Brasil e as angústias dos seus destinatários pelas consequências práticas decorrentes da LGPD.
Talvez, em meio ao COVID-19, faça ainda mais sentido pensar no texto de 1876 de Dostoiévski e na forma como podemos transformar, de forma proativa, crises em construções positivas. Talvez, a combinação de fatores inesperados e a inquietação nos traga avanços não apenas na proteção de dados pessoais, mas enquanto coletividade em um todo.
Os exemplos estão aí para extrairmos lições e buscarmos, da melhor forma possível, a aplicação da LGPD de acordo com a realidade socioeconômica brasileira. Certezas só virão com ações e com o tempo.
—————————————
[1] DOSTOIÉVSKI, Fiódor. O paradoxalista. Trad. Vadim Nikitin. Contos reunidos. 3.ed. São Paulo: Editora 34, 2018. p. 347 – 359.
[2] Após o Brexit, o Reino Unido agregou substancial complexidade ao compliance dos responsáveis pelo tratamento vinculados ao Reino Unido e à União Europeia. Desta forma, foi previsto no acordo de retirada com UE, um período de transição para que sigam aplicáveis as regras do RGPD no Reino Unido até o final de 2020.
[i] O European Data Protection Board (EDPB) é um órgão europeu independente com sede em Bruxelas, que contribui para a aplicação consistente das regras de proteção de dados em toda a UE e promove a cooperação entre as autoridades nacionais europeias de proteção de dados. Para o texto integral acesse: https://edpb.europa.eu/sites/edpb/files/files/news/edpb_covid-19_20200316_press_statement_en.pdf Consulta em: 19/03/2020.
[ii] Notícia veiculada em 06 de março de 2020 em https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19. Consulta em: 20/03/2020
[iii] A CNIL foi criada em 1978 pela Lei de Proteção de Dados francesa, é uma autoridade administrativa independente responsável pela Proteção de Dados na França. Notícia veiculada no link: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles Consulta em: 20/03/2020
[iv] https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19- Consulta em: 20/03/2020.
[v] Inteiro teor do relatório pelo link: https://www.aepd.es/es/documento/2020-0017.pdf Consulta em: 20/03/2020.
[vi] ICO é uma autoridade independente para a defesa de direitos de informação e privacidade de dados no Reino Unido, com sede em Wilmslow. Para a notícia: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/covid-19-general-data-protection-advice-for-data-controllers/ Consulta em: 19/03/2020.
