Constituição, Empresa e Mercado

Análise

A proteção de dados pessoais em tempos de pandemia

A MP 959 e o preocupante adiamento da entrada em vigor da LGPD

Imagem: Pixabay

No que diz respeito à proteção de dados, o primeiro susto recente pelo qual os cidadãos brasileiros passaram foi a atabalhoada Medida Provisória 954, de 17.04.2020, que determinou o compartilhamento de dados não anonimizados de telefonia fixa e móvel dos brasileiros, assim como seus endereços, com o IBGE. Depois de uma semana de preocupações, mais precisamente em 24.04.2020, oportuna decisão da ministra Rosa Weber, nos autos da ADI 6387, felizmente suspendeu os efeitos da norma.

Entretanto, mal se pode aproveitar o alívio proporcionado pela decisão da ministra Rosa Weber. Cinco dias depois, em 29.04.2020, eis que edição extra do Diário Oficial surge com nova surpresa: a Medida Provisória 959, que se dedica a tratar da operacionalização do benefício emergencial de preservação do emprego e da renda e do benefício emergencial mensal, mas aproveita a “oportunidade” para introduzir, em seu art. 4º, um verdadeiro “jabuti”, prorrogando a vacatio legis da LGPD por mais de um ano, até o dia 03.05.2021.

Em outras palavras, se já estávamos desprotegidos antes, agora ficaremos ainda mais, na medida em que se esvaem as legítimas expectativas de termos uma legislação efetiva de proteção de dados no momento em que ela seria mais necessária: durante uma pandemia que propicia, dentre diversas outras medidas, a utilização crescente de tecnologias de rastreamento de pessoas e de coleta de dados biológicos para a contenção da disseminação da doença, o que pode levar a muitos resultados positivos, mas também representa um grande risco para os cidadãos.

O ocorrido impõe a reflexão sobre pelo menos três questões fundamentais, das quais depende uma parte considerável do nosso próprio destino: (i) os critérios que devem orientar a produção legislativa em tempos de crise, (ii) o verdadeiro teste que a pandemia representa para a democracia e para os direitos individuais e (iii) a existência ou não de um tradeoff entre a proteção da saúde e a proteção de dados e os eventuais caminhos conciliatórios.

No que diz respeito ao primeiro ponto, não são poucos os autores que advertem para o fato de que tempos de crise podem ser preciosas janelas de oportunidade para o reconhecimento de determinados interesses do Estado ou mesmo de determinadas elites políticas ou econômicas que, em cenários de normalidade, encontrariam grandes dificuldades para serem aprovados.

Sob essa perspectiva, merece destaque a obra de Naomi Klein A Doutrina do Choque, que tive o prazer de explorar em artigo anterior1, mostrando inúmeras experiências históricas em que governos utilizam a crise para instrumentalizar interesses escusos e restringir direitos ou a própria democracia. A estratégia é aproveitar-se da apatia e da confusão mental das pessoas, da fragmentação da opinião pública e do afrouxamento dos controles institucionais que normalmente acontecem durante as crises.

Consequentemente, há que se ter atenção redobrada sobre a produção legislativa em tempos de crise, reforçando os devidos controles, a fim de evitar oportunismos cujos efeitos nefastos nem sempre são detectados a tempo. Por essa razão, considerando a urgência e a rapidez com que medidas são tomadas durante uma crise, o que impede a devida reflexão e mesmo a avaliação dos seus impactos, o ideal seria limitar a produção legislativa a iniciativas pontuais, temporárias e absolutamente justificáveis.

É sob esse enquadramento que se deve analisar a recente MP 959, que é apenas uma dentre as inúmeras iniciativas normativas a que estamos submetidos desde o início da pandemia. Na verdade, a pandemia vem sendo utilizada como pretexto para uma preocupante profusão de medidas provisórias e projetos de lei, muitos dos quais simplesmente se aproveitam da “janela de oportunidade” para tratar de temas que não seriam necessários, urgentes ou indispensáveis para o momento.

Em muitos casos, as iniciativas legislativas, além de adotarem a premissa ingênua de que a lei é uma espécie de solução mágica para todos os problemas, ainda propõem um afrouxamento do direito existente, tal como é o caso do Projeto 1179/2020, que já previa uma flexibilização do Direito Antitruste e o aumento do prazo de vacatio legis da LGPD. Isso sem falar nas medidas provisórias que procuraram usar a pandemia como mero pretexto para ampliar a reforma trabalhista. Também merece menção a medida provisória que buscou impor restrições à Lei de Acesso à Informação, o que felizmente não foi admitido pelo Supremo em julgamento de 30.04.2020.

De outro lado, não são poucas as iniciativas que pretendem introduzir modificações definitivas, como é o caso da MP 931 que, embora movida por necessidades reais e urgentes, ao invés de propor soluções pontuais e temporárias, vai além e altera de forma definitiva o Código Civil, a Lei das S/A e a Lei das Cooperativas.

A própria MP 954, que trata do compartilhamento de dados de empresas de telefonia com o IBGE, é outro triste exemplo. Trata-se de norma tão precária que nem mesmo esclarece a sua finalidade e, ainda que esta existisse e fosse legítima, os meios adotados para atingi-las seriam flagrantemente inadequados e desproporcionais. Foi em boa hora que a Ministra Rosa Weber reconheceu todas essas debilidades da Medida Provisória para suspender seus efeitos.

A situação não é diferente em relação a MP 959. Aliás, o simples fato de a regra ter sido incluída em norma que trata de assunto diverso já é bastante preocupante. Outro fator de preocupação é o fato de que a matéria já estava sendo discutida no Poder Legislativo, sendo exemplo o PL 1.179/2020, já aprovado pelo Senado e agora em discussão na Câmara. Logo, é muito evidente que o Poder Executivo aproveita-se da crise para atropelar o Parlamento e encerrar a discussão.

O exemplo mostra a importância de um exame mais atento da competência presidencial para editar medidas provisórias e da observância dos requisitos constitucionais de relevância e urgência, até porque são normas de eficácia imediata, por mais absurdas que sejam, e deflagram um processo legislativo cuja celeridade nem sempre é compatível com a reflexão e os debates inerentes a temas complexos.

Dessa maneira, independentemente do acerto ou não da MP 959 – e já adianto que, no que diz respeito à LGPD, entendo que não foi acertada -, a questão principal é se é legítimo que, em situação de crise, diante de matéria controversa já em discussão no Parlamento, que envolve restrição de direitos e aumenta os riscos dos cidadãos, o Poder Executivo possa resolver a questão pela estratégia do “jabuti”. É inequívoco que, diante dos riscos representados por uma situação de crise, os requisitos constitucionais para a edição de medidas provisórias devem ser enrijecidos e não flexibilizados.

O segundo ponto da reflexão, que está muito conectado ao primeiro, diz respeito ao fato de que as crises, até por serem grandes aceleradores de mudanças sociais, econômicas e políticas, acabam sendo também grandes testes para a democracia e a proteção dos direitos fundamentais.

Não é sem razão que vários líderes mundiais estão se aproveitando da pandemia para reforçar os seus poderes, a fim de desconfigurar ainda mais democracias já fragilizadas ou, conforme o caso, de reforçar autocracias ou ditaduras. Em diversos países, por exemplo, governos estão prendendo jornalistas, ativistas de oposição, trabalhadores da saúde e todos os que se atrevem a criticar a resposta oficial ao coronavírus ou estão utilizando a pandemia como pretexto para a concentração dos poderes do Executivo.

É claro que a questão de restrição a direitos fundamentais e à democracia é mais ampla do que a proteção de dados. Entretanto, tais questões estão cada vez mais entrecruzadas, diante do controle que estados podem exercer sobre seus cidadãos mediante o acesso a determinados dados. É isso que explica que países como China, Taiwan e Coreia do Sul usaram a localização dos smartphones para reforçar o poder estatal e o cumprimento obrigatório das regras de quarentena.

Aliás, tem sido uma discussão global a implementação de dispositivos semelhantes de rastreamento, ainda que, pelo menos naqueles países que ainda se consideram democracias, normalmente mediante o consentimento do usuário, embora tal circunstância não necessariamente legitime o tratamento de dados. Mesmo no Brasil, governos estaduais e municipais já se movimentam em iniciativas para monitorar a localização das pessoas, sob a justificativa de controlar o isolamento social.

Paralelamente à iniciativa dos governos, os mercados também se movimentam. No início de abril deste ano, foi divulgada a notícia de que Google e Apple formaram parceria para construírem tecnologia de rastreamento de contato entre as pessoas, a fim de conter a disseminação do coronavírus, ajudando governos e agências de saúde a tomar as medidas adequadas2. No último dia 20.04, Mark Zuckerberg, do Facebook, divulgou carta no The Washington Post3 reconhecendo o super poder de que dispõe a plataforma em razão dos dados que coleta e propondo-se a usá-los para ajudar governos a elaborar suas estratégias de enfrentamento à pandemia.

Nesse contexto, não é exagerada a afirmação de Yuval Harari, em instigante texto – “The world after coronavirus” – publicado recentemente no Financial Times4, de que a humanidade enfrenta duas importantes escolhas: a primeira é entre a vigilância totalitária e o empoderamento dos cidadãos e a segunda é entre o isolamento nacionalista e a solidariedade global.

A discussão sobre proteção de dados encontra-se precisamente no primeiro dilema, pois, sem a adoção dos devidos cuidados, muitas soluções para a contenção da pandemia reforçarão a vigilância totalitária em detrimento dos direitos dos usuários aos seus dados pessoais. O próprio Harari dá exemplos concretos de como a pandemia tem sido utilizada como razão de estado ou de interesse público para justificar a violação da privacidade dos indivíduos: um deles é o caso de Israel, onde o Primeiro Ministro Netanyahu recentemente autorizou a Agencia Nacional de Segurança a utilizar tecnológicas de vigilância normalmente reservadas para o combate ao terrorismo para rastrear pacientes com o coronavírus.

Entretanto, o ponto principal de Harari é que a pandemia pode ser um divisor de águas na história da vigilância não somente por normalizar a utilização de ferramentas de vigilância em massa, mas também por representar uma transição da vigilância “over the skin” para a vigilância “under the skin”.

Harari chama de vigilância “over the skin” aquela que incide sobre os comportamentos exteriores dos seres humanos, como os sites que visita, os lugares para onde vai no mundo físico, o que compra, etc. Entretanto, a vigilância “under the skin” é muito mais invasiva, pois monitora dados biológicos – como temperatura corporal, pressão arterial, batimentos cardíacos, velocidade de respiração – o que possibilita que algoritmos saibam que estamos doentes antes de nós mesmos, ou seja, antes mesmo dos sintomas perceptíveis.

A grande questão proposta por Harari é que, se é possível monitorar dados biológicos para controle de doenças, é também possível utilizar tais dados para saber o que faz as pessoas rirem, chorarem ou ter determinadas sensações, como a raiva. Em outras palavras, como sentimentos são também fenômenos biológicos, o monitoramento “under the skin” possibilita uma invasão à privacidade do indivíduo em escala jamais vista, o que pode ser utilizado para as mais diversas finalidades, inclusive para o fim de discriminar, influenciar ou manipular as pessoas.

Dessa maneira, precisamos estar atentos aos desdobramentos de projetos baseados em coletas maciças e cada vez mais intrusivas de dados pessoais, assim como em iniciativas que afrouxam ou retardam a necessária proteção dos dados pessoais. Não podemos nos impressionar apenas com as boas intenções dos envolvidos nem acreditar que a busca de soluções para a pandemia justifica a violação indiscriminada dos direitos mais elementares à privacidade, à autodeterminação informativa e mesmo à individualidade.

Isso nos leva para uma terceira ordem de reflexões: existe realmente um tradeoff entre a contenção da pandemia e a proteção de dados pessoais?

Na edição da The Economist da semana passada, interessante reportagem “Privacy in a pandemic”5 mostra que, mesmo na Europa, a discussão vem ganhando força, pelo menos no plano do discurso: a proteção de dados seria incompatível ou imporia altos custos para a proteção da saúde e da vida?

Todavia, não há razão para afastar a conciliação entre os dois objetivos, ainda mais quando diversas tecnologias já possibilitam essa harmonização. Assim, desde que com a devida segurança, transparência e proteção dos titulares de dados, é perfeitamente possível – e até desejável – que haja a utilização dos dados para a contenção da pandemia.

Entretanto, os cuidados a serem adotados em casos assim não podem ser mera presunção ou uma boa intenção: precisam ser explicitados e observados desde o desenho da própria tecnologia ou das soluções a serem adotadas em tempos de crise, bem como durante toda a sua execução e até o fim do tratamento de dados. É por isso que a ministra Rosa Weber, ao acertadamente suspender os efeitos da MP 954, mencionou expressamente que a norma “não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento.”

Portanto, a terceira questão ressalta o fato de que, em razão da pandemia, a proteção de dados passa a estar sob constante risco, diante de iniciativas do mercado, dos governos ou de parcerias entre os dois que, por mais que tenham objetivos legítimos, podem adotar meios inadequados. Tais riscos são especialmente altos em um país que, como o Brasil, ainda não tem nem uma legislação de proteção de dados em vigor e se vê diante de uma Medida Provisória que pretende prorrogar a vacatio legis para mais um ano.

Diante de dos riscos que projetos com essa magnitude representam para os usuários, há que se deixar de lado as aparentemente boas intenções dos agentes privados e públicos envolvidos e obter respostas convincentes para várias perguntas, dentre as quais as seguintes: (i) quais são os cuidados e as salvaguardas necessárias para que empresas e governos não abusem de tais dados? (ii) como assegurar que tais dados sejam utilizados exclusivamente para as finalidades que justificaram a sua coleta e na exata proporção que se faça necessário para tal? (iii) como garantir que os meios utilizados sejam adequados e proporcionais? (iv) quem irá acompanhar e monitorar a execução de tais projetos, para o fim de assegurar que os direitos dos titulares de dados estão sendo respeitados? (v) quais são as medidas para assegurar a transparência, a accountability e a responsabilidade dos controladores? (vi) o que pode ser feito caso haja violações ou desvirtuamentos na utilização de tais dados? (vii) como se dará o fim do tratamento de dados em um contexto pós-pandemia?

Tais perguntas exigem respostas consistentes pois, no contexto da sociedade de vigilância na qual já nos encontramos, temos poucas razões para adotar o otimismo inocente de que tudo dará certo ou de que as medidas contra a pandemia justificam tudo, ainda mais quando há soluções intermediárias que podem conciliar a utilização dos dados para a contenção da crise com a proteção dos usuários.

Daí a importância de uma legislação efetiva de proteção de dados, que poderia oferecer segurança e os parâmetros necessários para a superação do tradeoff apontado. Por mais que, na prática, a LGPD já venha sendo cumprida e exigida em algumas searas – seja por meio de uma interpretação extensiva da Constituição, seja por meio da interpretação de leis já existentes, como o Marco Civil da Internet e o Código de Defesa do Consumidor, à luz dos princípios e diretrizes da LGPD6 -, uma autoridade de dados faz muita falta. Afinal, quem será responsável pela orientação das melhores práticas, pela regulamentação dos pontos importantes da lei, pela indicação das medidas e das tecnologias compatíveis com o atendimento de diversos deveres lá previstos e pelo monitoramento, controle e sancionamento dos agentes públicos e privados que tratam dados pessoais?

Diante de todos esses questionamentos, é importante que a Medida Provisória 959 possa ser submetida ao devido escrutínio social, político e jurídico, sendo que as três questões alinhavadas neste artigo podem ser parâmetros para a análise respectiva, pois delas decorrem várias perguntas:

(i) no que diz respeito ao tópico sobre a produção legislativa em tempos de crise, houve realmente o preenchimento dos requisitos constitucionais que justificam as medidas provisórias? A que interesses serve tal medida? Tais interesses são legítimos ou revelam mero aproveitamento de situação de crise para emplacar uma pauta obscura, que restringe direitos sem o devido debate e reflexão? É razoável que, diante de assunto com esse grau de complexidade e delicadeza, o Poder Executivo simplesmente “atropele” a discussão que já se travava no Parlamento?

(ii) no que diz respeito ao teste que as crises representam para a democracia e para os direitos fundamentais, a medida provisória é compatível com os direitos individuais em jogo ou reflete tão somente o aproveitamento da janela de oportunidade para aumentar indevidamente o poder do Executivo? A medida tomada levou em consideração os prejuízos, os danos e os riscos dos titulares de dados? Quais os seus impactos sobre os direitos dos cidadãos e sobre o próprio poder do Estado e de controladores de dados?

(iii) no que diz respeito ao alegado tradeoff entre proteção de dados e proteção da saúde, faz sentido suspender a LGPD em momento no qual ela seria ainda mais necessária? A extensão da vacatio legis é necessária, adequada e proporcional aos supostos fins a que pretende a medida provisória, especialmente considerando os riscos e prováveis danos a que estarão submetidos os cidadãos? Não haveria soluções conciliatórias entre o enfrentamento dos desafios impostos pela pandemia e a proteção dos dados pessoais dos cidadãos? Qual o critério adotado para se alargar o prazo por período tão longo, até o dia 03.05.2021?

Tais perguntas precisam ser respondidas, pois a pandemia do coronavírus certamente será um acelerador daquela que é uma das escolhas mais importantes da nossa época: se queremos ser vigiados de forma indiscriminada ou se queremos ser empoderados para decidir e participar desse processo, assim como também controlá-lo e exigir de todos os players – públicos e privados – os devidos cuidados e responsabilidades.

Concluo aqui fazendo referência à advertência de Acemoglu e Robinson em sua recente obra The Narrow Corridor, também tratada em coluna anterior7: a preservação da liberdade e da democracia tem como preço a vigilância constante. Tal advertência é ainda mais importante em tempos de crise. Ou exercemos essa vigilância ou a MP 959, além dos efeitos deletérios já antevistos, ainda pode pavimentar o caminho para mais ataques aos nossos direitos e à própria democracia.

————————————————————–

6  Ver Ana Frazão. Proteção de dados e expectativas para 2020. Recentes decisões do STJ e do DPDC mostram que a proteção de dados já começa a ser uma realidade no Brasil. Jota. https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/protecao-de-dados-e-expectativas-para-2020-12022020