Reconhecimento facial, uso de drones, mapas de calor, tratamento massivo de dados, monitoramento de celulares e medidas restritivas de locomoção: se décadas atrás apareciam apenas em obras futuristas de ficção científica, nos últimos anos vêm sendo cada vez mais aplicados para fins de segurança pública. Especialmente agora, no cenário de combate à Covid-19, o uso integrado de tais tecnologias encontra-se em expansão. Não se tratam, portanto, de iniciativas isoladas, mas de um fenômeno de âmbito global.
Diariamente, a imprensa vem noticiando a imposição de um número maior de medidas de vigilância por parte de governos e instituições, bem como relatando o surgimento de parcerias entre agentes públicos e privados, visando ao desenvolvimento de estratégias para tanto conter o avanço da doença quanto acompanhar de forma mais eficiente pessoas já infectadas.
De fato, a ocorrência de pandemia é inegável, conforme reconhecido pela própria Organização Mundial da Saúde (OMS) em 11 de março de 2020[1], bem como sua gravidade, uma vez que em 07 de junho já existiam mais de 7 milhões de casos confirmados e de 400 mil mortes no mundo, sendo só no Brasil mais de 690 mil casos confirmados e 36 mil mortes[2], o que de fato demanda não só a conjugação de esforços entre entes públicos, iniciativa privada e sociedade, mas também a implementação de mecanismos tecnológicos de monitoramento que se mostrem aptos a conter a expansão do vírus e salvar vidas.
No entanto, a falta de maior transparência, informação e prestação de contas não só sobre essas aplicações, mas também acerca do tratamento de dados decorrente, vem preocupando diversos setores da sociedade, e não sem razão.
Ainda que tais medidas objetivem a tutela emergencial da saúde pública[3], é evidente o conflito entre a busca por maximizar a efetividade das políticas de vigilância, ainda que em prol do interesse público, com os limites estabelecidos por direitos e valores fundamentais como a privacidade e a proteção de dados pessoais.
A vexata quaestio concerne à harmonização dos diversos direitos e interesses em jogo. Em nome da segurança e do interesse público, quais tipos de intervenções e ferramentas tecnológicas podem ser legitimamente implementadas? Como garantir que o banco de dados desenvolvido para a tutela da saúde da população não será direcionado a finalidades diversas e nem de longe tão nobres? Quais parâmetros normativos deverão ser usados para analisar os tratamentos de dados realizados tanto pelo setor público quanto pelo privado?
Sem dúvidas, a desenfreada instituição de rígidos sistemas de controle sobre nossos corpos e dados, por meio de mecanismos de vigilância, irá influenciar sobremaneira o futuro da humanidade.
Assim, imperioso lançar luzes e aprofundar o debate acerca da utilização dessas ferramentas, ampliando a compreensão não só dos operadores do direito, mas de cada cidadão, quanto ao que está sendo feito com seus dados pessoais, desde o procedimento de coleta até o tratamento final realizado, perpassando relevantes questões como o armazenamento, compartilhamento e eventual descarte.
Discussões de caráter público e multissetorial mostram-se fundamentais para um uso seguro e ético de mecanismos tecnológicos, para que possamos compreender melhor onde, como e quando aplicá-los.
Como mencionado, a polêmica está longe de ser exclusivamente brasileira. Em Israel, o serviço de segurança Shin Bet havia passado a empregar o poderoso programa de vigilância utilizado para o combate ao terrorismo para monitorar pacientes com coronavírus, ou possíveis portadores, e refazer seus movimentos.
A despeito de terem identificado cerca de 500 pessoas contaminadas, a mais alta Corte de Israel decidiu que, sem uma legislação especial que autorizasse o programa e traçasse limites, o Shin Bet não teria autoridade para rastrear civis em seus esforços para conter a crise, sob pena de adentrarmos em um perigoso caminho de invasão da privacidade que atentaria contra a democracia.
Aliás, o mecanismo é semelhante ao que vem sendo empregado na Rússia, no qual até dados de telefone e cartão de crédito são usados para mapeamento de pessoas que estiveram em contato com contaminados e que devem ficar em quarentena, além do robusto sistema de 170.000 câmeras e reconhecimento facial.
No final de março, a polícia de Moscou já teria identificado e multado mais de 200 pessoas que teriam violado a quarentena e o auto isolamento, a despeito de uma reportagem da mídia russa apontar que alguns dos supostos infratores estavam fora de casa há menos de meio minuto antes de serem apanhados por uma câmera.
Nesse mesmo diapasão, a Coreia do Sul também vem usando dados de transações com cartão de crédito, geolocalização por telefone e imagens de vigilância para identificar indivíduos com coronavírus, o que vem gerando controvérsia entre a população, mesmo com a suposta efetividade no controle da pandemia.
A França, por sua vez, teria recrudescido o uso de drones na vigilância de pessoas, com a Polícia francesa registrando já em março 18 mil infrações. Contudo, o Conseil d’État, o mais alto tribunal administrativo francês, considerou, em maio, ilegal o emprego de drones pela Polícia de Paris, até que fosse emitido um decreto ministerial autorizando e regulamentando a prática.
Vale lembrar que veículos aéreos não tripulados também vêm sendo utilizados no Brasil durante a pandemia, especialmente para monitorar locais de possíveis aglomerações. Aqui, eles são regulados pelo Departamento de Controle do Espaço Aéreo e pela Agência Nacional de Aviação Civil, desde 2017, por meio do Regulamento Brasileiro de Aviação Civil Especial n° 94. [4]
Outros países têm implementado aplicativos de rastreamento de contatos (contact tracing), geralmente lastreados no GPS ou no Bluetooth de Smartphones, que buscam catalogar todas as interações pessoais que o seu portador teve ao longo dos últimos 14 dias, e a partir do momento em que um desses indivíduos testa positivo para a Covid-19 são disparadas mensagens para toda a rede de pessoas que esteve em contato com o infectado, alertando para a necessidade de quarentena imediata.
Google e Apple, em inédita parceria, vêm trabalhando em uma plataforma comum para o desenvolvimento de aplicativo. A Índia inclusive chegou ao ponto de tornar um desses apps impositivo, determinando a todos os trabalhadores que façam o seu download, o que foi, obviamente, questionado por alguns, sob alegações de violação à liberdade e privacidade.
Aliás, no Catar, uma falha de segurança em um desses aplicativos expôs dados sensíveis de mais de um milhão de pessoas, enquanto nos Estados Unidos, na Dakota do Norte, descobriu-se que um aplicativo do gênero estava repassando dados para a Google e para o aplicativo Foursquare, o que revela que a preocupação não é sem fundamento ou desarrazoada.
A China, que aparentemente vem conseguindo controlar a pandemia em seu território (pelo menos até o momento), tem utilizado diversos mecanismos para implementar vigilância, contando com amplo sistema de monitoramento por câmeras e reconhecimento facial.
Os números do aparato são impressionantes. Entre as 10 cidades com maior proporção de câmeras, 8 estão na China (Londres e Atlanta são as exceções estrangeiras no ranking) e estima-se que em 2021 estejam em funcionamento 567 milhões de câmeras no país (6 vezes mais do que nos Estados Unidos).
O reconhecimento facial também já vinha sendo empregado no Brasil, no âmbito da segurança pública, muito antes da pandemia, para evitar a expansão da violência urbana e eventuais ações terroristas em grandes eventos, por exemplo.
Fato é que a captação de dados vem buscando, cada vez mais, chegar a informações sensíveis do ser humano. Imagens tiradas em locais públicos podem, por exemplo, conduzir a dados biométricos traçados na face e a possíveis inferências sobre religião e origem racial ou étnica do indivíduo.
Nos Estados Unidos, por exemplo, São Francisco baniu o emprego de tecnologias de reconhecimento facial pela polícia, sob o argumento de que o uso da tecnologia colocaria em risco direitos e liberdades civis. Todavia, a nosso sentir, banir o emprego dessa tecnologia, sob esse argumento parece a priori medida drástica e desarrazoada, sendo possível aprimorar o mecanismo.
É claro que em toda atividade de reconhecimento facial será necessário avaliar a finalidade e o contexto da utilização das informações, as relações que podem ser estabelecidas com as demais informações disponíveis e a potencialidade de seu tratamento servir como instrumento de estigmatização ou discriminação ilícita ou abusiva.
Desenvolver métodos seguros para avaliar os impactos da utilização do reconhecimento facial e possíveis medidas para gerenciar riscos são fundamentais quando da implementação, além de repensar as parcerias firmadas com agentes privados.
No cenário atual, vale mencionar, outro desafio para essas tecnologias: as máscaras faciais de proteção, que são de uso obrigatório em muitos países. À medida que mais pessoas começaram a usar máscaras em público para ajudar a impedir a disseminação do coronavírus, os proprietários de determinada marca de celulares rapidamente perceberam um problema.
Com o nariz e a boca das pessoas cobertos, o sistema de reconhecimento facial do telefone usado para desbloquear seus dispositivos parava de funcionar, o que vem tentando ser contornado pela empresa. Por outro lado, as tecnologias que conseguem digitalizar a parte inferior do rosto, como o serviço AWS Rekognition da Amazon, continuam a funcionar bem. De toda forma, entende-se que algoritmos treinados para identificar pessoas com máscaras provavelmente terão uma taxa de falhas mais elevada.
Será necessário também refletir acerca do direito ao anonimato nos espaços públicos, bem como sobre os possíveis limites que o reconhecimento facial pode impor ao direito à livre manifestação.
O mero fato de ser o local um espaço público, por si só, já permitiria a adoção pelo Estado de tecnologias de vigilância e controle? A expectativa de privacidade do cidadão em locais públicos deve ser reduzida, em nome de eventual interesse público?
Uma ferramenta, em especial, denominada ClearView AI, vem suscitando grande polêmica, a despeito de sua efetividade para fins de segurança pública, em virtude de contar com banco de dados com mais de 3 bilhões de fotos (para se ter uma ideia de sua dimensão, o banco da Polícia de Los Angeles conta com cerca de 8 milhões de imagens, e o do poderoso FBI com 411 milhões), grande parte delas extraída de redes sociais, o que violaria a privacidade dos usuários e os próprios termos de uso de algumas mídias.
O consequente êxito ensejou a sua adoção por inúmeras instituições policiais americanas, permitindo a resolução de casos que estavam parados há anos e a elucidação de incontáveis crimes. No entanto, crescentes críticas lastreadas na possível violação da privacidade de cidadãos levaram a Polícia de New Jersey a ser proibida de utilizar o aplicativo de reconhecimento facial, por exemplo.
No Brasil, a ferramenta que talvez tenha alcançado maior projeção seja aquela que envolve mapas de calor. Algumas dessas análises são feitas com base em sinais de telefonia. Dessa forma, estados puderam consultar informações agregadas e não individualizadas sobre deslocamento populacional, em tempo real e em diferentes localidades, lastrados em dados obtidos de operadoras de telefonia, para avaliar a eficiência das medidas de isolamento social e facilitar a tomada de decisões.
Há, no entanto, empresas utilizando também dados de GPS, sinais de Wi-Fi e Bluetooth, sob a alegação de que a coleta de dados é feita com a permissão dos usuários dos aplicativos. O ilustre leitor se recorda de ter baixado algum aplicativo com essa destinação específica e autorizado a coleta dos dados? Os autores também não.
No entanto, há notícias apontando que empresa privada vem monitorando 30 milhões de celulares. Só a cidade de Recife, por exemplo, estaria rastreando pelo menos 700 mil celulares. Com o uso de tais ferramentas, aponta-se até um “índice de isolamento”.
Aqui, já fica um alerta, que corrobora a relevância do debate acerca do tema não só entre operadores do direito, mas também entre os cidadãos. O estimado leitor se recorda daquele app gratuito e inofensivo de fotografia, que no momento da instalação pediu acesso ao seu GPS e Bluetooth, sem que houvesse qualquer pertinência?
Pois então, eis a provável razão, tais dados foram pleiteados para serem coletados e repassados a “aplicativos parceiros”, após serem devidamente monetizados, para tratamento destinado a finalidades diversas. Da próxima vez que se deparar com essas autorizações, sugere-se não aceitar sem uma reflexão e ponderação mais aprofundada.
Saliente-se que essas políticas binárias de “tudo ou nada”, utilizadas por muitas empresas em seus termos de uso, certamente terão de ser revistas quando a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18 – LGPD) estiver em vigor, já que trazem por vezes disposições abusivas e nenhuma possibilidade de granularidade ao consentimento manifestado pelo usuário.
Na LGPD, visa-se oxigenar processos de tomada de decisão, além de incentivar configurações de privacidade personalizáveis, sendo recomendado que o cidadão possa emitir autorizações fatiadas de acordo com cada uma das funcionalidades que a ele são ofertadas e que efetivamente deseja ter.[5]
A coleta excessiva de informações – outra prática recorrente –, mesmo que não envolva diretamente informações sensíveis, pode servir para usos lesivos a seu titular e para a verificação de informações bastante íntimas sobre ele, tendo em vista as complexas possibilidades de cruzamento e integração de dados.
Ao fornecer o CPF para obter descontos em farmácias, a lista de medicamentos associada a esse dado pode conter informações específicas sobre o estado da saúde do titular. Dados de geolocalização, se analisados ao longo do tempo, podem facilmente revelar não só a identidade de cada “ponto anonimizado” do mapa, mas também gostos, rotinas, preferências sexuais e até expor infidelidades conjugais[6].
Vale ressaltar que nossa jurisprudência, paradoxalmente, tem rechaçado quebras coletivas de sigilo de dados com base em localização. E ressalte-se, quebras determinadas judicialmente, enquanto esses monitoramentos de GPS de celulares são feitos autonomamente por empresas privadas, sob o argumento de suposto consentimento dado para finalidades diversas.
E mais, as quebras judicialmente determinadas, abrangiam um número limitado e infinitamente menor de pessoas, bem como um intervalo insignificante de tempo, quando comparado aos milhões hoje permanentemente monitorados. Ademais, as referidas quebras decorrentes de decisões judiciais ocorrem em processos penais e com o intuito de elucidar crimes graves, a exemplo de homicídios e organizações criminosas, e não apurar a colaboração ou não da população com recomendações estatais feitas no contexto pandêmico (a exemplo do índice de isolamento social)[7].
A preocupação com os limites ao uso dessas ferramentas não passou desapercebida a Yuval Harari, o qual apontou que, para além da tentativa de se normalizar a implantação de ferramentas de monitoramento em massa, vem ocorrendo uma alteração dramática da vigilância anteriormente “sobre a pele” para uma nova vigilância “sob a pele”.
Até então, quando um dedo tocava a tela de um smartphone, perquiria-se apenas os interesses do usuário, isto é, o que ele estava buscando e quais aplicativos e links eram acessados.
Agora, no contexto pandêmico, inicia-se um processo ainda mais invasivo. Almeja-se medir a temperatura do corpo e aferir a pressão sanguínea e o número de batimentos por minuto.[8] Nesse cenário, possível orientação ao uso de chips subcutâneos que armazenem informações de saúde do usuário e a data de seu último teste para detecção de Covid-19 não parece uma realidade tão distante.
No cenário atual, diante da importância do tratamento de dados para enfrentar a infecção, entende-se que informações pessoais devem ser processadas para finalidades legítimas, específicas, explícitas e informadas ao titular.
Os titulares dos dados devem receber informações transparentes sobre as atividades de tratamento que estão sendo realizadas, os objetivos de sua realização e principais características, incluindo o período de retenção dos dados coletados. Outra recomendação é que as informações oferecidas sejam facilmente acessíveis e que estejam em linguagem clara e compreensível para os mais variados públicos.
Soluções menos invasivas devem ser preferidas, mostrando-se também relevante adotar medidas de segurança que retomem os valores da proteção de dados by design e by default. Documentar adequadamente as medidas implementadas e os processos de tomada de decisão também é bastante recomendável.
Os dados sensíveis necessitam mais do que nunca de uma tutela diferenciada e especial, de forma a se evitar que informações dessa natureza sejam vazadas, usadas indevidamente, comercializadas ou sirvam para embasar discriminações ilícitas ou abusivas em relação ao titular.
Seja qual for a medida adotada e o agente responsável, deverão ser observadas salvaguardas de proteção aos direitos e liberdades fundamentais, bem como desenvolvidos mecanismos de mitigação de danos, como a aplicação dos princípios para a proteção de dados e, sempre que possível, criptografia e técnicas de anonimização de informações pessoais.
Entende-se também que ter uma Autoridade Nacional de Proteção de Dados em pleno funcionamento no Brasil seria de grande relevância para a orientação de profissionais, empresas, cidadãos e governo.
Mesmo com a possível postergação da vacatio legis da Lei Geral de Proteção de Dados, é necessário observar que há disposições claras no sistema jurídico para a proteção da privacidade e dos dados pessoais e que são aplicáveis tanto ao ambiente privado quanto ao setor público, como, por exemplo, na Constituição Federal, Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet e Lei de Acesso à Informação.
Dos diplomas legais acima é possível extrair princípios essenciais para a proteção de dados pessoais, que são de observância obrigatória, quais sejam: a minimização dos dados, finalidade, transparência, informação, qualidade dos dados, não discriminação, adequação, prevenção e segurança.
Vale lembrar que, se a LGPD estivesse em vigor, ela ofereceria respaldo para o tratamento de dados (inclusive sensíveis), disposições específicas para o Poder Público atuar e normas acerca de sua não aplicação em hipóteses excepcionais, como no caso de segurança pública.
Atrasar sua efetividade apenas traz opacidade e maior insegurança para a conjuntura atual, ainda que modulações possam ser desenvolvidas no que concerne às sanções e deveres ali dispostos no momento presente de emergência.
A propósito, acerca da disposição da LGPD que excepciona sua aplicação quando se tratar de tutela da segurança pública, mostra-se necessário tecer algumas notas. Dispõe a lei que: “Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: (…) III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais;”. Assim como o Regulamento europeu de proteção de dados (GDPR)[9], a Lei abriu exceção para algumas atividades estratégicas do Poder Público voltadas à proteção do Estado e dos cidadãos.[10]
No primeiro caso, referente aos fins exclusivos de segurança pública, cabe indagar: aqui, o bem tutelado seria apenas a segurança pública em sentido estrito ou poderia ser alargado em um contexto de interesse público? Uma pandemia que afeta a saúde pública, como a ensejada pela Covid-19, pode ser compreendida como questão de segurança pública? Poderia ser aplicada a mencionada previsão para excepcionar tratamentos de dados advindos de reconhecimento facial realizado pelo Poder Público? Ou ainda, para legitimar a coleta de dados de saúde e de geolocalização, com a finalidade exclusiva de evitar a propagação da infecção por coronavírus, sem que estivesse relacionada a possível infração de um tipo penal?
Aliás, imperioso ressaltar que a despeito da mencionada disposição excepcionar o âmbito de aplicação da LGPD, por certo também não configurou carta branca para a coleta abusiva e tratamento indiscriminado de dados. Com efeito, o §1º, do art. 4º, da LGPD preconiza que o tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei[11]. Para tanto, uma comissão de juristas até chegou a ser criada pelo presidente da Câmara a fim de elaborar anteprojeto de legislação específica para o ponto.
Diante da abertura dessa disposição legal, que pode dar azo a muitas controvérsias no futuro, indaga-se: quais devem ser os paradigmas para a criação dessa lei[12]? Enquanto a referida legislação específica não for criada, seria possível reconhecer a aplicabilidade da exceção prevista no Art. 4º?
A disciplina da proteção de dados não deve ser compreendida como empecilho para a efetivação de políticas públicas ou implementação de ferramentas tecnológicas, mas sim percebida como responsável por oferecer parâmetros e deveres para o tratamento de dados relacionado, de forma a se proteger integralmente a dignidade da pessoa humana.
Mecanismos tecnológicos, até mesmo com a adoção de inteligência artificial, e que façam processamentos refinados de dados, com a devida observância das garantias constitucionais e legais, podem ser essenciais para o desenvolvimento humano e, de forma imediata, para a superação dessa lamentável pandemia, inclusive conferindo maior segurança e previsibilidade de cenários, com a redução do número de casos e mortes.
Vale lembrar que são objetivos de nossa Pátria, nos termos do art. 3º da CRFB/88, construir uma sociedade livre, justa e solidária; garantir o desenvolvimento nacional; erradicar a pobreza e a marginalização e reduzir as desigualdades sociais e regionais; e promover o bem de todos, sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação.
Ante o exposto, longe de defendermos a abolição do uso dessas ferramentas tecnológicas, o que propomos é o seu debate público, à luz da devida transparência que deve nortear a democracia, bem como a observância de limites para seu efetivo aprimoramento e adequação. Virtus in medium est.
O que não podemos perder de vista é que tais mecanismos e tecnologias devem ter como fim a concretização dos valores constitucionais e, portanto, a maximização do bem-estar humano e de sua dignidade, verdadeiros fundamentos de nosso Estado Democrático de Direito, e não serem usados como meios para violar os valores consagrados pela Constituição e atentar contra seus fundamentos e objetivos.
[1] No contexto nacional, o Ministério da Saúde declarou Emergência de Saúde Pública de Importância Nacional (ESPIN) em 03 de fevereiro de 2020, conforme Portaria MS n° 188/2020 c/c Decreto n° 7.616/2011 c/c Lei nº 13.979/2020. Em 07 de junho de 2020, já existiam pelo menos 6.799.713 casos confirmados e 397.388 mortes no mundo, sendo só no Brasil 678.360 casos confirmados e 36.078 mortes. Fonte: <https://covid19.who.int/> Acesso em: 07 de junho de 2020.
[2] No contexto nacional, o Ministério da Saúde declarou Emergência de Saúde Pública de Importância Nacional (ESPIN) em 03 de fevereiro de 2020, conforme Portaria MS n° 188/2020 c/c Decreto n° 7.616/2011 c/c Lei nº 13.979/2020.
[3] Norma recém publicada que merece análise é a Lei 13.979/20, que “dispõe sobre as medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus responsável pelo surto de 2019”. Em seu artigo 3º, encontra-se disposto que, para enfrentamento da emergência de saúde pública decorrente do coronavírus, as autoridades poderão adotar, no âmbito de suas competências, dentre outras, as seguintes medidas: “(…) III – determinação de realização compulsória de: a) exames médicos; b) testes laboratoriais; c) coleta de amostras clínicas; d) vacinação e outras medidas profiláticas; ou e) tratamentos médicos específicos; (…)”. A norma em comento respalda-se no poder de polícia, que garante à Administração Pública a prerrogativa de exercer o seu poder com a implementação de restrições à liberdade das pessoas, na forma da legislação vigente. Inclusive, não é novidade a constatação de situações emergenciais no âmbito da saúde pública que exigem medidas restritivas aos direitos à liberdade e autonomia privada. Vale recordar, por exemplo, a Revolta da Vacina ocorrida em 1904 no Rio de Janeira e as medidas sanitárias tomadas pelo governo a fim de combater doenças graves.
[4] No final de 2019, a ANAC, por meio da Tomada de Subsídios sobre o Futuro de Aeronaves Não Tripuladas no Brasil, convidou diversos agentes para contribuírem com o aprimoramento da regulação, diante do vasto uso da ferramenta para fins de segurança pública, análise de locais de difícil acesso, verificação de aglomerações e entrega de suplementos a pessoas que possam estar infectadas com doenças contagiosas. Disponível em: <https://www.anac.gov.br/assuntos/paginas-tematicas/drones> e <https://www.anac.gov.br/noticias/2019/anac-recebe-contribuicoes-sobre-futuro-dos-drones-no-pais> Acesso em: 06 de junho de 2020.
[5] TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: Gustavo Tepedino; Ana Frazão; Milena Donato Oliva. (Org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2020.
[6] SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. Nova Iorque: W. W. Norton & Company, 2016.
[7] Conforme publicação no Jota. Disponível em: <https://www.jota.info/especiais/juizes-ordenam-quebra-coletiva-de-sigilo-de-dados-com-base-em-localizacao-27052019> Acesso em: 07 de junho de 2020. Cumpre trazer à baila alguns excertos: “Todos os casos, levantados pela reportagem, de quebra de sigilo telemático de um grupo indeterminado de pessoas, apenas com base num local e durante um intervalo de tempo, foram revistos pelos tribunais de segunda instância — com exceção de um deles… No caso dos quatro homicídios de Catanduva, por exemplo, a 16ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo, de forma unânime, anulou a decisão do juiz de primeiro grau. O mandado de segurança tramitou com o número 2212203-49.2018.8.26.0000… Segundo o relator Otávio de Almeida Toledo, a ordem recebida pelo Google é nula de pleno direito porque “não é lícito impor medida constritiva e excepcional a um número expressivo, embora indeterminado de usuários”… A excepcionalidade e restritividade da medida, diz o desembargador, “se materializa na indicação e individualização das pessoas objeto da quebra, porquanto se atinge centenas (ou milhares) de pessoas que residem em conjuntos habitacionais, passaram por uma rodovia estadual ou estavam a 200 metros de pontos pré-determinados, resta claro que a ordem é genérica e exploratória, violando exigência legal de individualização dos alvos de quebra de sigilo”… No Rio de Janeiro, coube à 7ª Câmara Criminal do Tribunal de Justiça do Estado do Rio de Janeiro anular a decisão que quebrou o sigilo de “todas as pessoas em determinada área do Rio de Janeiro, localizada em unidades do complexo penitenciário de Gericinó”. O mandado de segurança é o de número 0038839-36.2016.8.19.0000…Segundo o relator, Sidney Rosa da Silva, a ordem judicial que autorizou a interceptação de dados da empresa Google, atingiu todas as pessoas que circundam uma determinada área, abrangida pelo complexo penitenciário de Gericinó, situado no bairro de Bangu, “sem que tivesse ocorrido uma especificidade no tocante ao objeto da investigação, a fim de se evitar a colheita de informações desnecessária e abrangentes de uma gama de pessoas que naquele local transita, sem que essas pessoas possam sequer ser alvo da operação policial que busca a apuração de pessoas com as quais estejam vinculada como narcotraficantes pertencentes a uma quadrilha autodenominada como Comando Vermelho”.
[8] De fato, aeroportos e alguns estabelecimentos já vêm utilizando equipamentos termográficos que podem realizar a medição simultânea de temperatura de grupos de pessoas e, inclusive, ferramentas para verificar a não utilização de máscaras, sendo a passagem pelas câmeras de detecção e monitoramento obrigatória para circular no local e realizar a viagem desejada.
[9] No âmbito europeu, o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, é objeto de uma norma específica, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho.
[10] Como exemplos de aplicação dessa exceção a tratamentos de dados já regulados, pode-se mencionar: a) A guarda de registros de conexão regida pelo Marco Civil da Internet (Lei 12.965/14), em seu art. 13, e a guarda de registros de acesso a aplicações de internet na provisão de aplicações, estabelecida em seu art. 15. Essas informações podem auxiliar investigações e servir para identificar a autoria de crimes praticados tanto no ambiente físico quanto na Internet. b) Situação na qual os órgãos de repressão penal guardam e processam dados pessoais conforme a Lei nº 12.037/2009, que criou o banco de dados de perfis genéticos para auxiliar na descoberta de infrações penais. c) Interceptação telefônica.
[11] Outra garantia disposta na Lei para a aplicação da mencionada exceção coloca que a Autoridade Nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais, sendo esse um caso de obrigatoriedade de feitura do relatório, o que por não ser a regra na Lei demarca bem o caráter protetivo de direitos fundamentais da norma.
[12] Aqui, entende-se que a aplicação do inciso III deve corresponder a uma necessidade social imperiosa. A medida tomada deve ser proporcional ao objetivo legítimo pretendido e as razões apresentadas pelas autoridades para justificar a medida devem ser pertinentes e suficientes. Sugere-se a retenção limitada e discriminada de dados. Ou seja, a retenção de categorias específicas de dados que sejam absolutamente essenciais para a prevenção e controle de crimes e a garantia da segurança pública, devendo isso se dar por período determinado e haver disposições legais adaptadas a cada categoria específica, como regra. O acesso a tais dados deve ser limitado, podendo estar sujeito a análise prévia realizada pelo Judiciário ou por autoridade administrativa independente.
