A pandemia do COVID-19 acelerou o uso de soluções tecnologiicas de controle de populações: levantamento recente identificou novas medidas de rastreamento digital em 20países desde o seu ina­cio. Isto tem colocado em maior evidência uma controvanãrsia aguda envolvendo controle, privacidade e proteção de dados.

Se, por um lado, hádireitos e garantias individuais que precisam ser resguardados do poder de vigila¢ncia do Estado e das empresas envolvidas nessas empreitadas, háuma real necessidade de otimizar as decisaµes sobre políticas de isolamento, compra e distribuição de equipamentos, controle de circulação e fronteiras, entre outros.

Recentemente, o Ministro Marcos Pontes, do MCTIC, anunciou (o anaºncio foi logo apagado, mas ainda pode ser visto aqui) no Twitter que o governo federal realizaria parceria para a implementação de controle, via geolocalização, de aglomerações, dentre outras funcionalidades não reveladas, com diversas operadoras de telefonia. Isso estenderia a 222 milhões de linhas ma³veis o monitoramento via smartphone.

No va­deo, o Ministro afirma que “Na³s fizemos um acordo com as operadoras [...] o Ministanãrio da Saúde vai ter uma ferramenta e vai poder acompanhar a aglomeração de pessoas [...] a‰ importante ressaltar que não existe nenhum problema com privacidade”.

Ainda que não haja muitos detalhes, podemos partir a uma análise, em linhas gerais, da ideia de implementação de sistemas de controle de movimentação, de “aglomerações” e contact-tracing apps sob a perspectiva da proteção de dados no Brasil.

Segundo o Sinditelebrasil, a iniciativa não violaria o Marco Civil da Internet ou a LGPD (Lei Geral de Proteção de Dados) por empregar anonimização dos dados e usar dados agregados. a‰ importante ter em conta que a anonimização éconsiderada por alguns especialistas uma ilusão em tempos de Big Data. Volumes maiores de dados permitem a identificação de pessoas mediante o cruzamento de informações, ainda que identificadores evidentemente pessoais sejam removidos. Sobre isto, basta lembrar do caso Netflix Prize Dataset, em que uma base de dados da Netflix, com dados supostamente anonimizados, foi cruzada com a base de dados paºblicos e identificados sobre avaliações de filmes na plataforma IMDb, levando a  identificação dos usuários da empresa de streaming.

Igualmente, em grupos pequenos o suficiente éfa¡cil que uma suposta anonimização seja revertida em virtude de elementos contextuais. Isto vem acontecendo, por exemplo, no uso de contact-tracing apps na Coreia do Sul que, apesar de não revelarem o nome de uma pessoa, da£o informações de hista³rico de localização suficientemente precisas para sua identificação, dependendo do contexto. Em um caso reportado pelo jornal The Guardian, uma mulher sul-coreana foi localizada por repa³rteres com base nas informações do app e precisou explicar em rede de tv as suas condições de saúde.

A quebra da expectativa lega­tima de um titular de dados de que o seu tratamento se daria sob estrita anonimização éuma violação grave de direitos.

A forma como o governo operacionaliza esses programas de controle tem consequaªncias jura­dicas reais. Como já vimos, os dados ana´nimos não são regidos pela LGPD, tendo maior liberdade de utilização. Por outro lado, os dados pessoais tratados pelo Poder Paºblico devem obedecer a requisitos legais específicos. Como falta transparaªncia a respeito do modelo pretendido pelo MCTIC, convanãm também refletir a respeito deste cena¡rio.

Dentre essas obrigações estãoa indicação de um encarregado (art. 23, § 2º) e, mais importante, que haja previsão e atribuição legal para o tratamento pretendido (art. 23, caput). Isto garante a transparaªncia do processamento, obedecendo a  necessidade de accountability e a princa­pios legais e constitucionais, como a legalidade, a publicidade e a finalidade.

a‰ também interessante considerar a situação particular dos parceiros privados nestas iniciativas. Ao utilizarem dados pessoais em manãtodos de rastreio com a finalidade de combate ao COVID-19, deveriam restringir a coleta ao ma­nimo necessa¡rio para a consecução do objetivo (princa­pios da adequação e da necessidade); informar ao titular sobre o uso desses dados, a hipa³tese legal que o fundamenta, os atores envolvidos no tratamento e o período pelo qual os dados estara£o sob tratamento (princa­pios da finalidade, transparaªncia e prestação de contas); garantir a eliminação dos dados após cumprida a finalidade (art. 16); e comunicar todos os direitos do titular (art. 9º e art. 18).

Todos os pontos aqui levantados, e outros que a brevidade não permite explorar, acentuam a necessidade de um robusto sistema fundado nos direitos do titular e em princa­pios cujas raa­zes últimas são os mandamentos constitucionais. Isto demarcaria com clareza as linhas intranspona­veis da arbitrariedade do Estado e da atividade das empresas. Em sentido diametralmente oposto, vemos a real possibilidade de adiamento da entrada em vigor da LGPD para janeiro de 2021.

O uso seguro dos dados requer definições técnicas sobre anonimização e interoperabilidade - ao encargo da Autoridade Nacional de Proteção de Dados, ainda não concretizada. Os meios de garantia dos direitos do titular dependem igualmente de definição legislativa sobre transparaªncia, limitação a  finalidade, obrigações de informação ao titular e a  Autoridade, dentre outros. Sem mecanismos imediatos de fiscalização e resposta a erros graves e abusos, a proteção de dados estãoa  deriva.