A Lei Geral de Proteção de Dados (LGPD) em tempos de coronavírus
9 de abril de 2020O novo coronavírus tirou os holofotes de qualquer outro tema anteriormente em evidência, não tendo sido poupada a nossa Lei Geral de Proteção de Dados, a LGPD. De qualquer forma, são muitos e de extrema relevância os pontos em que os dois assuntos convergem
Por Luiza Sato
Publicação dos casos de suspeita, dos portadores e dos mortos por coronavírus
Autoridades governamentais, hospitais, centros de pesquisa, companhias de transporte, administradores de propriedades, jornalistas e outros entes ao redor do mundo estão compartilhando dados em uma escala sem precedentes para impedir a disseminação doença, ajudando a identificar indivíduos que entraram em contato com pessoas infectadas.
Os dados são compartilhados publicamente devido aos enormes benefícios para a Humanidade em ter acesso a tais dados. No entanto, ainda configuram dados pessoais de saúde e seu uso deve seguir uma série de restrições legais.
A propagação de dados pessoais pela simples vontade em sanar a curiosidade alheia, sem a preocupação com o interesse público, a proteção da vida ou com a incolumidade física de indivíduos, poderia ser considerado um tratamento indevido de dados pessoais.
No dia 26 de fevereiro, tivemos no Brasil o primeiro caso confirmado de coronavírus em território nacional. Nessa data, já tínhamos acesso pela mídia a dados do paciente como sua procedência, gênero, idade, problemas de saúde e hospital em que ficaria internado.
Já utilizando os preceitos da LGPD, que ainda não está em vigor, mas que já pode servir como as melhores diretrizes que temos para aplicação hoje sobre o tema.
O tratamento de dados pessoais sensíveis, dentre os quais encontram-se os dados de saúde, poderá ocorrer sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para a realização de estudos por órgão de pesquisa; para a proteção da vida ou da incolumidade física do titular ou de terceiros; e para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
A LGPD também dispõe que a lei não será aplicável para o tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional e segurança do Estado, cenários que deverão ser regidos por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público.
Para a maior parte das divulgações, deverão ser envidados todos os esforços para limitar as informações divulgadas àquelas que são o “mínimo necessário” para atingir determinada finalidade. Ainda, mesmo nessas situações emergenciais que estamos presenciando, as entidades deverão continuar implementando salvaguardas razoáveis para proteger os dados pessoais do paciente contra usos e divulgações ilícitas, sejam elas intencionais ou não intencionais.
Contato com os habitantes de um território sobre calamidades e situações de emergência
Imediatamente após o pronunciamento de Emmanuel Macron aos residentes da França anunciando as fortes medidas de prevenção ao vírus, muitos deles receberam mensagens de texto com informações sobre o isolamento compulsório.
Caso o mesmo ocorresse no Brasil, já com a LGPD em vigor, haveria o amparo da lei, se considerada a execução de medidas públicas pelo governo e a obrigação legal ou regulatória a ser cumprida pelas operadoras de celulares.
Uso de dados pessoais para a invenção da cura e de vacinas
Muito ainda se falará sobre a legitimidade do uso massivo de dados para a invenção de vacinas e remédios contra o coronavírus.
Ficaram em evidência as ações da Verily, organização de pesquisa da Alphabet (holding do Google) dedicada ao estudo das ciências da vida, para os testes de COVID-19. Os questionamentos ocorreram por conta do embate entre o acesso pelo Google aos dados obtidos por tais testes e o benefício da assistência às entidades públicas na condução dos testes para fins de supressão da doença.
Em um primeiro momento, parece estranho que uma empresa de tecnologia conduza testes em uma situação de crise de saúde pública, entretanto, resta claro a todos que os órgãos governamentais não possuem minimamente a tecnologia, o know-how ou sofisticação técnica de uma empresa como o Google em uma situação extraordinária como essa em pauta.
Tem-se que, seguidos os devidos preceitos legais e conduzidas as atividades sempre de forma a adotar as melhores práticas de proteção de dados (ex: obediência às bases legais para o tratamento de dados pessoais, anonimização de dados, realização de um relatório de impacto à proteção de dados pessoais, etc.), o uso de dados pessoais para a busca de tal bem comum não só será lícito como extremamente bem-vindo.
Teletrabalho
Outra questão em voga por conta do confinamento recomendado ou exigido diz respeito aos cuidados com o tratamento de dados pessoais por empregados em teletrabalho.
Isso porque os empregados em teletrabalho terão acesso a dados pessoais muitas vezes por meio de um dispositivo particular ou, mesmo se pelo dispositivo da empresa, utilizando tecnologias que poderão não cumprir com as medidas técnicas adequadas para a proteção de dados, como o Wi-Fi público.
Nesse caso, a melhor prática a ser conduzida pela empresa é a manutenção de uma forte política de segurança da informação, que inclui treinamentos contínuos para a sua devida absorção pelos empregados.
Outras medidas recomendáveis para que os preceitos da LGPD sejam seguidos são o investimento em um sistema de armazenamento em nuvem, em que o empregador consiga realizar procedimentos de segurança (como a criptografia de dados) e que haja um menor vínculo ao dispositivo físico particular do empregado.
A realização de procedimento rotineiro de eliminação de eventuais dados salvos no dispositivo eletrônico particular em razão do trabalho; e o acesso protegido à caixa de e-mails corporativa e às bases de dados da empresa, apenas acessíveis por dispositivos com um mínimo de controles de segurança.
Prorrogação do início da vigência da LGPD
Por fim, a pergunta de 1 milhão de dólares: a LGPD, marcada para entrar em vigor em agosto, terá sua vigência prorrogada por conta do atual cenário? Resposta rápida: não se sabe.
O que existe é uma óbvia tendência a inexistir uma Autoridade Nacional de Proteção de Dados (ANPD) atuante em agosto – considerando a priorização da aplicação dos recursos financeiros pelo governo em saúde pública e na manutenção da economia no país – e a consequente insegurança jurídica na aplicação da LGPD sem a autoridade.
Por outro lado, conforme demonstrado por este artigo, a vigência de legislação que disponha sobre a proteção de dados faz-se de absoluto interesse público, especialmente em tempos de desmedida disseminação de dados pessoais, inclusive sensíveis, como o atual. É de extremo risco colocar em xeque a credibilidade nacional e internacional da aplicação da lei com a ideia de que ela “não vai pegar no Brasil”.
Por conta da assustadora disseminação da COVID-19, a proteção de dados não parece ser a principal preocupação da população, e com todas as razões.
No entanto, essa parece ser uma excelente oportunidade para refletirmos sobre o papel da proteção de dados na epidemiologia e em grandes calamidades de saúde pública como o que estamos vivenciando.
Fonte: CIO
A Certificação Digital e o Decreto 10.282 de 2020
Lei geral de proteção aos dados e suas implicações
Maia prorroga funcionamento de comissão de juristas sobre proteção de dados e LGPD