A vigilância massiva será o legado da pandemia?

No 10° Fórum da Internet no Brasil, representantes da sociedade civil, setor privado e governo federal debatem privacidade e proteção de dados pessoais nas ações de mitigação da pandemia de Covid-19 e possíveis consequências

Por Enio Lourenço

Os grandes eventos esportivos da última década, como a Copa do Mundo de 2014 e as Olimpíadas do Rio de Janeiro em 2016, deixaram legados discutíveis para o povo brasileiro. Além dos grandes complexos esportivos (alguns já abandonados) e de algumas obras de infraestrutura urbana (outras tantas inacabadas), a expansão das políticas de vigilância do Estado é uma parte real e significativa dessa herança.

Diferentemente das projeções positivas para um “novo normal”, a pandemia de Covid-19 tem um grande potencial de aprofundar a distopia tecnológica e ampliar o legado nocivo da vigilância em massa, tanto estatal quanto privada, sobre os cidadãos.

A evolução da tecnologia, com aprimoramento de técnicas de machine learning e inteligência artificial, mostrou a alta capacidade de startups e outras empresas de tecnologia em oferecer rapidamente soluções para governos de todo o mundo atuarem na mitigação da crise sanitária.

O rastreamento de contatos (contact tracing) de pacientes infectados ou a criação de mapas de calor com dados anonimizados foram algumas dessas ferramentas que apareceram no mercado da pandemia — o segundo, inclusive, utilizado largamente no Brasil.

O caráter excepcional do uso dessas tecnologias, ainda que no legítimo intuito de encontrar maneiras de achatar a curva de contágio do vírus, gerou receio na sociedade civil. Até que ponto a privacidade dos cidadãos estaria resguardada?

Quando a OMS declarou o caráter pandêmico do novo coronavírus ( 11/03), o Brasil já possuía a Lei Geral de Proteção de Dados Pessoais (LGPD), mas que se encontrava em vacatio legis e somente passou a valer em território nacional na última sexta-feira (18/09).

Logo, muitas decisões foram tomadas sem respaldo jurídico no que se refere ao tratamento e compartilhamento de dados pessoais, muitas vezes usando tecnologias opacas ao grande público, sem transparência nos processos e qualquer controle da sociedade.

Toda essa experiência dos últimos seis meses foi debatida ontem (22/09) no painel “Pandemia e antivigilantismo: como proteger direitos e garantir meios de mitigar a disseminação da Covid-19”, proposto pela Coalizão Direitos na Rede no Fórum da Internet no Brasil 10 (FIB).

A mesa foi composta por Bruna Martins dos Santos (Coalizão Direitos na Rede), Raquel Saraiva (IP.rec), Raissa Moura (Inloco) e Miriam Wimmer (Ministério das Comunicações). A mediação ficou por conta de Gustavo Rodrigues (Iris) e a relatoria foi feita por Bárbara Simão (Idec).

Sem LGPD em voga, STF salvaguardou limites no uso de dados pessoais

Representando a Coalizão Direitos na Rede, a advogada Bruna Martins dos Santos (consultora em privacidade e proteção de dados pessoais) lembrou que as recomendações incisivas de isolamento social no início da pandemia transformaram o ambiente digital no principal meio de comunicação entre as pessoas.

As as grandes plataformas, que possuem seus modelos de negócios baseado em dados pessoais, foram as beneficiárias imediatas. “Também foram implementados e aprimorados sistemas de telemedicina, homeschooling, rastreamento de contatos, mapas de calor, meios de aferição da efetividade das políticas de mitigação da pandemia”, complementou.

Na ausência da LGPD, em outubro de 2019, o governo federal criou por decreto o Cadastro Base do Cidadão, que poderá integrar até 80 bases de dados (inclusive com informações biométricas e de saúde, consideradas sensíveis).

Bruna relembrou que na esteira daquela medida, já em abril e durante a pandemia, Bolsonaro foi ainda mais audacioso com Medida Provisória 954/20, que obrigava operadoras de telefonia a compartilhar dados com o Instituto Brasileiro de Geografia e Estatística (IBGE)para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19)“.

“Faltavam definições sobre objetivo e finalidade específica daquela coleta, que estivessem transparentes para os brasileiros, e salvaguardas mais claras sobre o compartilhamento dos dados. Não houve consulta com a sociedade civil, nem discussões de limites ou garantias de que essas informações seriam eliminadas após a pandemia”, relembrou Bruna.

O Supremo Tribunal Federal (STF) suspendeu a eficácia da MP 954/20 no início de maio. “Sem a vigência da LGPD, esse ente foi muito importante e responsável por reafirmar os princípios de proporcionalidade, razoabilidade e transparência no uso de dados pessoais para mitigar a pandemia”, avaliou a advogada.

“Pandemia e antivigilantismo: como proteger direitos e garantir meios de mitigar a disseminação da COVID-19”, painel proposto pela Coalizão Direitos na Rede no Fórum da Internet no Brasil 10

Governo esboçou coleta massiva de dados em 222 milhões de linhas telefônicas

Raquel Saraiva, presidente e fundadora do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec), lembrou que o extinto Ministério da Ciência, Tecnologia, Inovação e Comunicação (MCTIC) também esboçou uma tentativa de monitorar os dados de geolocalização de 222 milhões de linhas telefônicas móveis numa parceria com as empresas de telefonia Algar, Claro, Oi, Tim e Vivo.

A estratégia encabeçada pelo ministro da Ciência, Tecnologia e Inovação Marcos Pontes, no entanto, foi dissuadida pelo próprio presidente Jair Bolsonaro.

“Esse acordo parecia estranho, não era transparente, a sociedade não tinha informações de como funcionaria essa solução. Acreditamos que nesses casos as informações devem ser suficientemente publicizadas e compartilhadas com a sociedade, explicitando com quais órgãos elas serão compartilhadas e demonstrando, a cada período, a efetividade da política”, disse Raquel. 

A diretora de políticas para transformação digital do Ministério das Comunicações (à época MCTIC), Miriam Wimmer, confirmou a tentativa e afirmou que a sua pasta acionou a consultoria jurídica para colocar o programa de monitoramento em prática, tendo preparado inclusive uma nota técnica. “Mas certamente não houve uma comunicação adequada. São muitos os aprendizados na pandemia”, resumiu.

Mapas de calor e privacidade

Outro ponto alto do debate no FIB se deu em torno do processo de anonimização e pseudonimização de dados pessoais nos mapas de calor forjados para o monitoramento de aglomerações.

Raissa Moura, líder em estratégia de proteção de dados da Inloco, afirmou que a startup pernambucana coleta o mínimo de informações possíveis dos usuários e tem o compromisso com a privacidade das pessoas em suas parcerias com governos municipais e estaduais para ajudar a efetivar as medidas sanitárias de combate ao novo coronavírus.

Segundo o Yahoo Notícias, em abril, a In Loco possuía contratos com pelo menos 15 estados e três prefeituras brasileiras. A Inloco utiliza rastreadores (trackers) instalados em mais de 100 aplicativos, que podem estar em aplicativos de delivery, varejo ou de bancos, por exemplo, e coletam dados de localização do usuário. No entanto, de acordo com a startup, todas as informações chegam anônimas ao seu banco de dados.

“Era um desafio não ter a LGPD vigente quando começou a pandemia. Mas a Inloco tomou todos os cuidados de privacidade quando forneceu a tecnologia para o poder público. Nenhum governo teve acesso a dados pessoais de nenhum brasileiro. O que fornecemos são dados estatísticos, de forma granularizada, em forma de mapas de calor, disponibilizados a cada 24 ou 48 horas. Usamos criptografia forte e outras técnicas para não identificar a titularidade de nenhum cidadão”, explicou Raissa.

A presidente do IP.rec, porém, lembrou que o convênio entre a Prefeitura de Recife e a startup Inloco gerou preocupação aos pernambucanos com os critérios de garantia de privacidade que poderiam estar aquém dos padrões adequados. Raquel Saraiva ainda reforçou que nenhum dado é 100% anonimizado.

“Um padrão repetitivo pode revelar a identidade de alguém que tem seu dado anonimizado. O fator anonimização está longe de ser pacífico entre estudiosos. As técnicas não são 100% eficazes. Se em alguma medida aquele dado pode ser reidentificado, há a preocupação desse compartilhamento com o poder publico, pois pode gerar vigilância em massa. Por isso alguns especialistas chamam de pseudonimização, e não dados anonimizados”, disse.

Em abril, a repórter Tatiana Dias, do The Intercept Brasil, comprovou a premissa de Raquel Saraiva na reportagem “Vigiar e lucrar – Nós identificamos dois clientes dos dados de localização ‘anônimos’ vendidos pela Vivo”.

Antes mesmo da pandemia, a Coalizão Direitos na Rede já acompanhava a expansão de políticas de vigilância estatal através de projetos de lei ou políticas públicas, que se valem do uso de tecnologias, justificados pela demanda da segurança pública.

Assista na íntegra ao painel “Pandemia e antivigilantismo: como proteger direitos e garantir meios de mitigar a disseminação da COVID-19″, proposto pela Coalizão Direitos na Rede no Fórum da Internet no Brasil 10.