A privacidade e proteção de dados pessoais em tempos da Covid-19
Em decorrência da pandemia causada pela Covid-19, diversas ferramentas tecnológicas estão sendo utilizadas ou desenvolvidas com o objetivo de ajudar no combate à doença. Dados de geolocalização por meio de celulares e redes sociais vêm sendo comumente utilizados pelas autoridades da saúde pública e empresas para obter o máximo de informações possível com foco em combater a crise. A coleta de informações sobre deslocamento, aglomerações, dados sobre pessoas contaminadas bem como sua geolocalização podem ajudar a avaliar e adaptar as medidas de isolamento em geral, isolar indivíduos contaminados e notificar outros indivíduos que possam ter sido expostos ao vírus.
A utilização da tecnologia e do processamento de dados pessoais parece ser essencial no combate à doença e certamente pode ser justificada com base na Lei Geral de Proteção de Dados ("LGPD"), já que permite o tratamento de dados sem a necessidade de consentimento para finalidades como a proteção da vida ou da incolumidade física ou a tutela da saúde por profissionais da área, serviços de saúde e autoridades sanitárias.
Contudo, é preciso que as entidades que se utilizam dessas ferramentas, tanto públicas como privadas, estejam atentas aos limites e desafios de forma a equilibrar as preocupações de saúde pública com os direitos de privacidade do titular dos dados.
Para isso, é necessário levar em consideração os seguintes aspectos imprescindíveis para a proteção de dados em tempos de crise:
- Finalidade e tempo de armazenagem: O provedor da ferramenta deve identificar a finalidade do tratamento dos dado e estabelecer quais dados são imprescindíveis para o atingimento da finalidade. Somente aqueles dados devem ser coletados e utilizados unicamente para a finalidade definida. Tão logo eles tenham sido utilizados e a ferramenta não tenha mais utilidade (por exemplo após o término da pandemia) os dados devem ser eliminados ou anonimizados ou pseudonimizados, caso sejam mantidos para alguma finalidade (por exemplo, para fins de pesquisa).
- Anonimização, pseudonimização e agregação dedados: Sempre que possível, os dados devem ser tratados de forma anonimizada e agregada. Essas formas resguardam os dados do titular dos dados – uma vez que, se agregados em um pool grande, não envolvem informações que sejam capazes de identificar um indivíduo e, com isso, não estão no escopo da LGPD – e podem ser eficientes para identificar tendências como surtos em uma comunidade. Caso os dados venham a ser usados para estudos e análise científica, o que é muito provável no caso da Covid-19, pode ser feito uso do processo de pseudonimização, por meio do qual o dado somente pode ser associado a um indivíduo pelo uso de informação adicional, mantida em ambiente controlado e seguro. Existem normas de segurança com informações específicas para a área de saúde (ISO 27.799) que podem ser utilizadas nesse processo.
- Processo transparente e canal de comunicação com o usuário: É recomendado que todo o processo de coleta e tratamento de dados seja inteiramente transparente e informado ao titular dos dados por meio de políticas escritas que devem estar disponível de forma eletrônica no respectivo site ou aplicativo. Essas políticas devem esclarecer quais foram os dados coletados, para qual a finalidade e qual o período de armazenamento. Deve haver também um canal de comunicação com o titular de dados acerca do tratamento dos dados (por exemplo: chat, e-mail, etc.).
- Políticas e ferramentas de segurança: Os dados devem ser utilizados e armazenados deforma segura para evitar vazamentos e utilizações incorretas. Além disso, deve haver regras claras de acesso a dados e compartilhamento com terceiros. Para isso, todos que têm acesso a esses dados devem ser informados sobre as políticas e, se possível, treinados sobre a utilização.
A equipe de Tecnologia & Comunicação está à disposição em caso de dúvidas.