18 May A COMISSÃO EUROPEIA ORIENTA O USO DE APLICATIVOS DE CELULAR VOLTADOS AO COMBATE DA COVID-19
A Comissão Europeia (“CE”) publicou em 16.4.2020 orientações para o uso de aplicativos voltados ao combate à pandemia da COVID‑19, sob a perspectiva da proteção de dados.
A CE é o órgão executivo da União Europeia (“UE”), politicamente independente, sendo responsável por propor a adoção pelo Parlamento e Conselho da UE de leis e medidas para proteger os interesses da UE e dos seus cidadãos, sempre que questões possam ser tratadas com maior eficácia ao nível europeu do que ao nível nacional.
A publicação insere-se em um contexto de crescente utilização da tecnologia de aplicativos para celulares em prol da contenção dos avanços da pandemia da COVID-19 na UE e no mundo.
O Google e a Apple recentemente anunciaram, por exemplo, um esforço conjunto no desenvolvimento de um aplicativo, operável em Android e iOS, que recorrerá à ferramenta do Bluetooth para identificar a proximidade de indivíduos infectados por COVID-19 e notificar pessoas próximas.
A orientação da CE parte de uma premissa de que é desejável que haja limites a essas tecnologias e certa parametrização na regulamentação dentre os Estados-Membros, a fim de assegurar direitos fundamentais de seus usuários, os titulares de dados pessoais e de dados pessoais sensíveis.
Seja por aumentar a capacidade de autoridades de saúde de interromper cadeias de infecção, ou por permitir a indivíduos a rastreabilidade de suas interações sociais, notificando-os em algum perigo iminente, a confiança depositada nas plataformas é uma condição prévia ao seu desenvolvimento. Para assegurar essa confiança, a CE destaca que as pessoas precisam ter a certeza de que esses aplicativos respeitam direitos fundamentais e de que serão utilizados somente para a proteção da saúde pública e outros fins especificamente definidos, que não serão utilizadas para vigilância em larga escala e que os cidadãos manterão o controle sobre os seus dados.
Ainda, é condição imprescindível que tais medidas possuam prazo de validade, isto é, a CE recomenda que os aplicativos sejam desativados, no mais tardar, quando a pandemia for declarada sob controle, além de implementarem, durante seu funcionamento, proteções de segurança da informação mais avançadas que o comum.
A CE prevê certas funcionalidades de aplicativos, sobre as quais incidiriam suas orientações, sendo:
(i) Fornecimento de informações exatas aos cidadãos sobre a pandemia da COVID-19;
(ii) Fornecimento de questionários para autoavaliação e orientação dos cidadãos (funcionalidades de controle de sintomas);
(iii) Alertas das pessoas que tenham estado próximas de uma pessoa infectada durante determinado período, de modo a fornecer informações, como a recomendação de auto quarentena, ou a indicação dos locais de realização de testes de diagnóstico (funcionalidades de rastreio e alerta); e
(iv) Criação de fórum de comunicação para médicos e pacientes em situação de auto isolamento e para os casos em que é prestado aconselhamento ulterior em matéria de diagnóstico e de tratamento (maior utilização de telemedicina).
A CE pondera que uma plataforma com tal ingerência sobre a confidencialidade das comunicações privadas apenas poderia ser imposta a cidadãos europeus através de uma medida legislativa que seja adequada e proporcional, para proteger objetivos específicos e que será necessário ainda se realizar uma análise minuciosa antes de se recorrer a essa opção.
Por esse motivo, a autoridade europeia recomenda que a utilização das tecnologias seja voluntária e que ocorra por iniciativa dos cidadãos, a partir dos aplicativos para celulares disponíveis para download, sem que haja qualquer consequência negativa à pessoa que decida não baixar o app ou não o utilizar.
A CE apresenta e discute 10 elementos para garantir a confiança dos aplicativos, limitar o caráter intrusivo de suas funcionalidades e assegurar o cumprimento da legislação da UE em matéria de proteção dos dados pessoais e da privacidade.
1. Autoridades Nacionais de Saúde como responsáveis pelo tratamento.
A CE considera que, dado a sensibilidade dos dados em questão, é importante identificar como responsáveis pelo tratamento, isto é, quem decidirá os meios e as finalidades do tratamento de dados, as autoridades nacionais de saúde (ou entidades que desempenham funções de interesse público na área da saúde). Tal medida pode contribuir para uma maior aceitação dos aplicativos e confiança nas tecnologias, garantindo que cumprem a finalidade prevista de proteção à saúde pública.
2. Assegurar que as pessoas mantêm o controle sobre os dados.
Além da recomendação de que a instalação dos aplicativos seja voluntária, sem que haja penalidades a quem não o fizer, é importante que: (i) as finalidades não sejam agrupadas, para que haja o consentimento específico do titular a cada uma delas, (ii) os dados de rastreio devem ser armazenados nos dispositivos das pessoas e eventual compartilhamento com a autoridade de saúde de resultado positivo da infecção por COVID-19 deve ocorrer somente após a sua confirmação e por iniciativa da pessoa infectada, (iii) as autoridades devem informar o titular de dados sobre os procedimentos do tratamento de seus dados, permitindo o exercício dos direitos previstos na legislação e (iv) os aplicativos devem ser desativados quando a pandemia for declarada sob controle, sendo que a desativação não deve depender da desinstalação pelo usuário.
3. Fundamento Jurídico ao tratamento.
A CE recomenda que seja obtido o consentimento prévio, livre, específico, explícito e informado do titular de dados, nos termos do General Data Protection Regulation (“GDPR”). Além disso, deve ser expresso mediante um ato positivo da pessoa, o que exclui formas de consentimento tácito. Ainda, a CE chama a atenção para a proibição de submeter as pessoas a uma decisão tomada exclusivamente com base no tratamento automatizado que produza efeitos na sua esfera jurídica ou que a afete significativamente de forma similar (conforme o artigo 22º do GDPR).
4. Minimização dos dados.
A CE recomenda que haja somente a utilização dos dados pessoais que sejam adequados, pertinentes e limitados ao que é necessário em relação à finalidade proposta pelo aplicativo. Como exemplo, a CE menciona que no contexto de telemedicina ou controle de sintomas não seria necessária a coleta de dados da lista de contatos da pessoa proprietária do dispositivo. Dessa forma, a CE conclui que a produção e o tratamento de menos dados limitam os riscos de segurança.
5. Limitar a divulgação/acesso aos dados
A CE recomenda que a informação que não esteja diretamente relacionada à finalidade do aplicativo e a sua função aos usuários não deverá ser compartilhada com autoridades de saúde. A identidade da pessoa infectada não poderá ser revelada às pessoas com as quais tenha tido contato epidemiológico. Para essas pessoas, a CE recomenda que lhes seja dito, somente, que tiveram contato nos 16 dias anteriores com uma pessoa infectada por COVID-19.
6. Estabelecimento das finalidades exatas do tratamento.
Especificamente, a CE recomenda que não sejam agrupadas diferentes finalidades do tratamento de dados nos aplicativos, a fim de permitir que as pessoas mantenham controle sobre seus dados. A CE, ainda, desaconselha a utilização dos dados coletados para finalidades diferentes da luta contra a COVID-19 e, caso sejam necessárias finalidades como a pesquisa científica e estatística, essas devem ser incluídas na lista inicial de finalidades e comunicadas claramente aos usuários.
7. Estabelecer limites estritos de armazenamento de dados.
A CE recomenda períodos máximos para o armazenamento dos dados objeto de tratamento, sendo de 1 (um) mês (período de incubação do vírus, acrescido de margem de segurança) para a finalidade de controle de sintomas e telemedicina, ou depois de a pessoa ter sido testada e o resultado ter sido negativo para a infecção. Para fins de elaboração de relatórios de vigilância e de investigação, as autoridades poderão manter por mais tempo os dados, somente, na forma anonimizada. Para fins de rastreio de contatos epidemiológicos e de alerta, a CE recomenda o mesmo prazo acima destacado ou que sejam eliminados tão logo os dados deixem de ser necessários para a finalidade de alertar as pessoas.
8. Garantir a segurança dos dados.
A CE recomenda que os dados sejam armazenados no dispositivo do indivíduo, em formato encriptado, utilizando técnicas de encriptação avançadas. Caso os dados sejam conservados num servidor central, o acesso ao mesmo, incluindo o acesso administrativo, deve ser registrado e os dados de proximidade só devem ser gerados e armazenados em formato encriptado ou pseudonimizado, dentre outras medidas de segurança da informação.
9. Garantir a exatidão dos dados.
Nesse ponto, a principal recomendação é a de evitar falsos positivos. Quanto a isso, a CE recomenda que os aplicativos se utilizem de ferramentas de localização mais precisas, como o Bluetooth, e que haja uma validação do teste positivo da COVID-19 informado pelo usuário.
10. Papel das autoridades de proteção de dados
É recomendável o envolvimento direto das autoridades de proteção de dados no desenvolvimento dessas tecnologias, permitindo a consulta e aconselhamento para a implementação das soluções. A CE destaca também o papel na avaliação dos impactos à proteção de dados pessoais.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener, Granja & Vieira Advogados.
Sem comentários