LGPD dará mais segurança jurídica, mesmo no atual momento

  • Margareth Kang*

Uma das discussões mais presentes em razão  do Covid-19 é sobre o uso dos dados pessoais durante a pandemia. Enquanto países como China, Coréia do Sul e
Cingapura fazem uso da tecnologia e dos dados pessoais como estratégia no monitoramento e contenção da doença, outros como Itália e Alemanha adotam medidas que requerem menos uso dos dados pessoais, tais como: preenchimento de fichas que justificam a saída de casa, agentes de saúde que visitam o possível contaminado ao invés da pessoa procurar o hospital, entre outros.

Apesar de cada país trabalhar da sua maneira para conter a pandemia, a preocupação com o uso dos dados pessoais durante e depois da crise permanece. Nesse sentido, a atuação das Autoridades de Proteção de Dados Pessoais ganha destaque. Nos países que possuem uma Autoridade de Proteção de Dados, ela tem sido frequentemente questionada sobre a utilização de dados pessoais como geolocalização e temperatura, no combate do Covid-19.

Nesse compasso, entendendo que a discussão do tratamento dos dados pessoais se
faz inevitável, com o intuito de refletir como o Brasil pode lidar com essa situação na ausência de uma Autoridade de Proteção de Dados Pessoais, e considerando ainda que a LGPD foi fortemente influenciada pela GDPR, trazemos  o pronunciamento
do European Data Protection Board (EDPB) sobre o tratamento dos dados pessoais em relação ao Covid -19. Em seguida, com o intuito de verificar o contraste na abordagem do tema, fizemos um pequeno recorte e trouxemos um comparativo entre o comunicado da autoridade chinesa e espanhola no âmbito das relações de trabalho, dados pessoais e o Covid – 19. Por fim,  finalizamos com uma breve análise das discussões sobre a prorrogação da LGPD.

 Comunicado da Comissão Europeia de Proteção de Dados Pessoais (EDPB)
Publicado em 20 de março de 2020. Os principais pontos do comunicado da EDPB são:

Garantia da proteção de dados pessoais em momentos de crise. O comunicado é claro, a GDPR prevê regras que também se aplicam ao tratamento de dados pessoais no contexto como da COVID-19. Apesar de permitir que autoridades de saúde pública e empregadores tratem dados pessoais no contexto da pandemia, o EDPB destaca que os agentes de tratamento de dados devem buscar a garantia da proteção dos dados pessoais dos titulares dos dados.

Dados Pessoais Sensíveis. No que diz respeito ao tratamento de dados pessoais sensíveispelas autoridades públicas competentes, o EDPB considera que os artigos 6 e 9 da GDPR, que tratam das bases legais de tratamento de dados pessoais e dados pessoais sensíveis respectivamente, possibilitam o tratamento desses dados. Lembrando que em alguns casos, há a necessidade de observância às legislações nacionais também.

Relações Trabalhistas. No contexto da relação de trabalho, o tratamento de dados pessoais pode ser necessário para o cumprimento de obrigação legal a que o empregador esteja sujeito, como obrigações relacionadas à saúde e segurança de trabalho; ou ao interesse público, como o controle de doenças e outras ameaças à saúde. Nesses casos, o empregador poderia divulgar o nome do funcionário infectado com COVID-19 para seus colegas somente quando necessário
e permitido pela legislação nacional. Zelando pela proteção da dignidade e integridade desse funcionário.

Dados de localização. Em princípio, os dados de localização só podem ser usados pelo agente de tratamento de dados pessoais quando anonimizados ou com o consentimento do indivíduo. No entanto, o art. 15 da diretiva e-Privacy permite que os Estados-Membros introduzam medidas legislativas para salvaguardar a segurança pública. Essa legislação excepcional só é cabível durante o período da emergência, e se aplicada de maneira apropriada e proporcional devendo estar em conformidade com a Carta dos Direitos Fundamentais e a Convenção
Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais.
Medidas invasivas, como o "rastreamento" de indivíduos poderão ser consideradas proporcionais apenas em circunstâncias determinadas. Por isso autoridades públicas poderiam usar dados pessoais dos telefones celulares de indivíduos para monitorar, conter ou mitigar a disseminação do COVID-19, procurando primeiramente processar dados de localização de forma anoninimizada, o que poderia permitir relatórios sobre a concentração de dispositivos móveis em um determinado local.

Transparência no tratamento de dados. O EDPB reafirma que os titulares dos dados devem receber informações transparentes sobre as atividades de tratamento que estão sendo realizadas, incluindo o período de retenção dos dados coletados e as finalidades do tratamento. As informações fornecidas devem ser facilmente acessíveis e fornecidas em linguagem clara.

Segurança. É importante adotar medidas de segurança e políticas de confidencialidade adequadas, garantindo que os dados pessoais não sejam divulgados a terceiros não autorizados. As medidas implementadas e o processo de tomada de decisão devem ser documentado. Nesse sentido, entendemos que ferramentas de anonimização, pseudo-anonimização, criptografia e dupla verificação são opções a serem consideradas.

De toda forma, a mensagem principal do EDPB em seu comunicado é a de que, na
busca do equilíbrio entre o interesse público pela contenção da pandemia e o direito de proteção da privacidade e a proteção de dados pessoais, a proporcionalidade, transparência, e respeito a finalidade são o guia na tomada de decisão das autoridades.

Relações de Trabalho

E como esse tema tem sido gerenciado nas relações de trabalho?
No que tange as relações de trabalho, cada país tem adotado as suas políticas. Elas
dependem de diversos fatores como: o isolamento horizontal ou vertical, cultura de proteção de dados, viabilidade técnica, entre outros.

A título exemplificativo, verificamos os informes emanados das autoridades espanhola (Agencia Española de Proteccíon de Datos – AEPD) 2 e chinesa (Cyberspace Administration of China -CAC) 3 no contexto das relações de trabalho, países completamente distintos mas ambos muito atingidos pela pandemia.

Em linhas gerais, é possível notar que apesar de China e Espanha adotarem estratégias diversas na contenção do vírus, ambos concordam que: a) o empregador poderá coletar informações para saber se o empregado está ou não infectado, b) essas informações precisam ser mantidas de forma segura, c) as informações coletadas pelo empregador não podem ser divulgadas sem autorização do empregado à terceiros, exceto às autoridades públicas quando solicitadas.

A maior diferença entre eles é que enquanto a autoridade espanhola faz referências
frequentes as normas de proteção de dados pessoais, dado que a Europa tem uma cultura mais estabelecida de proteção de dados pessoais, a autoridade Chinesa incentiva a utilização do big data pelas empresas para realizar análises e previsões do fluxo de grupos-chave (casos confirmados, casos suspeitos e contatos próximos), para também contribuir na prevenção e articulação conjunta de trabalho no combate ao vírus.

Como fica a LGPD?

No Brasil, ganhou força o movimento que tem por objetivo prorrogar, mais uma vez, a vacatio legis da Lei Geral de Proteção de Dados (Lei 13.709/2018). Antes mesmo do começo desse cenário de COVID-19 que estava por vir, já tramitava o Projeto de Lei 5.762/2019 com a finalidade de adiar a entrada em vigor da lei para 2022, que a época contava com uma baixa aprovação. Os defensores desse PL tinham como argumento que apenas uma pequena parcela das empresas iniciou o processo de adaptação.

Com o advento da maior crise de saúde desde a gripe espanhola, em razão dos
impactos econômicos já observados e o que ainda estão ainda por vir associados ao custo regulatório inerente à LGPD o movimento pela prorrogação da vigência se intensificou. Desde então três Projetos de Lei relacionados a LGPD emergiram. O PL 1027/2020 que busca alterar a entrada em vigor da LGPD para 2022, PL 1164/2020 que propõe que as penalidades previstas na LGPD só sejam aplicadas decorridos 12 meses da vigência da lei, e o PL 1179/2020 que em seu artigo 25 posterga a vigência da lei para agosto de 2021.

Considerando a delicada situação que enfrentamos, natural seria a priorização de
medidas de saúde pública e econômicas que claramente impactam a sociedade, o que de fato foi feito através do artigo 6 da Lei 13.979/2020, ao tornar obrigatório o compartilhamento entre órgãos e entidades da administração pública federal, estadual, distrital e municipal de dados essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação.

Importante ressaltar, no entanto, que a LGPD não nasceu como normativa para
impedir o mercado e as autoridades de usarem dados pessoais, ao contrário, em seus fundamentos também está presente o desenvolvimento econômico, a livre iniciativa e o exercício da cidadania, e esse espírito é traduzido no leque das bases legais que permitem o tratamento dos dados pessoais ( Art. 7, 11 LGPD) e nas exceções de aplicação da LGPD (Art.4 LGPD).

Acrescenta-se ainda que a LGPD vem como norma para incluir o Brasil no mercado que faz uso de dados pessoais e exige um nível de adequação semelhante, como o mercado europeu e a OCDE (Organização para Cooperação e Desenvolvimento Econômico) permitindo e facilitando negócios nessa área. Além disso, é um instrumento de garantia ao agente de tratamento de dados pessoais, que pode justificar seu tratamento com base na lei, e evitar a insegurança jurídica que permeava o setor através de decisões que apontavam para direções
imprevisíveis.

É evidente que o cenário brasileiro de tratamento dos dados pessoais poderia estar
mais pacificado caso já tivéssemos a Autoridade de Dados pessoais (ANPD) operando. Assim como vimos nos comunicados das autoridades internacionais acima, elas, nesse momento,exercem um papel central de guia e garantidor dos direitos e obrigações dos sujeitos e dos agentes de tratamento.

Nesse sentido, apesar de ser compreensível a prioridade do Poder Público em conter o avanço da doença, não nos parece que a LGPD vai em contramão com o presente cenário. Situações envolvendo a necessidade de proteção de dados serão cada vez mais presentes e ao postergar a lei, o país parece retroceder ao passado e não olhar para o futuro. Se agora já não temos regras claras e nem uma autoridade para trazer diretrizes de como tratar os dados, com o fim da pandemia, o Brasil vai continuar em atraso frente ao cenário mundial?

Como sociedade e como agentes de mercado a mera postergação da LGPD não parece ser a melhor solução. Não há necessidade em temer a vigência da LGPD, porque o cenário está mais amadurecido. Hoje, empresas fazem gestão de terceiros com base na LGPD, incluem cláusulas de proteção de dados em seus contratos, revisam suas políticas de privacidade e termos de uso, e tem trabalhado na implementação de uma cultura de proteção de dados internamente.

Além disso, considerando o momento crítico, não é de se esperar que as autoridades
se dediquem em impor penalidades nesse momento. Afinal, tanto o setor público quanto o setor privado trabalham de forma limitada e sofrem com as consequências das medidas da pandemia. Além disso, a própria LGPD em seu artigo 52, ao estabelecer a dosimetria da pena, é transparente quanto a oportunidade da ampla defesa que levarão em conta o caso concreto.

Sendo assim, tendo em vista a votação do PL 1179/2020 prevista para o dia 03 de
Abril, é necessário refletir se a postergação da vigência do PL é o que o Brasil de fato deve escolher, se essa é uma acertada decisão de país com consciência do presente mas que não perde da perspectiva o futuro.

1 Disponível em:
https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en

2 Disponível em: < https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID19.pdf.>

3 Disponível em: < https://www.newamerica.org/cybersecurity-
initiative/digichina/blog/translation-chinese-authorities-emphasize-data-privacy-and-big-data-analysis-coronavirus-response/>

  • Margareth Kang – do escritório CTA – Catão, Pistono, e Tocantins Advogados
Avatar photo

Da Redação

A Momento Editorial nasceu em 2005. É fruto de mais de 20 anos de experiência jornalística nas áreas de Tecnologia da Informação e Comunicação (TIC) e telecomunicações. Foi criada com a missão de produzir e disseminar informação sobre o papel das TICs na sociedade.

Artigos: 11016