Resumo: O presente trabalho visa analisar a conformidade às normas previstas na Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) pela Administração Pública enquanto controladora no tratamento de dados pessoais e pelas entidades privadas prestadoras de serviços públicos enquanto operadoras no tratamento dessas informações pessoais dos cidadãos em virtude de contratos administrativos que preveem o compartilhamento de dados pessoais, inclusive dos dados considerados sensíveis nos termos da Lei, em conformidade com a Nova Lei Geral de Licitações e Contratos Administrativos, em vigor desde 1 de abril de 2021. O trabalho analisa o Compliance adotado pela Administração Pública sob a perspectiva digital e a aplicação da lei brasileira de proteção de dados pessoais na prestação de serviços públicos, com foco na análise dos pilares constantes num programa de integridade na esfera digital e das cláusulas dos contratos administrativos firmados entre órgãos públicos e entes da iniciativa privada que tratem das obrigações e direitos das partes sobre a realização do tratamento de dados pessoais de cidadãos, inclusive sensíveis, como as informações relativas à questão sanitária da população, por exemplo no caso do combate à disseminação do Coronavírus no Brasil, classificada como pandemia pela Organização Mundial da Saúde (OMS) em março de 2020.
Palavras-chave: Lei Geral de Proteção de Dados; Nova Lei de Licitações e Contratos Administrativos; Tratamento de dados sensíveis; Conformidade Digital; Serviços públicos.
Sumário: Introdução; 1. Compliance Digital no Setor Público; 1.1. A LGPD no Setor Público; 1.2. Pilares de um programa de privacidade; 1.3. Uso de tecnologias para o monitoramento do Coronavírus no mundo; 2. O Compliance nas contratações públicas; 2.1. Breves apontamentos sobre a Lei Federal nº 14.133/2021; 2.2. O Compliance digital nas contratações públicas envolvendo tecnologia; 2.3. Breves apontamentos sobre o reequilíbrio econômico-financeiro e o Compliance digital; 2.4. O Compliance digital na prestação de serviços na área da saúde como no combate à pandemia do Coronavírus entre os anos de 2020 e 2022; Conclusão; Referências.
Introdução
Nos últimos anos, diante das novas tecnologias que surgem na humanidade, a fim de que facilitar a vida e os negócios entre os homens, o Estado tem sido obrigado a se adequar, cada vez mais, à nova realidade e às novas demandas da população, com o fim de tornar cada vez mais eficientes os serviços públicos oferecidos, acompanhando as inesgotáveis disrupções que aparecem na vida das pessoas.
Podemos dizer que o Poder Público tem se esforçado para estabelecer aquilo que se chama de Governo Digital, num contexto de Cidade Inteligente, definido com um conjunto de ferramentas tecnológicas usadas pela Administração Pública com o intuito de atender às novas demandas dos cidadãos que exigem maior eficiência do Estado na execução das políticas públicas e na prestação dos serviços públicos. Nesse contexto, por exemplo, é possível imaginar a quantidade de dados disponíveis ao Poder Público, passíveis de serem tratados na execução de políticas públicas, na prestação dos serviços públicos, atividades administrativas, atividades de polícia (quando do uso do poder de polícia pela Administração Pública), de fiscalização, sem se falar dos dados pessoais dos cidadãos coletados por bens ou máquinas estatais, “todos sujeitos a processamento e podendo servir de insumo à capacitação de programas de inteligência artificial”.2
Diante dessa realidade, e dentro do contexto de desestatizações promovidas pela Administração Pública desde os anos 90, a empresas privadas e estatais, por exemplo, mediante concessão (por meio da qual o concessionário executa o serviço, em seu próprio nome e por sua própria conta e risco, porém mediante fiscalização pelo Poder Público, inclusive sob o aspecto remuneratório pelo usuário, consubstanciada na tarifa)3; os governos se viram obrigados a contratar serviços de empresas de tecnologia para auxiliar na prestação de serviços públicos, bem como nas demais atividades por eles exercidas, que correspondem à execução de políticas públicas.
As contratações de serviços de tecnologia, ou que envolvam tecnologia, a favor do interesse coletivo e dos cidadãos, entretanto, devem observar as normas anticorrupção e, atualmente, às normas que estabelecem a ética na transformação digital da sociedade, que a cada ano utiliza meios digitais nas suas relações interpessoais e profissionais e, assim, interferem na privacidade e utilizam dados pessoais dos cidadãos. Tais normas, assim, são aquelas que protegem a privacidade e os dados pessoais dos indivíduos e que estão previstas em legislações recentes brasileiras, tais como o Marco Civil da Internet, a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigência desde 18 de setembro de 20204, a Lei do Governo Digital e o Marco Legal da Inteligência Artificial.
O Compliance Digital, nesse cenário, deve ser observado nas contratações públicas de serviços de tecnologia ou que envolvam tecnologia e que tratam dados pessoais dos cidadãos.
O Brasil já apresentara exemplos de necessidade de observância às boas práticas de Compliance Digital, como a questão da proteção de dados pessoais. Exemplos esses negativos ou positivos, como a publicação de edital de licitação, em 2020, pela prefeitura Municipal de Canoas, no Rio Grande do Sul, para contratação de empresa de consultoria especializada em implementação e adequação da LGPD nos órgãos municipais, a fim de adequar a Prefeitura, de modo geral, à lei.5
A Companhia de Tecnologia da Informação e Comunicação do Paraná – Celepar, igualmente em 2020, lançou edital de licitação para contratação de empresa especializada em treinamentos para formação de DPO (Data Protection Officer), ou encarregado, na forma da lei brasileira, tendo em vista a adequação da empresa à LGPD.6
Mais recentemente, a empresa Gas Brasiliano, pertencente à PETROBRAS, responsável pela distribuição de gás natural canalizado na região Noroeste do Estado de São Paulo, com abrangência de até 375 municípios, lançou, em março de 2021, edital de licitação cujo objeto se concentrava na contratação de empresa para prestação de serviços de consultoria para adequação da empresa à legislação de proteção de dados. Referido edital, inclusive, encontra-se disponível no Novo Portal Nacional de Contratações Públicas7, novidade implementada pela Nova Lei nº 14.133/2021.
Existem, porém, exemplos negativos de Compliance Digital, como o caso da contratação de transporte público municipal no município de Paulínia, sob a forma de concessão, no estado de São Paulo, que prometia um serviço inovador, eficiente e adequado às novas demandas da população, no contexto mais digital, mas que restou prejudicada por questões apresentadas no Tribunal de Contas do Estado sobre o aspecto da bilhetagem eletrônica. Tal fato demonstra que, em alguns casos e locais, o Brasil não consegue se adequar, de forma satisfatória e eficaz, às novas normas envolvendo o Compliance Digital.8
A pandemia do Coronavírus, de igual forma, obrigou os Governos, ao redor do mundo, a adotarem medidas preventivas contra a disseminação do vírus. Entre as medidas, foram adotadas políticas envolvendo o monitoramento dos cidadãos e a contratação de serviços sanitários que envolvam tecnologia. Essas medidas, no entanto, devem ser adotadas sob a observância dos princípios e normas relacionados à privacidade e à proteção de dados pessoais, não podendo os contratantes firmarem contratos e parcerias sem seu respeito.
Conforme se verá no presente artigo, as contratações pelo Poder Público de serviços terceirizados de tecnologia ou que envolvam tecnologia e a coleta de dados de usuários devem ser realizadas conforme a legislação brasileira de privacidade e proteção de dados, de forma que se deve observar as diretrizes e boas práticas que os especialistas da área de Compliance Digital sugerem. E em momentos de crises sanitárias, como a que o mundo presenciou no ano de 2020, e presencia até os dias de hoje9, com o surgimento de novas variantes do Coronavírus (Delta e Ômicron), com mais de 263 milhões de pessoas contaminadas e mais de cinco milhões de óbitos10, a disseminação do Coronavírus, os cuidados devem ser ainda maiores, tendo em vista a maior utilização de meios digitais pela população e pela Administração Pública, o que afeta diretamente os efeitos no tratamento dos dados pessoais dos usuários dos serviços públicos oferecidos pelos entes estatais e pelas concessionárias ou prestadoras dos serviços privadas, que coletam seus dados pessoais e sensíveis.
1. Compliance Digital no Setor Público
Importante, antes de entrar na questão central do presente trabalho, é a explicação do que se refere o instituto do Compliance na Administração Pública, analisando quais seus pilares e a quem ele se destina.
Nos dizeres de Irene Nohara, o instituto do Compliance
oferece, portanto, a faceta preventiva da ocorrência de atos contra a Administração Pública, pois ele internaliza parâmetros éticos na organização, por meio de técnicas e mecanismos que irão permear as decisões estratégicas e as ações da empresa. 11
Marcelo Zenkner e Rodrigo Pironti Aguirre de Castro, por sua vez, ao analisarem o conceito e os fundamentos do Compliance no Setor Público, entendem que este é um mundo em que se observa um “necessário reconhecimento de que” suas práticas e fundamentos
conduzirão a uma justiça real e concreta (social, econômica, ambiental, etc.), trazendo a reboque melhores condições de saúde, de educação, de mobilidade urbana e de diversas outras garantias constitucionais sociais. 12
A Lei Federal nº 12.846/2013, conhecida como a Lei Anticorrupção, elenca, por meio do Decreto nº 8.420/2015, alguns parâmetros para que seja instalado num programa de integridade em uma empresa privada ou um ente estatal. Entre esses pilares, podem-se destacar, por exemplo: 1) o comprometimento da alta administração; 2) a instalação de uma instância responsável pelo programa; 3) a contínua análise de riscos; e 4) o monitoramento contínuo.
Irene Nohara detalha cada um desses pilares, lecionando da seguinte forma:
Comprometimento da alta direção da pessoa jurídica, evidenciado pelo apoio visível e inequívoco ao programa;(...)análise periódica de riscos para realização de adaptações necessárias ao programa de integridade; registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;(...) independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento. 13
1.1. A LGPD no Setor Público
Dentro do contexto da implementação de um programa de integridade em órgãos da Administração Pública, o Poder Público deve, igualmente, se esforçar para manter um cultura ética também no ambiente digital, fazendo prevalecer os direitos fundamentais de cidadãos e terceiros na questão do ambiente ético nos meio digital, adotando, por exemplo, as boas práticas previstas no artigo 5014 da Lei Geral de Proteção de Dados Pessoais, com intuito de proteger os dados pessoais desses indivíduos de eventuais incidentes que possam prejudicá-los.
A Administração Pública deve sempre prezar pelo princípio da transparência pública na realização de suas atividades.
Conforme preleciona Irene Patrícia Nohara,
a publicidade é princípio básico da Administração Pública que garante credibilidade das ações públicas por meio da transparência. É pela publicidade que os cidadãos têm conhecimento das ações dos administradores no trato da coisa pública. 15
O artigo 5º, inciso XXXIII16, da Carta Magna brasileira, determina que todos os cidadãos brasileiros têm direito a receber do Poder Público informações de seu interesse particular ou de interesse coletivo, prestadas no prazo previsto na Lei de Acesso à Informação, a Lei Federal nº 12.527, de 2011. Nos dizeres de Weida Zancaner17, essa é a lei que
veio dar concreção ao princípio da publicidade e regular de forma bastante clara sua aplicação a fim de impedir que os chefetes ou tiranetes que pululam na Administração Pública brasileira amesquinhem o princípio da publicidade, emprestando-lhe contornos tão exíguos que o descaracterizem a ponto de impossibilitar sua aplicação.
A Lei Geral de Proteção de Dados Pessoais, igualmente, deve ser observada pelos órgãos públicos, na medida em que deve se analisar os dados de cidadãos e terceiros a serem protegidos, adotando as medidas previstas no artigo 50 da lei, conjugando-as com os dispositivos da LAI.18 Assim, Modesto Carvalhosa e Fernando Kuyven19 ensinam que:
Uma área de atenção será a conjugação do direito de acesso à informação contido na LAI com o direito de acesso do titular de dados previsto na LGPD no artigo 18, inciso II. Para tanto, a comunicação física e virtual das estatais terá que destacar claramente ao interessado se a sua solicitação é feita com base na LAI ou na LGPD.
Aliás, importante destacar a recente aprovação da proteção de dados pessoais como direito fundamental pelo Senado Federal, em outubro de 2021, a ser incluído na Magna Carta de 198820.
Assim, cumpre destacar os dispositivos previstos na LGPD aplicáveis expressamente ao Poder Público.
Fernando Tasso considera três os principais princípios previstos no artigo 6º da Lei para a aplicação no âmbito público: 1) princípio da finalidade; 2) princípio da adequação; e 3) princípio da necessidade.
O princípio da finalidade relaciona-se ao dispositivo da lei que prescreve “que o tratamento e uso compartilhado de dados devem ser os necessários à execução de políticas públicas”, de forma que
a realização do tratamento deve ser direcionada para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. 21
O princípio da adequação, por sua vez, determina que as operações de tratamento devem ser compatíveis com as finalidades primárias informadas pelo controlador aos titulares dos dados pessoais, conforme o contexto da atividade do tratamento. Fernando Tasso lembra que tal princípio guarda forte relação com o princípio anterior, de forma que “diz respeito à justa expectativa que o titular dos dados tem quanto ao tratamento que a eles é dado.”22
O outro princípio apontado pelo autor, por fim, se refere ao princípio da necessidade, segundo o qual os dados utilizados nas atividades de tratamento devem ser os mínimos necessários à execução da política pública decorrente da previsão legal, que é a própria finalidade da coleta.
Ainda na abordagem dos princípios aplicados ao tratamento de dados pela Administração Pública, Stela Chaves Rocha Sales e Camila Akemi Tsuzuki, por fim, ensinam que
Em coerência com o princípio da finalidade e da necessidade, a Administração deve garantir aos titulares a exatidão, clareza, relevância e atualização dos dados (princípio da qualidade dos dados), além do direito do cidadãos de conhecer a integralidade dos dados pessoais que estão em seu poder, inclusive quanto à forma e duração de seu tratamento (princípio do livre acesso), garantindo informações claras, precisas e acessíveis sobre a realização do tratamento e respectivos agentes de tratamento (princípio da transparência) 23
A LGPD prevê expressamente determinados dispositivos de seu texto que são aplicáveis ao tratamento de dados pessoais pela Administração Pública. Alguns deles destinam-se, inclusive, ao tratamento de dados realizado pelas empresas privadas que prestam serviços públicos e cujos dados pessoais de cidadãos que tratam são compartilhados para elas pelo Poder Estatal.
Na realidade de transformação do Governo, num contexto de contratação de Tecnologia da Informação para prestação de serviços públicos, existe a necessidade de se compartilhar dados para as empresas fornecedoras de tecnologias mais avançadas e inteligentes, inclusive dados sensíveis. É o que ocorreu em diversas cidades do mundo, durante a pandemia do Coronavírus, em 2020 e 2021, em que se contrataram empresas de tecnologia e de software com o fim de rastrear os casos de Covid-19 em diversas localidades desses municípios e combater a disseminação desse vírus.
A Lei Geral de Proteção de Dados, no Brasil, prevê os seguintes dispositivos a serem aplicados ao tratamento de dados pelo Poder Público e ao compartilhamento de dados entre entes públicos e empresas da inciativa privada.
O artigo 2324, caput, da Lei estabelece que a Administração Pública pode tratar dados pessoais dos cidadãos com o dever de atender a uma determinada finalidade pública, na busca pelo interesse público, com o objetivo de executar as competências ou cumprir as atribuições dos serviços públicos prestados previstas em lei. Dessa forma, se conclui que o objetivo principal da utilização dos dados pessoais dos cidadãos pelo Poder Público se consubstancia no “bem comum concretizado pelo interesse público -, relacionado de forma direta com o exercício das competências constitucionais e com as atribuições dos serviços públicos.”25
Quanto ao contexto do compartilhamento de dados pessoais no sentido de se alcançar uma finalidade pública, Patricia Moreira lembra que a Lei determina que o ente público mantenha os dados pessoais sob a forma interoperada e estruturada, de forma que o compartilhamento de dados, a comunicação e a integração com outros sistemas sejam facilitados.26
Fernando Tasso esclarece que a manutenção dos dados sob a forma interoperada e estruturada ”faz em prestígio ao princípio constitucional da eficiência”, de forma que as inciativas e investimentos na formulação de bases de dados sob a forma de interoperabilidade têm sido cada vez mais frequentes.27
Quanto aos casos de transferências de dados pessoais pelo ente público a uma entidade da incitativa privada, Fernando Tasso lembra que a regra é sua vedação, desde que observadas as exceções previstas no artigo 26, §1º, da LGPD.
As hipóteses de transferências de dados pelos entes públicos à iniciativa privada, de forma breve, são as seguintes28:
A prevista no §1º, do artigo 26 da lei, em que as transferências são imprescindíveis para a específica e determinada finalidade de execução descentralizada da atividade pública;
Os casos em que os dados já são acessíveis publicamente, nos termos do inciso III do mesmo artigo, desde que, em caso de mudança de finalidade para o tratamento dos mesmos dados, deve existir o respeito a uma nova base legal de tratamento, dentre os previstos no artigo 7º da Lei, tendo em vista que o §3º do artigo 7º determina a observância da finalidade, da boa-fé e do interesse público na disponibilização aos dados publicamente acessíveis;
-
Outra hipótese está prevista no inciso IV do artigo 26, que prevê, “em essência, um requisito de validade que é onipresente quanto em um dos polos da relação jurídica está um ente público”, que é a previsão por lei, de forma que a Administração Pública age conforme o disposto em lei, de forma que a leitura do inciso permite entender que bastaria que o órgão público se resguardasse em documento legal, contrato, convênio ou instrumento congênere para a transferência de dados; e
Por fim, o inciso V prevê a situação em que a transferência de dados pessoais objetiva, de maneira exclusiva, a prevenção de fraudes e irregularidade, ou que venha a proteger e resguardar a segurança e a integridade do titular dos dados, porém com a vedação do tratamento dos dados para finalidades diversas.
Fernando Tasso, mais uma vez, adverte que, nesse contexto, a base legal do consentimento é aquela que tem “o condão de legitimar a comunicação, difusão, interconexão e o tratamento de dados pessoais existentes em bases públicas por entes privados, sendo porém, dispensado nas hipóteses dos incisos I a III do artigo.”29
O inciso II, do mesmo artigo, por sua vez, prevê a publicidade no compartilhamento de dados, sem que tal requisito represente uma hipótese de dispensa de consentimento, mas sim uma “reafirmação de preceito de transparência que deve permear toda atividade de tratamento de dados pessoais”, de forma indistinta.30
A LGPD, portanto, elaborada de forma a se observar os princípios e fundamentos aplicáveis à prestação de serviços públicos, a fim de se atingir o interesse público e adequar as atividades estatais às finalidades públicas previstas em suas leis e regulamentações, prevê algumas regras voltadas a essas atividades em prol dos cidadãos. Entre essas regras, encontram-se as regras de compartilhamento de dados entre esses entes públicos e empresas da iniciativa privada, que devem observar tais dispositivos, de modo que preservados e respeitados os princípios previstos na Lei, os princípios constitucionais, como o da eficiência e o da transparência, e a supremacia do interesse público.
1.2. Pilares de um programa de privacidade
Num cenário em que os órgãos públicos e entes da iniciativa privada devem se adequar às normas de privacidade e proteção de dados, na execução de políticas públicas e na prestação de serviços públicos que se valem das novas tecnologias com o objetivo de se adequarem às novas demandas dos cidadãos, visando uma maior eficiência, especialistas em planos de conformidade às novas leis sugerem um Programa de Privacidade a serem adotados pela alta direção desses órgãos públicos e privados, no contexto do Compliance sob a perspectiva digital.
Marcelo Crespo31 aplica ao Programa de Privacidade implementado nas empresas os sete passos constantes do Federal Sentencing Guidelines for Organizations para um programa de compliance anticorrupção, de forma que, por exemplo:
-
O suporte da alta administração representa que a alta direção da empresa ou órgão público compreende as diretrizes de boas práticas e políticas voltadas para a conformidade nos meios digitais da empresa, como nos casos de permissões ou proibições de acessos, por exemplo;
A realização de avaliação dos riscos digitais, demandando da empresa a exigência da realização de um relatório de impactos, “compreendendo que antes de implantar uma nova tecnologia deve-se estudar os mecanismos de defesa e mitigação aos quais esta deve estar ligada”, conhecendo os limites em prol ou contra a proteção dos dados pessoais tratados;
A elaboração de Códigos de Condutas e Políticas, de forma que elas devem estabelecer, de forma clara e transparente, as permissões e proibições de acesso a aplicativos nas redes sociais, bem como as condições para o uso de equipamentos eletrônicos, objetivando a manutenção da segurança das informações e das reputações, sem que haja a possibilidade de existirem “privilégios injustificados”;
A realização de treinamentos e comunicações constantes, de forma que “é fundamental reafirmar sua (das normas voltadas à ética digital) existência e conteúdo mediante treinamentos periódicos.32
Esses são alguns dos pilares citados por Marcelo Crespo para a implementação de um programa de compliance sob a perspectiva digital, no intuito de se atingir um ambiente profissional que valorize a ética no uso de redes sociais e equipamentos eletrônicos, priorizando a proteção dos dados pessoais dos titulares e demais titulares previstos na legislação brasileira.
Outrossim, Davi Valdetaro Gomes Cavalieri se baseia nos cinco pilares de um programa de integridade sugeridos pela Controladoria-Geral da União (CGU) para sua indicação dos componentes de um programa de integridade na esfera digital no âmbito da Administração Pública, tais como:
O comprometimento da alta direção do órgão público para o fomento a uma cultura ética e cidadã, que respeite a LGPD e demais normas, bem como a política de Governança de Dados adotada pelo órgão, para que efetivamente seja implementado um programa de integridade nessa esfera;
A criação de uma instância responsável pela implementação e manutenção do programa de privacidade, com a designação de um servidor como Compliance Officer na área digital, sendo que este deve apresentar conhecimento e qualidade profissionais técnicos que o adequem ao cargo, além de ter autonomia e proatividade, tendo em vista suas atribuições no cargo;
-
A análise de perfil e gestão dos riscos, de modo a se realizar, lembrando Marcelo Crespo, um relatório de impacto para que sejam identificados os riscos de eventuais violações de segurança da informação e relativas à proteção de dados pessoais, para a implementação de medidas mitigadoras para manter o órgão protegido;
Ademais, a LGPD, em seu artigo 50, estabelece alguns passos para que as empresas e órgãos públicos adotem uma postura verdadeiramente ética no contexto de adoção de um ambiente ético digitalmente.
O artigo 50 estabelece, por exemplo, que um programa de privacidade deve, no mínimo, demonstrar o comprometimento da alta direção da companhia na implementação do programa; seja aplicável a todos os dados pessoais tratados pela empresa; seja adaptado à estrutura e ao setor em que se encontra ao empresa e ao volume de suas operações, sem se esquecer da classificação de sensíveis de alguns dados; e estabeleça políticas a serem seguidas pelo servidores, no caso de órgão público, elaboradas com base nas avalições dos riscos por eventuais falhas e violações e do mapeamento dos dados pessoais tratados.
O parágrafo 1º33 do mesmo artigo determina, entretanto, que na aplicação de um programa de integridade sob a perspectiva digital e das boas práticas pelas empresas e órgãos públicos, o controlador e o operador levarão em consideração, quanto ao tratamento e aos dados pessoais em si, a finalidade, a natureza, o escopo, a probabilidade e a gravidade dos danos para os titulares desses dados.
O Governo Federal, inclusive, de forma a disseminar uma cultura ética e conformidade à LGPD às empresas públicas, elaborou um material para órgãos públicos de todas as esferas (Municipal, Estadual, Federal e do Distrito Federal), apresentando as definições, princípios, fundamentos e as regras da LGPD aplicáveis ao Poder Público, além de sugerir boas práticas voltadas à Administração Pública.
Especificamente para o que interesse à discussão do tema do presente trabalho, o Guia de Boas Práticas em Segurança da Informação elaborado pelo Governo Federal apresenta como bons comportamentos pela Administração Pública e por entidades privadas que mantêm contratos com o Poder Público no tratamento de dados pessoais de cidadãos os seguintes34:
-
A privacidade desde a concepção e por padrão, referente aos conhecidos institutos do “Privacy by Design” e “Privacy by Default”, de forma que as medidas de segurança, técnicas e administrativas para proteção de dados devem ser observadas desde a fase de concepção de uma nova tecnologia adotado pelo Poder Público para a prestação do serviço ou para entrega de produto; ou a implementação de medidas adequadas para a garantia do processamento apenas dos dados pessoais necessários para cumprimento das finalidades específicas definidas pelo órgão que exerce o papel de controlador dos dados pessoais, respectivamente.
Conforme o Guia, tais medidas devem sempre observar suas características, fundamentos e princípios.
O instituto da privacidade desde a concepção deve ser sempre pensado por apresentar medidas preventivas e não reativas nem corretivas, além de ser inserida no projeto do uso da nova tecnologia pelo ente público, observada a segurança e proteção dos dados pessoais durante todo seu ciclo de vida;
A Privacidade por padrão, a seu turno, deve ser obtida por meio da especificação da finalidade do tratamento informada, da limitação da coleta e minimização dos dados, respeitando o princípio da necessidade e a limitação do uso, retenção e divulgação dos mesmos.
1.3. Uso de tecnologias para o monitoramento do Coronavírus no Brasil
No contexto da pandemia do Coronavírus, os governos de todos os países do globo se valeram de novas tecnologias para o combate à disseminação do vírus, de forma a medirem a presença do vírus em seus territórios e os locais de sua ocorrência, no intuito de adotarem as medidas de restrição de circulação e de obterem instrumentos médicos necessários para cada região e estado de seus países.
Uma dessas tecnologias bastante usada pelos países, e um pouco menos pelo Brasil, foi o chamado “contact tracing”, que representa uma tecnologia de monitoramento de pessoas infectadas e de rastreamento de suas interações sociais, de modo a controlar a propagação do vírus nos territórios nacionais.
Alguns exemplos de adoção dessa tecnologia são os casos de Cingapura e Coreia do Sul. Cingapura lançou o aplicativo Trace Together, que, por meio de login individual coleta o número do telefone celular e um ID anonimizado, sem a coleta de dados de geolocalização. O aplicativo apenas coleta sinais de bluetooth de proximidade dos aparelhos, sendo que, quando do diagnóstico de uma pessoa portadora do vírus, o Ministérios da Saúde pode acessar os dados até então criptografados pelos usuários e notificar os mesmos sobre a proximidade que tiveram com o infectado. Tal aplicativo foi alvo de críticas sobre o risco à privacidade dos usuários no país.35
No caso da Coreia do Sul, a seu turno, dois aplicativos foram criados para o monitoramento da propagação do Coronavírus no país: o Corona[100]m, que alerta aos usuários se chegam a um raio de até 100m de uma pessoa antes diagnosticada com o vírus; e o Coronamap, que traça as localidades de quem foi diagnosticado para outros evitarem a região.
No Brasil, uma tecnologia muito utilizada nesses tempos de isolamento social e home office é a prática da Telemedicina, que permite a eficiência do atendimento médico, além de reduzir a possibilidade da própria propagação do Coronavírus. Os pacientes fazem as consultas aos médicos sem a necessidade de se locomoverem para suas clínicas, utilizando a conexão com a Internet, de forma que “os sintomas podem ser acompanhados por meio de gadgets especialmente desenvolvidos para esse fim”.36
Como se pode concluir, muitas das tecnologias adotadas pelos países em âmbito mundial realizam o tratamento de dados pessoais no sentido atribuído pela lei brasileira LGPD, mas também se valem do tratamento de dados sensíveis, sobretudo aqueles relacionados à questão sanitária dos usuários de aplicativos e cidadãos, para o monitoramento da disseminação do vírus.
Dessa forma, portanto, importante e necessário abordar, brevemente, as peculiaridades e regras a serem observadas em relação ao tratamento de dados sensíveis pelos entes públicos e privados, inclusive para determinar as obrigações de cada parte dos contratos administrativos em relação ao tratamento desses dados e suas responsabilidades em caso de eventuais violações no processamento dos mesmos.
Os dados sensíveis, nos termos da LGPD, se referem aos dados relacionados à origem racial ou étnica do titular, a dados referentes à sua saúde ou vida sexual, à sua convicção religiosa, à opinião política, filiação à sindicato ou organização de caráter religioso e a dado genético ou biométrico, conforme disposto no inciso II, do artigo 5º da Lei.
Primeiramente, é preciso colocar que, ao contrário do que ocorre com os dados considerados pessoais na acepção da lei brasileira, o compartilhamento de dados sensíveis sem consentimento (sempre feito de forma específica e destacada, para finalidade específica), em regra, é vedado pela Lei.
Ocorre que, na alínea b, inciso II, do artigo 11 da Lei, o compartilhamento de dados sensíveis sem o consentimento do titular dos dados pode ocorrer nos casos em que tais informações pessoais sejam necessárias à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
Conforme lembra Caio César Carvalho Lima37, os dados sensíveis poderão ser tratados pela administração pública quando estes forem indispensáveis para a execução de políticas públicas. É o fundamento jurídico com que se valem muitos governantes para a utilização de tecnologias contact tracing no país.
Ademais, Carvalho Lima38 lembra que, nesses casos, não serão suficientes as políticas públicas previstas em contratos, convênios ou instrumentos congêneres para a legitimação do tratamento dos dados sensíveis, aplicável tal hipótese somente nos casos de compartilhamento de dados pessoais.
Fernando Tasso39 adverte que, nestes casos de compartilhamento de dados sensíveis, sobressai “a incidência do princípio da necessidade com especial atenção à faceta de pertinência, ou imprescindibilidade, para o cumprimento de sua finalidade”, consubstanciada na execução de políticas públicas baseadas em leis ou regulamentos.
Por fim, importante também destacar, no contexto de compartilhamento de dados sensíveis pelo Poder Público a entes públicos e privados, o apontamento de Jerusa Bohrer40, no sentido de que a ausência de consentimento expresso, destacado e explícito não possibilita aos agentes de tratamento a utilização dos dados pessoais e sensíveis para fins diversos daqueles relacionados à finalidade informada pelos mesmos, não havendo possibilidade de exorbitação de sua finalidade, atendendo este e o princípio da adequação.
