COVID-19: A proteção de dados pessoais numa abordagem pan-europeia comum de utilização de dados de mobilidade
PUBLICAÇÕES SÉRVULO 16 Abr 2020
Em contexto de pandemia da COVID-19 parece essencial convergir na necessidade de compromisso, partilha, cooperação e solidariedade global e também por isso, um pouco por todo o mundo, ainda que de formas dissemelhantes, temos verificado o recurso a uma “vigilância digital estadual”, nomeadamente através do desenvolvimento de várias aplicações móveis, que visa sobretudo travar a propagação da pandemia e evitar consequências mais nefastas para a comunidade.
Esta vigilância poderá ser considerada abusiva na ausência de uma supervisão cuidadosa e inúmeras questões se têm levantado em torno da articulação entre o combate à propagação da doença e a proteção da privacidade dos cidadãos. A acrescer a isso, uma abordagem fragmentada e descoordenada dos Estados-Membros da União Europeia pode ser prejudicial na eficácia de quaisquer medidas destinadas a travar a pandemia e possibilitará a ocorrência de danos graves no mercado único europeu e nos direitos e liberdades fundamentais das pessoas.
Perante esta conjuntura, a Comissão Europeia, consciente da necessidade de uma atuação conjunta e coordenada de todos os Estados-Membros e das instituições e seus órgãos da União Europeia, emitiu uma recomendação (Recomendação (UE) 2020/518, de 8 de abril de 2020), publicada no dia 14 de abril de 2020, relativa a um conjunto de instrumentos comuns relativos à utilização de tecnologias e dados para combater a crise da COVID-19, em particular aplicações móveis e utilização de dados de mobilidade anonimizados.
O propósito desta recomendação é preservar a integridade do mercado único europeu e resguardar os direitos e liberdades fundamentais, em especial os direitos à proteção de dados pessoais e à privacidade, razão pela qual persiste o entendimento de que deve ser cumprida a legislação atual de proteção de dados pessoais, tanto europeia[1] como nacional[2].
A recomendação da Comissão Europeia pretende incentivar ações concertadas em dois domínios:
i) Uma abordagem pan-europeia com vista à utilização de aplicações móveis que permitam aos cidadãos tomarem medidas eficazes e mais específicas de distanciamento social e que alertem, previnam e rastreiem os contactos, a fim de limitar a propagação do vírus;
ii) Um sistema comum de utilização de dados anonimizados e agregados sobre a mobilidade das populações destinado a prever a evolução da doença,monitorizar a eficácia das medidas tomadas pelos Estados-Membros, tais como o “distanciamento social” e o confinamento, econtribuir para uma estratégia coordenada de saída da crise.
Quanto ao primeiro ponto, reconhece-se que a eficácia do recurso a aplicações móveis naturalmente dependerá de uma série de fatores, tais comoas percentagens de população que utiliza dispositivos móveis, que instala a aplicação e que consente no tratamento dos seus dados pessoais, bem como a confiança do público de que os seus dados serão protegidos com medidas de segurança adequadas.
No entanto, a Comissão adianta que na utilização de aplicações móveis de alerta e prevenção sempre será imprescindível o cumprimento de vários princípios, por exemplo (i) o princípio da prevenção de estigmatização e do respeito pelos direitos fundamentais; (ii) de proporcionalidade, pela preferência de medidas menos intrusivas e ainda assim eficazes; (iii) de utilização de tecnologias apropriadas a estabelecer a segurança de dados, a proximidade dos dispositivos, a encriptação, o armazenamento e eventual acesso de autoridades sanitárias com medidas de cibersegurança eficazes; (iv) de limitação no tempo da utilização das aplicações móveis e da eliminação dos dados assim que a pandemia estiver controlada; e (v) de “transparência” para com as pessoas, pela informação que lhes deve ser dada, a fim de obter a maior confiança possível.
No que diz respeito ao segundo ponto, dá-se conta da importância do papel de algumas empresas, tais como prestadoras de serviços de telecomunicações e grandes plataformas tecnológicas, que, segundo a Comissão Europeia, têm cooperado com os poderes públicos disponibilizando dados de localização anonimizados e agregados, para criação de modelos e compreensão da forma como o vírus se irá propagar e o impacto das medidas de confinamento.
Neste aspeto, salientam-se como boas práticas: (i) a utilização de dados anonimizados e agregados; (ii) o aconselhamento e o controlo por parte das autoridades públicas dos métodos mais adequados para anonimização dos dados; (iii) o uso de salvaguardas para evitar a “desanonimização” e “reidentificação” de pessoas; (iv) a supressão irreversível e imediata dos dados acidentalmente tratados que possam conduzir à identificação de pessoas; (v) a eliminação dos dados após um período de 90 dias, regra geral, ou, em qualquer caso, assim que a pandemia estiver controlada; e (vi) a restrição do tratamento dos dados aos fins indicados na recolha e a exclusão da sua partilha com terceiros intervenientes.
É verdade que esta iniciativa da Comissão Europeia não será pioneira no que respeita à utilização de sistemas de monitorização e “rastreamento” dos cidadãos, pois em diferentes países, China por exemplo, se tem recorrido ao rastreamento das pessoas através da utilização de câmaras de videovigilância inteligentes e de aplicações móveis. Todavia, a Comissão Europeia procura que o processo para o desenvolvimento da referida abordagem comum esteja sempre alinhado com a defesa e respeito pela segurança, pela privacidade e pela proteção de dados.
A Comissão pede aos Estados-Membros que lhe comuniquem, até 31 de maio de 2020, as medidas tomadas em conformidade com a recomendação. A partir de junho de 2020, a Comissão avaliará, com base nas comunicações dos Estados-Membros, os progressos realizados e os efeitos da sua recomendação.
Parece que esta recomendação é apenas o início daquilo que se pretende ser uma atitude concertada entre todos os Estados-Membros da União Europeia para o combate ao surto pandémico da COVID-19. Porém, estamos perante um acontecimento excecional que implica uma análise cuidadosa dos termos em que cada atividade pode ou deve ser realizada, pois o confronto entre os desígnios da proteção de saúde pública e da proteção da privacidade das pessoas é evidente e merecerá atenção. Abrir a porta à utilização de dados pessoais sem as devidas cautelas também poderá comprometer o futuro.
Catarina Mira Lança | cml@servulo.com
Mariana Teles | mpt@servulo.com
[1] Em especial o Regulamento (UE) 2016/679 (RGPD) e a Diretiva n.º 2002/58/CE (Diretiva relativa à privacidade e às comunicações eletrónicas ou E-Privacy Directive).
[2] No caso português, da Lei n.º 58/2019, de 8 de agosto que complementa na ordem jurídica nacional o RGPD e da Lei n.º 41/2004, de 18 de agosto que transpõe a Diretiva relativa à privacidade e às comunicações eletrónicas.