Alves Duarte Advogados

Tecnologias de ‘contact tracing’ e a proteção dos dados de localização

Quem é, contemporaneamente, o Leviatã de Hobbes?

Destruição do Leviatã, por Paul Gustave Doré. Crédito: wikimedia commons

Os últimos meses causaram muitas mudanças na vida dos brasileiros. Não só novas rotinas e dinâmicas foram incorporadas, mas também novas palavras e expressões foram assimiladas no vocabulário cotidiano, a exemplo de pandemia, quarentena, mapas de calor, achatamento da curva, imunidade de rebanho e índice de isolamento, além de alguns estrangeirismos como lockdown e contact tracing.

No tocante a este último, a despeito de sua proeminência nas rodas de conversa Brasil à fora, ainda há muita confusão quanto a essa tecnologia, seja em que consiste ou como funciona, bem como quanto os seus riscos. Eis o tema desse artigo. Ao longo dele, suscitaremos algumas reflexões que certamente irão ecoar em debates acadêmicos e mesmo em mesas de bar.

Contact Tracing (rastreamento de contatos) por si só, não é uma novidade. Consiste em uma estratégia utilizada para controlar doenças infecciosas, por meio da qual se busca: 1 – identificar os indivíduos doentes; 2 – estabelecer a rede de contatos com a qual esse paciente interagiu; e 3 – identificar essas pessoas, alertando-as e evitando que tenham contato com outros indivíduos, de forma a impedir que a doença se propague.

Ademais, por meio da identificação dos doentes e dos possíveis infectados, torna-se mais fácil realizar testes e passar orientações, bem como monitorá-los e tratá-los.

Verifica-se que a acelerada evolução tecnológica e o uso disseminado dos smartphones potencializaram a efetividade dessa técnica, que há décadas era empregada de forma artesanal e com lastro até mesmo na memória do paciente, enquanto hoje até nossos trajetos diários podem ser armazenados digitalmente com grande precisão.

Nesse contexto, vem sendo desenvolvidos diversos aplicativos (apps) para a realização do contact tracing, inclusive com a recomendação destes ou mesmo imposição de seu uso por parte de muitos países. A Índia é um exemplo, tendo determinado a todos os trabalhadores que façam o download do aplicativo Aarogya Setu (Ponte de saúde, em tradução livre)[i]. O emprego desses apps tem sido tão recorrente no combate à pandemia que ensejou pioneira união das gigantes contemporâneas Google e Apple, cuja conjugação de esforços para o desenvolvimento de tecnologia comum já se tornou icônica.

A grande maioria desses aplicativos faz esse rastreamento dos contatos ocorridos com base em: 1- dados de geolocalização (GPS), portanto, na localização do indivíduo; 2 – bluetooth, logo, na proximidade com outros usuários; e 3 – um mix envolvendo GPS e bluetooth, bem como eventualmente outros dados, a exemplo de sinais de telefonia.

Cumpre mencionar que a Coréia do Sul vem usando até dados de transações com cartão de crédito e imagens de vigilância, além da geolocalização, em seus esforços para conter a pandemia[ii]. Na Rússia[iii], também são coletados dados de cartão de crédito e utilizado o sistema de 170.000 câmeras, incluindo a tecnologia de reconhecimento facial, para identificação das pessoas que estiveram em contato com contaminados e que devem ficar em quarentena. Em Israel[iv], o serviço de segurança Shin Bet havia passado a empregar o poderoso programa de vigilância até então utilizado para o combate ao terrorismo para monitorar pacientes com Coronavírus, ou possíveis portadores, e refazer seus movimentos[v].

Para além dessas hipóteses mais radicais, fato é que mais de 25 países estão fazendo uso de aplicativos de contact tracing[vi], sendo muitas as críticas quanto à violação de privacidade dos cidadãos, mesmo quando a tecnologia é baseada apenas no GPS ou Bluetooth[vii].

Em breves linhas, tratando-se de GPS, a partir do momento em que um usuário registra estar infectado pelo Coronavírus, realiza-se um cotejo entre o histórico de localização do contaminado nos últimos 14 dias com o banco de dados que abrange os históricos de todos os outros usuários do aplicativo, emitindo-se alertas para todos aqueles em que haja coincidência de local e horário com o doente, noticiando o possível contato com a pessoa doente e a necessidade de iniciar quarentena.

De plano, assente-se como premissa de nossa análise que os dados são o petróleo dos tempos atuais, configurando ativo extremamente valioso. Nesse diapasão, cumpre questionar a suposta gratuidade de alguns aplicativos de celular. Qual seria o interesse de um desenvolvedor em criar aplicativos se não auferisse qualquer valor com eles? Como bem aponta Bruce Schneier, em regra, quando o usuário não paga pelos aplicativos, é ele o produto. Com efeito, terceiros – vulgo parceiros comerciais pagarão pelos dados de usuários coletados pelo app. Todo esse processo ocorre sem que percebamos ou nos atentemos[viii].

Não é à toa que certos aplicativos, ao serem instalados, pedem inúmeras permissões, muitas das quais não têm qualquer pertinência para sua finalidade, a exemplo da permissão de acesso ao GPS para um aplicativo de edição de fotos.

Assim, a primeira reflexão crítica aqui proposta decorre da coleta e tratamento de dados de geolocalização (GPS). Com efeito, a cada instante, os movimentos de centenas de milhões de pessoas estão sendo identificados pelo sistema de geolocalização embutido em seus telefones celulares e esses dados armazenados na memória, sendo que inúmeros aplicativos coletam silenciosamente esses dados e, sim, como se não bastasse, os vendem a terceiros. A argumentação das empresas que desenvolvem esses aplicativos é de que os usuários consentiram em ser rastreados (pense duas vezes antes de aceitar), bem como de que os dados são anonimizados e seguros.

Times Privacy Project[ix] se debruçou sobre um arquivo contendo a compilação de dados do gênero de mais de 12 milhões de americanos, abarcando seus deslocamentos por metrópoles como Washington, Nova York, San Francisco e Los Angeles, durante um período de vários meses em 2016 e 2017, e refutou essas alegações de anonimização, segurança e consentimento em contundente matéria[x].

De fato, os dados de localização podem até não conter qualquer identificação do usuário. No entanto, não é necessário muito esforço mental para concebermos o quão fácil é a reversão dessa suposta anonimização, em especial quando não temos apenas um instantâneo (uma foto) abrangendo localizações em dado momento, mas sim o conjunto de movimentações em um intervalo de tempo.

Observar um ponto, supostamente anônimo, movendo-se pelo mapa ao longo de uma semana muitas vezes revela não só onde essa pessoa mora, trabalha e costuma fazer suas refeições, mas também evidências de traições conjugais, dependência de drogas e questões médicas. Meia dúzia de diligências já torna fácil saber a identidade desse ponto. Caso passemos a considerar o cruzamento com outros bancos de dados, governamentais e privados, é possível identificar alguém em minutos. E a partir dessa identificação, por certo, saber mais sobre ela, sua rotina e relacionamentos, do que muitos de seus familiares.

Essa conclusão é corroborada também por Paul Ohm[xi], professor de direito e pesquisador de privacidade do Centro de Direito da Universidade de Georgetown, que salienta ser impossível uma efetiva anonimização de dados precisos de localização, quando coletados ao longo de certo tempo.

Times Privacy Project[xii]ressaltou, ainda na publicação em tela[xiii], que esses dados podem mudar de mãos quase em tempo real, tão rápido que sua localização pode ser transferida do seu smartphone para os servidores do aplicativo e exportada para terceiros em tempo suficiente para que você visualize um anúncio para um carro novo enquanto percorre uma concessionária.

Além disso, os dados de localização são coletados e compartilhados com um código de publicidade para celular, um identificador, também supostamente anônimo, com cerca de 30 dígitos, que permite que anunciantes e outras empresas vinculem a atividade entre aplicativos, e que combina dados de localização com outras informações, como seu nome, endereço residencial, e-mail, número de telefone ou mesmo um identificador vinculado à sua rede Wi-Fi. Por fim, denuncia que esses dados podem ser revendidos, copiados, pirateados e utilizados de inúmeras formas abusivas, sem que o usuário possa recuperá-los.

Quanto à alegação das empresas de que há consentimento para o rastreamento, a experiência pessoal do leitor já deve ser suficiente para rechaçar essa tese. Se nas tais telas de permissão em que consentimos fossemos adequadamente informados quanto à forma como nossos dados de localização são coletados e tratados, sem mencionar as hipóteses de serem repassados ou vendidos, por certo não concordaríamos em compartilhá-los.

Exemplo disso no contexto pandêmico brasileiro, inclusive, são alguns dos chamados mapas de calor que vêm sendo feitos aqui, até com um suposto índice de isolamento. Há notícias apontando que empresa privada vem monitorando 30 milhões de celulares[xiv], sob o argumento de que os usuários voluntariamente instalaram aplicativos parceiros da empresa e podem ou não permitir a coleta dos dados, isto é, teriam consentido[xv].

A falta de transparência, in casu, é tão grande que sequer são revelados quais são os apps parceiros e que repassam as informações dos usuários. Só a Cidade de Recife, por exemplo, estaria rastreando pelo menos 700 mil celulares[xvi]. A situação é ainda mais grave neste tipo de monitoramento do que no tocante aos aplicativos de contact tracing, uma vez que nestes, ao menos, consentimos voluntariamente em fornecer nossos dados de localização, sabendo que serão tratados para a finalidade de conter a pandemia (pelo menos inicialmente).

Reitere-se advertência que já fizemos em artigo anterior[xvii]. Paradoxalmente, a jurisprudência brasileira tem rechaçado quebras coletivas de sigilo de dados com base em localização. E ressalte-se, quebras determinadas judicialmente, enquanto esses monitoramentos de GPS de celulares são feitos autonomamente por empresas privadas, sob o argumento de suposto consentimento dado para finalidades diversas. E mais, as quebras judicialmente determinadas, abrangiam um número limitado e infinitamente menor de pessoas, bem como um intervalo insignificante de tempo, quando comparado aos milhões hoje permanentemente monitorados. Ademais, as referidas quebras decorrentes de decisões judiciais ocorrem em processos penais e com o intuito de elucidar crimes graves, a exemplo de homicídios e organizações criminosas, e não apurar a colaboração ou não da população com recomendações estatais feitas no contexto pandêmico (a exemplo do índice de isolamento social).

Retornando aos aplicativos de contact tracing, verifica-se que o rastreamento dos contatos ocorridos com base em dados de geolocalização (GPS) se mostra extremamente perigoso para a privacidade das pessoas, conforme argumentos acima expostos. Nesse sentido, na Europa, cuja legislação é mais protetiva, os aplicativos devem ser de instalação e uso voluntários e baseados na proximidade (bluetooth) e não na localização (GPS).

Aliás, no Catar, uma falha de segurança em um desses aplicativos expôs dados sensíveis de mais de um milhão de pessoas[xviii], enquanto nos Estados Unidos, na Dakota do Norte, descobriu-se que um aplicativo do gênero estava repassando dados para a Google e para o aplicativo Foursquare[xix], o que revela que a preocupação não é sem fundamento ou desarrazoada.

Outra não foi a razão pela qual a pioneira parceria da Google e Apple no desenvolvimento de uma tecnologia de contact tracing baniu o uso do GPS nesse rastreamento[xx], recorrendo apenas ao bluetooth. A nova tecnologia será incorporada aos sistemas operacionais iOS e Android, que representam a grande maioria dos smartphones disponíveis no mercado, e não se trata de um aplicativo, mas sim um API (como um chassi de carro, em cima do qual podem ser customizados modelos diferentes de veículos, a exemplo dos aplicativos), a partir do qual as autoridades de saúde governamentais podem criar seus aplicativos.

O consórcio envolvendo Google e Apple comprometeu-se a não monetizar de qualquer forma os dados coletados e demonstrou outras preocupações com a preservação da privacidade dos cidadãos, exigindo que todos os governos que desenvolverem aplicativos baseados na plataforma deverão obter o consentimento do usuário, tanto antes de usar a API de notificação de exposição quanto para o compartilhamento dos resultados positivos dos testes com as autoridades de saúde pública. Além disso, a coleta de dados deve ser minimizada e usada apenas para o controle da pandemia, sendo a sua utilização para publicidade ou policiamento proibida, assim como a coleta de outros dados.

Nesse diapasão, os usuários que instalarem aplicativos baseados nessa tecnologia e consentirem com seu uso passarão a ter seu smartphone trocando, por meio do Bluetooth, chaves de identificação anônimas com os smartphones de outros usuários que estejam próximos[xxi], sendo armazenadas nas memórias dos aparelhos por 14 dias. Com o intuito de garantir a privacidade, essas chaves permutadas sequer são fixas, sendo aleatoriamente trocadas a cada 10/20 minutos.

Caso o dono de algum desses celulares adoeça, ele deverá inserir essa informação no aplicativo, que analisará as chaves armazenadas na memória e enviará mensagens para os celulares correspondentes[xxii], alertando para a ocorrência de contato com pessoa infectada (apontando, ainda, o dia em que esse contato ocorreu e quanto tempo aproximadamente durou, sem envio de nome, número de telefone ou qualquer outro elemento que possa identificar o doente). Assim, o usuário deverá iniciar quarentena por 14 dias, certificando-se de ter se infectado ou não e evitando a propagação do vírus.

No entanto, para além desse debate, ainda há uma série de questionamentos quanto à eficácia desses apps[xxiii]. Primeiro, é preciso que parcela expressiva da população faça o download do aplicativo (e mesmo em países que estão tornando isso obrigatório, o percentual não é muito expressivo). Segundo, é necessário, ainda, que o app seja instalado e configurado. Como se não bastasse, é fundamental que o bluetooth permaneça ligado (ou o GPS, dependendo do tipo de aplicativo). E, por fim, é preciso que as pessoas que testem positivo para o Coronavírus insiram essa informação no aplicativo, dando início ao disparo das mensagens para outros usuários que estiveram em contato.

Toda essa dinâmica já revelaria a complexidade que envolve a eficácia dos apps como forma de controle da doença. Mas ainda há outras dificuldades a serem gizadas. Ora, mesmo nos Estados Unidos, o uso de smartphones é comum e disseminado na população, mas está longe de ser uma unanimidade. Conforme pesquisa do Pew Research Center[xxiv], o percentual de possuidores diminui substancialmente quando analisamos a parcela mais idosa da população (apenas 53% entre aqueles que tem mais de 65 anos possuem smartphone), justamente a mais vulnerável, além de moradores de áreas rurais (apenas 71% possuem) e pessoas com baixo nível de renda (71% entre os que ganham menos de 30 mil dólares por ano tem um smartphone). Evidentemente, no Brasil a situação é muito mais dramática dada a diferença nos indicadores econômicos, comprometendo sobremaneira o uso dessa estratégia[xxv].

Além disso, a testagem em massa é essencial para o êxito do mecanismo, estando o Brasil ainda muito aquém dos demais países nesse ponto[xxvi].

No caso dos aplicativos lastreados no GPS, outras dificuldades podem ser apontadas. Considerando o georreferenciamento, pessoas que nunca estiveram em contato com infectados, mas que morem ou trabalhem no mesmo prédio (ainda que um more no vigésimo andar e outro no 2º), receberão alertas equivocados. Uma laje ou simples parede pode ser suficiente para impedir a troca de chaves de identificação anônimas entre o bluetooth de aparelhos e, certamente, impede o contágio entre uma pessoa contaminada e outra sã. No entanto, o GPS não faz esse tipo de distinção, o que poderá dar azo a múltiplas notificações indevidas[xxvii], esvaziando a confiabilidade do mecanismo.

Assim, poderíamos apontar basicamente quatro reações para a eficácia limitada desses aplicativos entre seus estudiosos. A primeira consiste em considerar que não vale a pena, uma vez que os riscos são significativos e o benefício duvidável, além de que os inúmeros recursos dispendidos com o seu desenvolvimento seriam mais bem gastos de outra forma, a exemplo do investimento em hospitais e pesquisas médicas.

Um segundo grupo, dentro do qual nos encontramos, tem uma visão cética a respeito, mas considera que possa se tornar efetiva com algum aprimoramento. Nesse sentido, devemos continuar ponderando a efetividade alcançada com o sacrifício exigido, reforçando os controles, a anonimização, a minimização de dados tratados, a temporariedade do armazenamento, o consentimento e a transparência. Uma terceira reação é considerar, essencialmente, que vale a pena tentar qualquer coisa para controlar a pandemia. E por fim, a quarta categoria, foca na efetividade a qualquer custo, ressignificando valores como o de privacidade, e defendendo que os aplicativos devem ser impositivos, com a coleta do máximo de dados possíveis para ampliar a eficiência.

Nosso objetivo nesse artigo subsumia-se a proporcionar algumas ponderações ao leitor, não ousando apresentar respostas seja quanto à melhor forma de controlar a pandemia ou em relação ao adequado balanceamento entre os diversos direitos e interesses em jogo, como no conflito entre desenvolvimento tecnológico x proteção da privacidade e dos dados pessoais.

Certo, contudo, é que temos assistido à ascensão de uma sociedade de vigilância que poderá culminar em uma distopia. E, em outro giro, que devemos aprofundar o debate acerca das novas tecnologias e os limites para seu emprego, reiterando sempre que estas devem ter como fim a concretização dos valores constitucionais e, portanto, a maximização do bem-estar humano e de sua dignidade, e não serem usadas como meios para violar os valores consagrados pela Constituição e atentar contra seus fundamentos e objetivos.

Não se trata aqui de rechaçar por completo o uso do GPS por aplicativos, mas sim de defender limites claros para a coleta desses dados e tratamento, ante o risco que apresentam para direitos, garantias e valores constitucionalmente assegurados ao cidadão, como a privacidade e segurança. De fato, aplicativos meteorológicos (como accurweather), de transporte (como uber) ou de atividades físicas (como runkeeper), por exemplo, já incorporados a nossa vida, assentam-se no uso do GPS. A crítica reside na coleta de dados que não são essenciais para a finalidade do aplicativo e, em especial, no repasse ou mesmo venda para outras empresas.

Gize-se aqui, corroborando nossa argumentação, o conceito de consentimento e seus limites, conforme preconizam os artigos 5º, XII[xxviii]; 7º, §5º[xxix]; e 8º, §4º[xxx], todos da LGPD, bem como os Princípios da Finalidade, Adequação, Necessidade e Transparência (artigo 6º, incisos I, II, III e VI da LGPD[xxxi]), além da imposição de eliminação dos dados após o término de seu tratamento, nos termos do artigo 16[xxxii], também da LGPD. Lamentavelmente, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) ainda não se encontra integralmente em vigor, ressaltando-se a postergação imposta pela Medida Provisória nº 959/2020.

Cumpre ressaltar também que nas Democracias ocidentais há uma grande preocupação com a contenção do poder estatal, mas vem se ignorando o poderio informacional acumulado por empresas privadas, muitas vezes em detrimento do próprio Estado e da sociedade. Assim, inúmeras medidas implementadas por Governos e que envolvem o monitoramento dos cidadãos e coleta de dados são imediatamente questionadas e muitas vezes rechaçadas.

Exemplo recente disso é a Medida Provisória nº 954/2020, que previa o compartilhamento de nomes, números de telefone e endereço dos consumidores para fins estatísticos durante a pandemia da COVID-19. No julgamento de ADIs movidas pela Ordem dos Advogados do Brasil (OAB) e por partidos políticos, a ministra Rosa Weber, do STF, suspendeu liminarmente a eficácia da MP, em defesa do direito à intimidade, sendo a liminar confirmada pelo Colegiado da Suprema Corte[xxxiii]. Dessa forma, as empresas de telefonia, fixa e móvel, não devem mais enviar dados pessoais dos clientes ao Instituto Brasileiro de Geografia e Estatísticas (IBGE), sob o argumento de que não havia mecanismo técnico ou administrativo para proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, tornando a medida desproporcional e desarrazoada.

Aplaudimos, por certo, a preocupação com a privacidade e a proteção dos dados. Como salientou de forma percuciente o Ministro Luiz Fux: “É de uma vagueza ímpar que pode servir a absolutamente tudo. Não se pode subestimar os riscos do compartilhamento dessas informações”[xxxiv]. Todavia, o que estamos ora enfatizando é a imperiosa necessidade de que a coleta e tratamento de dados por empresas privadas também seja objeto do mesmo cuidado, sob pena de deixarmos outro flanco do cidadão, tão ou mais vulnerável, desguarnecido.

Nos Estados Unidos, o cenário não é diferente. No caso Carpenter vs. Estados Unidos[xxxv], decidido por apertada maioria em 2018, e que impediu o governo de obter dados de localização sem uma determinação judicial, John Roberts, presidente da Suprema Corte, assentou que “Quando o governo rastreia a localização de um telefone celular, ele atinge uma vigilância quase perfeita, como se tivesse conectado um monitor de tornozelo ao usuário do telefone”, bem como que “Recusamos conceder ao Estado acesso irrestrito ao banco de dados de informações de localização de uma operadora de telefonia móvel” (traduções livres)[xxxvi].

Contudo, mais recentemente, reportagem do The Wall Street Journal[xxxvii] apontou que o governo Trump “comprou acesso a um banco de dados comercial que mapeia os movimentos de milhões de celulares nos Estados Unidos e o usa para imigração e aplicação de fronteiras”.

Assim, ironicamente, os dados usados agora ​​pelo Governo Americano não provêm diretamente das empresas de telefonia, mas de uma empresa de dados de localização. Uma das muitas que por meio de seus aplicativos, sem que sejam impostos limites e controle, coletam silenciosa e incansavelmente os movimentos precisos de todos os americanos que possuem smartphones, sendo esses dados vendidos a terceiros, incluindo, aparentemente, o próprio Governo. O que nos causa espanto não é a exigência da Corte Constitucional de uma determinação judicial para que tais dados sejam obtidos, mas o fato de empresas privadas hoje deterem mais poder do que o próprio Estado.

De fato, regimes autoritários podem implementar grandes esquemas de monitoramento e vigilância com base em dados, o que inclusive pode estar sendo facilitado pela pandemia. Essa, certamente, deve ser uma preocupação constante nas Democracias Constitucionais contemporâneas.

No entanto, em diversos países democráticos, milhões de cidadãos estão sendo monitorados 24 horas por dia por entidades privadas, inclusive quanto a sua localização em tempo real, sem os limites e controles que os entes estatais enfrentam, sob o argumento de que consentiram ao instalarem algum aplicativo. Nossa última reflexão consiste em indagar se crianças, adultos e idosos não têm carregado verdadeiros espiões em seus bolsos, sem se dar conta, e se estamos agindo bem em desconfiar dos Estados ao mesmo tempo que confiamos quase que cegamente em empresas que buscam lucro. Quem é, contemporaneamente, o Leviatã de Hobbes[xxxviii]?!

——————————————-

[i] Disponível em: https://www.reuters.com/article/health-coronavirus-india-app/india-makes-government-tracing-app-mandatory-for-all-workers-idUSL1N2CK01S, último acesso em 11/06/2020.

[ii] Disponível em: https://www.newyorker.com/news/news-desk/seouls-radical-experiment-in-digital-contact-tracing, último acesso em 11/06/2020.

[iii] Disponível em: https://www.themoscowtimes.com/2020/03/25/coronavirus-outbreak-is-major-test-for-russias-facial-recognition-network-a69736, último acesso em 11/06/2020.

[iv] Disponível em: https://edition.cnn.com/2020/03/29/europe/russia-coronavirus-authoritarian-tech-intl/index.html, último acesso em 11/06/2020.

[v] Disponível em: https://www.nytimes.com/2020/03/16/world/middleeast/israel-coronavirus-cellphone-tracking.html, último acesso em 11/06/2020.

[vi] Disponível em: https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/, último acesso em 11/06/2020.

[vii] Disponível em: https://www.thestatesman.com/world/research-reveals-most-covid-19-tracing-apps-violate-privacy-protection-1502897960.html, último acesso em 11/06/2020.

[viii] SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. Nova Iorque: W. W. Norton & Company, 2016.

[ix] Disponível em: https://www.nytimes.com/series/new-york-times-privacy-project, último acesso em 11/06/2020.

[x] Disponível em: https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html, último acesso em 11/06/2020.

[xi] OHM, Paul. Broken promises of privacy: responding to the surprising failure of anonymization. UCLA Law Review 57 (2010). p. 1701/1777.

[xii] Disponível em: https://www.nytimes.com/series/new-york-times-privacy-project, último acesso em 11/06/2020.

[xiii] Disponível em: https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html, último acesso em 11/06/2020.

[xiv] Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/05/18/lockdown-brasil-registra-alta-no-indice-de-isolamento-social-pela-1-vez.htm, último acesso em 11/06/2020.

[xv] Disponível em: https://mapabrasileirodacovid.inloco.com.br/, último acesso em 11/06/2020.

[xvi] Disponível em: https://g1.globo.com/pe/pernambuco/noticia/2020/03/24/recife-rastreia-700-mil-celulares-para-monitorar-isolamento-social-e-direcionar-acoes-contra-coronavirus.ghtml, último acesso em 11/06/2020.

[xvii] Disponível em: https://www.jota.info/opiniao-e-analise/colunas/juiz-hermes/ferramentas-tecnologicas-e-controle-da-pandemia-14062020, último acesso em 14/06/2020.

[xviii] Disponível em: https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/, último acesso em 11/06/2020.

[xix] Disponível em: https://www.newsbreak.com/news/coronavirus/0P7Uq7Na/north-dakotas-covid-19-app-has-been-sending-data-to-foursquare-and-google, último acesso em 11/06/2020.

[xx] Disponível em: https://www.technologyreview.com/2020/05/04/1001060/google-and-apple-lay-out-rules-for-contact-tracing-apps/, último acesso em 11/06/2020.

[xxi] Disponível em: https://www.wired.com/story/apple-google-bluetooth-contact-tracing-covid-19/, último acesso em 11/06/2020.

[xxii] Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/05/12/contact-tracing-como-apple-e-google-querem-usar-bluetooth-contra-covid-19.htm, último acesso em 11/06/2020.

[xxiii] Disponível em: https://www.novida.com.br/blog/contact-tracing/, último acesso em 11/06/2020.

[xxiv] Disponível em: https://www.pewresearch.org/internet/fact-sheet/mobile/, último acesso em 11/06/2020.

[xxv] Disponível em: https://cetic.br/pesquisa/domicilios/indicadores/, último acesso em 11/06/2020.

[xxvi] Disponível em: https://oglobo.globo.com/brasil/sem-testes-em-massa-brasil-tem-obstaculos-para-rastrear-isolar-covid-19-24367241, último acesso em 11/06/2020.

[xxvii] Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/05/12/contact-tracing-como-apple-e-google-querem-usar-bluetooth-contra-covid-19.htm, último acesso em 11/06/2020.

[xxviii] Art. 5º Para os fins desta Lei, considera-se:

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

[xxix] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: …

  • 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

[xxx] Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. …

  • 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

[xxxi] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; …

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

[xxxii] Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

[xxxiii] Disponível em: https://www.jota.info/stf/do-supremo/stf-suspende-mp-que-obrigava-telefonicas-a-enviarem-dados-de-clientes-ao-ibge-07052020, último acesso em 11/06/2020.

[xxxiv] Disponível em: https://www.migalhas.com.br/quentes/326336/stf-suspensa-mp-que-preve-o-compartilhamento-de-dados-com-o-ibge, último acesso em 11/06/2020.

[xxxv] Disponível em: https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf, último acesso em 11/06/2020.

[xxxvi] Disponível em: https://www.nytimes.com/2018/06/22/us/politics/supreme-court-warrants-cell-phone-privacy.html, último acesso em 11/06/2020.

[xxxvii] Disponível em: https://www.wsj.com/articles/federal-agencies-use-cellphone-location-data-for-immigration-enforcement-11581078600?mod=hp_lead_pos5, último acesso em 11/06/2020.

[xxxviii] HOBBES, Thomas. Leviatã. São Paulo: Abril Cultural (Os Pensadores), 1979.

ANDERSON DE PAIVA GABRIEL – Doutorando e Mestre em Direito Processual pela Universidade do Estado do Rio de Janeiro (UERJ). Pesquisador Visitante (Visiting Scholar) na Berkeley Law School (University of California-Berkeley). Juiz de Direito do TJRJ. Anteriormente, atuou como Delegado de Polícia na PCERJ e PCSC. Possui graduação em Ciências Jurídicas e Sociais pela UFRJ, bem como especialização em Direito Público e Privado pelo ISMP, em Direito Constitucional pela UNESA e em Gestão em Segurança Pública pela UNISUL. Professor de Direito Processual Penal da Escola da Magistratura do Estado do Rio de Janeiro (EMERJ) e da Escola de Administração Judiciária (ESAJ). Membro do Comitê Gestor de Segurança da Informação (CGSI) do TJRJ, do Conselho Editorial da Revista da EMERJ, do Instituto Brasileiro de Direito Processual (IBDP), do Fórum Nacional de Juízes Criminais (FONAJUC) e do Conselho da HSSA (Humanities e Social Sciences Association) da University of California-Berkeley
IVANA DAVID – Desembargadora do Tribunal de Justiça do Estado de São Paulo (TJSP), integra a 4ª Câmara de Direito Criminal, leciona Direito Digital no Insper e compõe a equipe do Programa Nacional de Combate à Corrupção e Lavagem de Dinheiro do Ministério da Justiça. Ingressou na magistratura em 1990 e foi a primeira mulher a ocupar o cargo de juíza corregedora da Polícia Judiciária e do Departamento de Inquéritos Policiais de São Paulo.

Publicado no JOTA.INFO