Por Livia Torres*
Como lidar com o desafio de conciliar as finalidades públicas atribuídas ao uso de dados pessoais com as finalidades privadas, geralmente vinculadas a monetização de bases de dados através da perfilização de cidadãos e aprimoramento de algoritmos por big data? Tendo a LGPD em vigor desde agosto, como será aplicada a lei no contexto de contratações públicas que trazem a atuação de agentes privados para a esfera da prestação de serviços públicos e da execução de políticas públicas? Ou ainda, como garantir os direitos dos titulares e os princípios da proteção de dados, como a finalidade e a transparência, em um ambiente público-privado? Por fim, qual o limite da utilização da base legal de execução de políticas públicas?
Este foi o tema do segundo evento sobre proteção de dados conduzido pelo Centro de Ensino e Pesquisa em Inovação (CEPI) e pelo Centro de Política e Economia do Setor Público (CEPESP), ambos da FGV. Neste texto pretendemos relatar os caminhos das discussões feita no evento de dados abertos e proteção de dados pessoais, convidar os leitores a realizar seus próprios questionamentos e assistir ao evento realizado. O primeiro evento foi sobre dados abertos, transparência e economia.

Com mediação da pesquisadora do CEPI e do CEPESP, Livia Torres, o evento contou com a participação da Natália Langenegger, advogada da Rennó Penteado Sampaio Advogados e doutoranda pela Faculdade de Direito da USP, Patrícia Ellen, Secretária de Desenvolvimento Econômico, Ciência e Tecnologia do Estado de São Paulo, Clarissa Marques França, advogada especialista em Direito Médico pela UERJ, Paulo Guimarães, secretário de Mobilidade Urbana de São José dos Campos, e Jamila Venturini, coordenadora regional da organização Derechos Digitales (o vídeo do debate pode ser acessado neste link).
Poder público e o uso compartilhado de dados pessoais com o setor privado
Discutiu-se como, em primeiro lugar, o poder público precisa tratar dados pessoais para prestar políticas e serviços públicos, de forma que, as primeiras legislações sobre proteção de dados voltavam-se para proteger os cidadãos contra a vigilância exercida pelo Estado. Como exemplo, pode-se apontar o caso em que o Tribunal Constitucional Federal Alemão entendeu que a Lei do Censo estatístico de 1983 afrontava a privacidade.
Atualmente, as leis passaram também a voltar-se mais detidamente às empresas. Neste sentido, ao passo que a LGPD possui um Capítulo destinado aos dados tratados pelo poder público, também prevê que estes dados possam ser recebidos por ou compartilhados com o setor privado. Casos de uso compartilhado são, por exemplo, a contratação de empresas de bilhetagem para operar no transporte público, que coletam dados do bilhete único dos usuários e depois os enviam às secretarias de transporte; ou o envio de dados de funcionários celetizados por empresas para o programa E-Social, entre outros. Este uso compartilhado, no entanto, carece de maior regulamentação por parte da Autoridade.
Conflito de interesses?
No sul global, muitas vezes a inovação no setor público depende de parcerias com o setor privado. No entanto, diferente de contratações de outras áreas, o setor de desenvolvimento tecnológico possui um modelo de negócios baseado na exploração de dados para o desenvolvimento de outros serviços. Estas empresas realizam a perfilização dos consumidores e dos cidadãos, vendem estes perfis para outras empresas, que utilizam tais informações para direcionar publicidade específica ou desenvolver técnicas de análise preditiva.
A ideia de economia de gastos no setor público ajuda a intensificar e tornar urgente a digitalização, mesmo quando é difícil comprovar empiricamente a melhora da eficiência em decorrência de uma contratação que visa um serviço digital. Em outras palavras, a ausência de evidências pode colocar a retórica e o discurso da inovação como uma justificativa para a coleta de dados pessoais, legitimando a intrusão do Estado (e das empresas por ele contratadas) em contextos de vulnerabilidade social.
Um caso fatídico é o uso de inteligência artificial da Microsoft, chamada “Microsoft Azure”, pelo governo de Salta, na Argentina, em sistemas preventivos de evasão escolar por gravidez na adolescência. No entanto, há poucas informações e garantias de que estes dados pessoais sensíveis – que podem gerar discriminação de meninas e adolescentes – não serão utilizados para outras finalidades. Atualmente, estuda-se um piloto de aplicação desta tecnologia no Brasil. Neste contexto, emerge também o limite ético do uso de dados e da inteligência artificial para priorização de recursos. Seria legítimo utilizar dados pessoais para orientar escolhas e decisões do poder público?
Pela dificuldade que existe em monitorar estas parcerias, a Autoridade Nacional deveria ser capaz de elucidar quais são os critérios que devem ser levados em conta no momento de firmar acordos que envolvam uso compartilhado de dados, superando o uso de contratos padrão, os quais retiram o poder de barganha do poder público.
A pandemia e dados pessoais de saúde
Os dados pessoais sensíveis de saúde são os dados mais caros no mercado ilegal, por conta de seus possíveis usos mercantis. Ao mesmo tempo, o mau uso destes dados possui um potencial lesivo muito grande aos titulares dos dados – tanto que a LGPD o classificou enquanto sensível e especificou algumas regras para seu tratamento. Estas regras mais estritas refletem também uma maior dificuldade de proteção, já que seu uso é massivo pelo poder público, pela iniciativa privada e por ambas em colaboração. Inclusive, no final de novembro, houve um vazamento de dados do Ministério da Saúde que estavam sendo usados pelo hospital privado Albert Einstein, que tinha acesso às informações por um projeto em colaboração com o Governo Federal.
Além da LGPD, é necessário atentar-se para outras legislações do campo dos dados de saúde para compreender de fato o ordenamento jurídico em torno destes dados. É o caso, por exemplo, da Lei do Prontuário Médico, que regula o processo de digitalização dos prontuários. Isso nos lembra, pois, que é necessária colaboração entre os órgãos reguladores, inclusive da Autoridade de Proteção de Dados, para pensar na otimização da proteção desses dados. Ainda, durante a pandemia, foram autorizados procedimentos de telesaúde pela rede privada. Cabe questionar, no entanto: como ficam as medidas de segurança, se a lei não prevê mecanismos seguros de proteção? Quem deve disponibilizar padrões para estas tecnologias e fluxos de dados – CRM, ANS, ANPD – garantindo que os dados não sejam comercializados? Ou ficaria a cargo das próprias operadoras?
Assim, existe um vácuo deixado pelas regulamentações existentes até o momento, colocando em posição vulnerável os consumidores e cidadãos. O desafio, pois, para além de técnico e de segurança da informação, é político, sendo necessário envolvimento do terceiro setor e empoderamento das pessoas sobre seus direitos digitais.
O evento permitiu levantar diversos desafios que precisamos enfrentar para que relações público privadas que fazem uso compartilhado de dados pessoais sejam responsáveis, respeitem a privacidade, a proteção de dados pessoais e o interesse público.
*Livia Torres é pesquisadora do CEPI e do FGV CEPESP