A Lei Geral de Proteção de Dados – LGPD e a decisão do Governo de SP de controlar o isolamento social pelo celular

14.04.2020 – Primeiramente, é importante salientar que a Lei Geral de Proteção de Dados – LGPD, Lei 13.709/2018, não está em vigor ainda. Na verdade, a mesma foi publicada no Diário Oficial da União de 13 de agosto de 2018, mas após idas e vindas, acabou tendo a sua data de vigência fixada para 16 de agosto de 2020.

Fim da novela? Claro que não… em épocas de pandemia, com o governo absolutamente focado em salvar vidas do coronavírus e da fome, em decorrência da estagnação econômica e potencial recessão, todo o restante tornou-se supérfluo. Portanto, sem sequer a existência da Agência Nacional de Proteção de Dados – ANPD, o legislativo aprovou em 03 de abril de 2020, o substitutivo do Projeto de Lei 1.179/2020, do senador Antônio Anastasia (PSD-MG), postergando a vigência da LGPD para janeiro de 2021. Para que essa mudança se concretize na prática, falta ainda o turno de votação e aprovação na Câmara dos Deputados, e, posteriormente, a sanção presidencial.

Logo, continuamos ainda tratando dados pessoais no Brasil, da maneira como é possível, utilizando o Art. 5º, X da Constituição Federal de 1988, o Art. 21 do Código Civil, alguns dispositivos do Código de Defesa do Consumidor – CDC, do Marco Civil da Internet, etc… de maneira superficial, se comparado com o conteúdo que a LGPD confere ao tema.

O fato é que o Governo do Estado de São Paulo implementou em 09 de abril de 2020 um Sistema de Monitoramento Inteligente (SIMI-SP), após uma parceria com as operadoras de telefonia celular Vivo, Claro, Oi e Tim, para identificar se as pessoas estão respeitando o isolamento social, projetando um percentual estatístico diário e um “mapa de calor”, para indicar uma maior concentração de pessoas.

A questão que se impõe é se o Governo do Estado de SP viola a privacidade dos cidadãos. Não obstante a polêmica que a situação gera, vamos aos fatos, considerando os dispositivos da LGPD, que, saliente-se, uma vez mais, ainda não está em vigor.

A prática adotada pelo Governo paulista é conhecida como geolocalização, que nada mais é do que localizar algo ou alguém em algum lugar. Portanto, a pergunta a se fazer é se geolocalização é dado pessoal? Aos mais afoitos defensores da LGPD, a resposta é sim… geolocalização é dado pessoal, pois pode identificar uma pessoa.

Se de fato, a geolocalização identificar uma pessoa, ela é dado pessoal, conforme a definição de dado pessoal na LGPD: dado pessoal é a informação relacionada à pessoa natural identificada ou identificável. Portanto, se a geolocalização identifica alguém, ela é dado pessoal.

Porém, será que a geolocalização, sozinha, identifica alguém? Em regra, não! Se utilizarmos os celulares para fazer a geolocalização, somente agregando a informação do número do telefone celular e por conseguinte, o nome de seu proprietário, seria possível identificar quem é a pessoa geolocalizada. Outra forma de fazê-lo, considerando que a geolocalização monitora o isolamento social dos indivíduos em suas supostas residências, seria adicionar à geolocalização o endereço do indivíduo; fato que somente serviria para identificar aquele indivíduo, se o mesmo fosse o único morador no imóvel. Do contrário, poderia ser quaisquer dos moradores.

Outro aspecto característico deste novo sistema denominado SIMI-SP é a possibilidade de emitir alertas a indivíduos que estivessem em áreas de alto índice de contágio por parte do coronavírus. Estaria o Governo do Estado de SP em parceria com as operadoras de telefonia celular violando a privacidade de dados dos indivíduos recebedores de tais mensagens?

Se a geolocalização é utilizada para identificar o indivíduo em uma área de risco, sendo que uma mensagem lhe é enviada para seu número de telefone celular e o Governo paulista não dispõe da identificação do proprietário da linha, entendo que não há violação de dado pessoal.

E quanto ao envio da mensagem, encontro guarida na proteção da vida ou da incolumidade física do titular ou de terceiro (Art. 7º, VII). Além disso, o Art. 23 é claro ao estabelecer que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público. Finalmente, o Art. 26, complementa esse raciocínio ao estabelecer que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas; isso em relação às operadoras de telefonia celular.

O SIMI-SP tem utilizado o mapeamento para dados estatísticos apenas, não incorrendo em violação de dados pessoais de indivíduos, em descumprimento à LGPD, que, reitere-se, ainda não está em vigor.

Para finalizar, apenas 2 comentários para reflexão:

1. Na Coreia do Sul, onde aparentemente esse sistema foi inicialmente implementado, existe inclusive a possibilidade de, por uso de diversos algoritmos (conjunto das regras e procedimentos lógicos perfeitamente definidos que levam à solução de um problema em um número finito de etapas), identificar se o indivíduo já está ou esteve infectado, ou não, utilizando essas informações para aperfeiçoar a redução do contágio. Isso não está sendo feito no SIMI-SP. Se estivesse, ainda assim, e mesmo lidando com dados sensíveis, vejo a possibilidade de enquadramento na base legal de proteção da vida ou da incolumidade física do titular ou de terceiro (Art. 11, II, e). Essa última definição (terceiro) é importante, pois se o indivíduo não quer se isolar seja por que motivo for, sem uma necessidade legítima, não pode, por outro lado, tornar-se um vetor de contágio, colocando a vida de terceiros em risco.
2. Nesse caso em especial, estamos falando de uma política pública visando a proteção de vidas dos titulares de dados. Porém, é imperioso pensar na quantidade de informação que algoritmos proporcionam a inúmeras empresas sobre você. Cookies, por exemplo, revelam todos os seus hábitos, assim como geolocalização, profiling, etc… Sem dúvida, a LGPD chega em boa hora. Resta saber se a mesma será aplicada na prática, em defesa dos dados pessoais de cada indivíduo.