*Por Priscila Maria Menezes de Araújo e Natália Ferreira Freitas Bandeira
Reflexões sobre o aplicativo chinês Alipay Health Code, que classifica os usuários de acordo com suspeitas
Desde a declaração de pandemia do coronavírus (COVID-19) pela Organização Mundial da Saúde (OMS), as discussões a respeito do tratamento de informações pessoais de indivíduos de todo mundo têm sido levantadas com afinco.
Na China, primeiro epicentro da COVID-19, a empresa Ant criou o aplicativo Alipay Health Code, que utiliza informações pessoais coletadas dos usuários para enquadrá-los conforme o nível de risco e definir a necessidade de isolá-los, como tentativa de conter o avanço do vírus.
De acordo com o aplicativo, pessoas que recebem o código verde podem se locomover livremente. Para aquelas que recebem o código amarelo, o aplicativo solicita que se isolem em suas residências pelo período de sete dias e, por fim, para quem recebe o código vermelho, a permanência em quarentena de duas semanas é obrigatória.
Tal ferramenta, que auxilia as autoridades chinesas sobremaneira na tentativa de mitigar a disseminação do coronavírus, deve observar os princípios e diretrizes elencados e estabelecidos no regulamento de segurança das informações pessoais1 e nas leis de cibersegurança2 e de criptografia3 da China.
No contexto europeu, em que a Itália figura como epicentro da pandemia da COVID-19, o European Data Protection Board (EDPB) se manifestou a respeito do tratamento de dados pessoais de europeus no contexto atípico e devastador que vive a humanidade.
Na oportunidade, o EDPB ressaltou que o General Data Protection Regulation (GDPR) permite que autoridades sanitárias processem os dados pessoais no contexto de uma epidemia, respeitada, também, a legislação de cada país-membro.
É dizer, na atual sociedade da informação – que Manuel Castells tanto se dedicou a estudar e na qual é evidente a vulnerabilidade dos usuários enquanto titulares dos seus dados –, a criação de softwares que se utilizam do Big Data acende a discussão para os possíveis abusos que podem ser causados na utilização desses aplicativos, não só em casos extremos como o da guerra contra o coronavírus.
Foi no desígnio de salvaguardar as informações pessoais dos indivíduos que emergiu, inclusive, o conceito de privacy by design (PbD), baseado na percepção de que a privacidade não é assegurada somente pelo Compliance com as estruturas regulatórias.
Na realidade, essa garantia deve ser o modus operandi por detrás das organizações. Isso implica a garantia de que a privacidade seja implementada, em nível máximo, durante toda a estruturação e design de determinado projeto, da essência ao seu desfecho, isto é, durante todo o ciclo da ferramenta que processa dados pessoais, conforme explana Ann Cavoukian4.
Também a ideia do chamado privacy by default – atrelado ao privacy by design – preceitua que as configurações de privacidade devem ser feitas da maneira mais restrita possível, por padrão, de modo que informações pessoais além daquelas necessárias para a atividade exercida deve ser liberada pelo usuário, caso queira.
Assim, em um cenário de disseminação global da COVID–19, interessante seria a aplicação dos conceitos do privacy by design e do privacy by default na arquitetura dos dispositivos virtuais, como o Alipay Health Code.
No contexto da pandemia, a ideia de que “todo instrumento de contenção do coronavírus é bem-vindo” pode parecer tentadora, contudo, a validação desse tipo de discurso deve ser cautelosa.
Isso porque os diversos aplicativos utilizados pelo governo e por empresas chinesas somados às demais tecnologias que coletam dados pessoais, como a câmera desenvolvida pela Hanwang Technology que, por meio do reconhecimento facial, identifica quais chineses têm usado máscaras de proteção nas ruas e detecta o nome e a temperatura corporal das pessoas, exercem vigilância constante na população chinesa.
Essa vigilância, que se dá de forma descentralizada, ocorre por meio da atuação do que Bruce Schneier 5 chamou de little brothers, isto é, dispositivos que se alimentam das interações online e off-line dos indivíduos e que geram um volume imenso e valioso de informações pessoais, inclusive aquelas relativas à saúde.
Desse modo, para garantir o respeito aos limites mínimos de proteção e segurança da informação, ao se utilizar aplicativos como o Alipay Health Code, tanto o governo quanto as empresas chinesas precisam observar o regulamento chinês que, em seu Capítulo 3.2, reconhece a sensibilidade de dados relacionados à saúde dos indivíduos.
A observância das normas protetivas, especialmente para aqueles agentes que processam informações extraídas de registros feitos em tratamentos médicos; relatórios de testes de saúde, de cirurgias feitas ou de diagnósticos; histórico médico familiar; registros de doenças infecciosas e demais informações relacionadas à saúde do indivíduo, é fundamental.
Isso porque incidentes como o vazamento de dados ou até mesmo a utilização ilegal e/ou indevida dessas informações colocam em risco a reputação e a saúde mental e física do titular de dados, além de abrir caminho para o tratamento de informações pessoais sob a ótica discriminatória.
Portanto, ainda que em um cenário de pandemia surjam análises que originam discursos favoráveis à flexibilização das normas protetivas de dados pessoais em prol da saúde dos usuários, tais análises devem ser feitas de forma cuidadosa a fim de preservar a privacidade e a integridade das informações pessoais dos usuários, o que inclui, também, a utilização de aplicativos como o Alipay Health Code no combate ao coronavírus.
—————————————————
1 REPÚBLICA POPULAR DA CHINA, 信息安全技术 个人信息安全规范 (2018) Disponível em: https://www.tc260.org.cn/upload/2018-01-24/1516799764389090333.pdf. Acesso em: 20 de março de 2020.
2 REPÚBLICA POPULAR DA CHINA, 中華人民共和國網路安全法 (2017). Disponível em: https://www.6laws.net/6law/law-gb/%E4%B8%AD%E8%8F%AF%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9C%8B%E7%B6%B2%E8%B7%AF%E5%AE%89%E5%85%A8%E6%B3%95.htm. Acesso em 22 de março de 2020.
3REPÚBLICA POPULAR DA CHINA, 中华人民共和国密码法. Disponível em: https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E5%AF%86%E7%A0%81%E6%B3%95/22860972. Acesso em 22 de março de 2020.
4 CAVOUKIAN, Ann. Privacy by Design. The 7 Foundational Principals. Originally Published: August, 2009. Revised: January, 2011. Toronto, Ontario. Canadá. Disponível em: https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf. Acesso em: 19/03/2020.
5 SCHNEIER, Bruce. Data and Goliath. The hidden battles to collect your data and control your world. New York: W.W. Norton & Company, 2015, p. 57.
Fonte: Jota