STOPCOVID: A jornada de uma aplicação controversa

STOPCOVID: A jornada de uma aplicação controversaNão passa um dia sem que a questão do "desconfinamento" da população seja abordada, na França como em outros lugares, em conexão com o rastreamento do vírus e dos indivíduos que o transmitem.

Desenvolvimentos recentes mencionam a criação de um arquivo para rastrear pessoas infectadas, cujos detalhes são enviados à CNIL para revisão.

A mídia também noticiou um impasse entre a GAFAM e o governo para implementar o aplicativo mais virtuoso, o "stopCovid".

Enquanto os debates parlamentares sobre esta aplicação estão atualmente suspensos, podemos ter uma visão clara dos problemas e impactos desse monitoramento digital?

É uma questão de soberania nacional, uma questão de controle de dados ou, mais prosaicamente, escolhas técnicas “simples”?

A questão é importante porque diz respeito não apenas à França, mas à maioria dos países europeus e outros estados que tentam controlar a pandemia.

Protocolos e seu impacto no processamento de dados

O projeto PEPP-PT (Privacy Preserving Proximity Tracing) foi originalmente concebido para permitir o desenvolvimento de aplicações na Europa de forma harmonizada, em conformidade com a lei.

O objetivo é informar uma pessoa que ela esteve em contato com uma pessoa infectada, com base na tecnologia Bluetooth do seu smartphone, sem geolocalizá-la.

Embora o PEPP-PT inicialmente parecesse ganhar apoio, centenas de cientistas se distanciaram dele e se posicionaram em carta aberta a favor de um protocolo baseado em uma abordagem descentralizada como o DP-3T (rastreamento de proximidade descentralizado com preservação da privacidade), para que os dados permaneçam armazenados localmente: isso ofereceria melhores garantias em termos de segurança dos dados e quanto aos riscos de apropriação indevida de dados por terceiros ou uso para finalidades diferentes.

Lembremos que a conservação de dados localmente é um princípio de proporcionalidade e de Privacidade desde a Design defendido em outros contextos, como o tratamento de dados biométricos.

A CNIL tem uma posição clara sobre este assunto, que pode ser encontrada em particular na sua comunicação sobre a utilização de dados biométricos por smartphones ou no local de trabalho. 

As ferramentas implementadas pelo Google e pela Apple foram desenvolvidas (em particular) com essa perspectiva de armazenamento local recomendada no protocolo DP-3T, a fim de evitar o uso excessivamente intrusivo de dados dos laptops dos usuários.

O problema é quando a França (e inicialmente a Alemanha, que desde então mudou de ideia) desenvolve um aplicativo baseado no protocolo Robert (para ROBust e rastreamento de proximidade que preserva a privacidade), que não pode funcionar com base nas funcionalidades propostas pela Apple e Google, com requisitos específicos em termos de Bluetooth e centralização de dados (os detalhes são explicados claramente aqui).

Isso não significa, por si só, que o pedido francês viole os princípios de proteção de dados: garantias (particularmente em termos de pseudonimização) foram fornecidas, e a CNIL, embora tenha emitido algumas observações, deu um parecer favorável.

Mas enquanto a França está tomando precauções, quantos outros países mais ou menos democráticos aproveitariam os recursos "à la carte" oferecidos pela Apple e pelo Google para realizar uma vigilância muito mais invasiva de suas populações?

Isso explica – em parte – a relutância dos gigantes da web e o impasse atual na situação.

A Presidência do Conselho Europeu colocou este item na pauta de sua reunião de 5 de maio, durante a qual os ministros das telecomunicações da UE tentarão adotar uma abordagem comum.

O quadro jurídico

Para além destes aspetos técnicos, a gestão dos dados de contacto através deste tipo de aplicações levanta questões comuns em termos de direito: convém desde já precisar que os dados não são anónimos, mas sim pseudonimizados, o que conduz à aplicação do RGPD e dos princípios de proteção de dados das telecomunicações.

Além do caráter voluntário do uso do aplicativo, o governo só pode processar esse tipo de dado sensível se estiver autorizado a fazê-lo por uma base legal específica.

Além disso, a transparência do processamento deve ser garantida, os dados devem ser protegidos e sua exclusão deve ser planejada dentro de prazos rigorosos.

Seja a CNIL, o EDPB (grupo de "CNILs" europeus), a Autoridade Europeia para a Proteção de Dados (EDPS) em sua audiência no Senado em 27 de abril, ou o Conselho da Europa, as autoridades de supervisão ressaltam que nenhum sistema pode evitar completamente vulnerabilidades e riscos de reidentificação, seja um sistema centralizado ou descentralizado.

Eles concordam sobre os cuidados a serem tomados no design e uso de aplicativos, mas também enfatizam, antes de tudo, o caráter não trivial desse tipo de ferramenta, citando o risco de prolongar situações de emergência e de a população se acostumar com uma vigilância latente. 

Na mesma linha, podemos citar alunos que hoje precisam se acostumar com capturas de tela regulares de seus terminais feitas pelo professor quando fazem uma prova remota, e que podem eventualmente achar esse tipo de intrusão normal em outros contextos.

Trata-se, portanto, sobretudo de não se esquivar à questão fundamental da necessidade da medida, do seu impacto e da sua proporcionalidade face às consequências sobre os direitos fundamentais dos indivíduos.

E também:

• Na França:

Além de um número significativo de fichas práticas relacionadas com a gestão de pandemias no contexto da investigação científica, das relações laborais e do rastreio de indivíduos, a CNIL acaba de lançar uma consulta pública sobre os direitos dos menores no ambiente digital. Esta visita estará aberta até 1º de junho de 2020.

• Europa e Internacional:

O Conselho Europeu para a Proteção de Dados (CEPD)) adotou vários documentos com o objetivo de orientar autoridades públicas e empresas no contexto da gestão de dados no contexto da pandemia: concentrou-se, em particular, nas condições de processamento de dados para fins de pesquisa médica, nas transferências internacionais desses dados e no rastreamento e localização por meio de terminais móveis.

Em nível internacional, documentos de todas as autoridades estão disponíveis no site da Assembleia Global de Privacidade.

BEUC (Organização Europeia do Consumidor) comunicou em 21 de abril uma ação conjunta com mais de 40 organizações de direitos e liberdades do consumidor em relação à vigilância generalizada pela indústria de adtech e rastreamento digital.

Bélgica :A autoridade de proteção de dados impôs uma Multa de 50.000 euros por violação do princípio da independência do RPD : a câmara de litígios considerou, assim, que a acumulação desta função com as de diretor dos departamentos de risco, auditoria e conformidade constituía um conflito de interesses.

Holanda: A Autoridade de Supervisão Holandesa aplicou a sua multa mais elevada no final de Abril, no valor de 725 000 €, contra uma empresa que processou impressões digitais de seus funcionários sem justificativa real em termos de segurança.

Ana Cristina Lacoste

Advogada especializada em direito de dados, foi Chefe de Relações Internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Como parte da expansão do trabalho remoto, a autoridade também realizou uma comparação bastante detalhada dos principais sistemas de videoconferência em relação à proteção de dados. Apenas a versão em holandês está disponível online, razão pela qual anexamos a tradução não oficial para o inglês na íntegra (agradecimentos a Christopher Schmidt). Devemos também adicionar a esta lista a solução Tixeo, mencionada pela CNIL em suas recomendações sobre videoconferência e certificada pela ANSSI.