Um aniversário tenso

Legal Watch nº 24 – Maio de 2020

Um aniversário tensoO GDPR está comemorando seu segundo aniversário em um contexto particularmente turbulento para os direitos fundamentais.

Quão resiliente será o sistema europeu de proteção de dados diante dos atuais desafios de saúde?

Já posto à prova na luta contra o terrorismo, o fundamento dos direitos que protegem os indivíduos na Europa está adaptado aos desenvolvimentos que vivemos hoje?

• Leis de emergência e “solucionismo” tecnológico

Leis de emergência e desenvolvimentos tecnológicos que permitam a rastreamento de indivíduos estão se multiplicando na Europa e no resto do mundo.

Olhando mais de perto, nem todas essas iniciativas são iguais.

Dentro da própria União Europeia, as leis de emergência francesa e húngara, por exemplo, são muito diferentes em termos de restrições e escopo de aplicação.

Na França, o governo tem enfrentado acalorados debates parlamentares, particularmente sobre as questões de rastreamento de pessoas infectadas e a quarentena preventiva de doentes. Algumas disposições foram até censuradas pelo Conselho Constitucional.

A Hungria vai além ao restringir de forma geral o papel do seu parlamento, bem como, mais especificamente, as proteções fornecidas pelo GDPR relativas à criação de perfis, ao direito dos indivíduos de acessar seus dados e ao direito de ser esquecido.

Também há diferenças significativas ao comparar o aplicativo alemão de rastreamento "covid", que é baseado em um sistema descentralizado com coleta mínima de dados, e o aplicativo do Reino Unido, cujos dados (identificáveis) são armazenados pelo governo por vinte anos sem nenhuma avaliação de impacto prévia.

A Agência dos Direitos Fundamentais da União Europeia (FRA) publicou dois relatórios avaliando o impacto das medidas tomadas pelos estados europeus sobre os direitos fundamentais.

Ela alerta contra o desenvolvimento de medidas intrusivas e ovício a este novo estado de coisas.

Embora os indivíduos devam obviamente beneficiar da informação mais completa possível, bem como de meios de controlo (consentimento, direitos de oposição e apagamento) no âmbito da implementação de sistemas de rastreio, As autoridades de proteção de dados ressaltam que a legalidade desses sistemas não pode se basear apenas no consentimento das pessoas envolvidas..

Como a CNIL ressalta em seu parecer sobre o aplicativo StopCovid, agora operacional, "a real utilidade do dispositivo terá que ser estudada com mais precisão após seu lançamento".

A duração da implementação do sistema deve estar condicionada aos resultados desta avaliação regular.”

Serão tais avaliações ex post suficientes? Um exame aprofundado da utilidade de novos dispositivos de rastreamento deve, em princípio, preceder a implementação do processamento, mesmo (e especialmente) em situações de emergência, quando dados sensíveis são processados.

• Salvaguardas institucionais

Além do Parlamento e de instituições como a CNIL, os tribunais franceses são chamados a decidir sobre a coleta de dados.

É o caso do Conselho de Estado, que ordenou ao Estado, por despacho de 18 de Maio, que cessasse todas as medidas de vigilância por drones para controlar o confinamento em Paris.

O mesmo se aplica ao tribunal judicial de Rennes, que descreveu ausando o arquivo ADOC (arquivo de multas) para verificar reincidências de descumprimento das regras de confinamento.

Note-se que estas decisões recentes se baseiam na existência ou ausência de base jurídica, sem pôr em causa de forma mais fundamental a proporcionalidade das medidas coercivas.

E quanto à proporcionalidade dessas medidas? As questões éticas levantadas por uma possível mudança nos métodos de vigilância foram suficientemente levadas em consideração?

As recomendações recentes da OMS sobre a ética das tecnologias de rastreamento apontam para a linha tênue entre a vigilância sanitária e a vigilância populacional, e os riscos crescentes enfrentados por pessoas marginalizadas.

A OMS defende a supervisão eficaz dos atores públicos e privados envolvidos na gestão de dados populacionais.

O documento lista os princípios essenciais a serem respeitados no contexto atual e fornece uma lista muito útil de comunicações recentes de autoridades públicas e organizações internacionais (uma extensa compilação também está disponível no site da Global Privacy Assembly).

• O papel essencial dos atores por trás dos tratamentos

Essas considerações destacam a necessidade de uma reflexão aprofundada sobre a responsabilidade dos atores envolvidos nos sistemas de vigilância, tanto no nível dos órgãos públicos quanto dos atores privados.

Antes de nos projetarmos no “mundo posterior”, vamos primeiro dar uma olhada nas ferramentas que temos hoje.

A originalidade do RGPD em comparação com o quadro jurídico anterior reside, em particular, nas medidas de responsabilização que prevê.  O controlador de dados, seja ele estatal ou empresa privada, deve ser responsabilizado.

É responsável por avaliar o desenvolvimento de ferramentas de gerenciamento de dados à luz não apenas de questões econômicas ou políticas, mas também de direitos fundamentais, em especial por meio de uma análise prévia do impacto do processamento nos direitos dos indivíduos.

E essa obrigação vem acompanhada de multas, como a que a Finland Post acabou de sofrer, por ter sido condenada por não realizar tal análise de impacto antes de implementar o processamento de dados.

Integrar a proteção de dados ao design de um dispositivo de processamento e configurar o dispositivo para limitar os dados coletados, também conhecido como "privacidade por design" e "privacidade por padrão", constituem outros dois elementos essenciais para levar em consideração os direitos dos indivíduos antes de qualquer processamento de dados.

É esse papel fundamental do GDPR que a presidente do Conselho Europeu de Proteção de Dados, Andrea Jelinek, lembra em sua mensagem por ocasião do aniversário do Regulamento.

O RGPD está adaptado às crises que atravessamos, mas é da responsabilidade não só das autoridades de supervisão, mas também e sobretudo dos responsáveis pelo tratamento de dados. jogar o jogo.

O respeito pelos direitos fundamentais é, sem dúvida, hoje mais do que nunca, um passo essencial para garantir a confiar e tem issoaceitação por indivíduos de novos desenvolvimentos tecnológicos.

Sem confiança, a eficácia das medidas de saúde e o próprio desfecho da crise que atravessamos estão em jogo. 

Ana Cristina Lacoste

Advogada especializada em direito de dados, foi Chefe de Relações Internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.