Revela que as parcerias, doações e compras não prevêem mecanismos para garantir direitos básicos e reduzir risco de exposição de dados sensíveis; opacidade também é problema comum   

Ao longo da pandemia da Covid-19, observamos a implantação de uma variedade de tecnologias ao redor do mundo com a promessa de apoiar o combate ao vírus. Novos portais, softwares de gestão, aplicativos para celulares, entre outras soluções para rastrear e monitorar casos da doença,  surgiram trazendo em comum a coleta massiva de dados pessoais e sensíveis de milhões de indivíduos. 

A aquisição e o desenvolvimento dessas tecnologias, quando formalizados — o que nem sempre ocorre —, apoiam-se em instrumentos em geral insuficientes para garantir que a coleta, o compartilhamento e a guarda de dados pessoais cumpram princípios básicos, como os da finalidade e da proporcionalidade.  Os contratos e termos tampouco trazem dispositivos para evitar que a adoção das tecnologias viole direitos fundamentais como a privacidade e a possibilidade de os indivíduos exercerem controle sobre seus próprios dados, isto é, sua  autodeterminação informativa. 

A opacidade predomina em partes importantes desses processos e há  dificuldades no acesso à informação, mesmo  que as solicitações sejam respaldadas pela legislação. Isso torna o cenário ainda mais preocupante, especialmente porque  as tecnologias são apresentadas à população como fundamentais ao controle da pandemia e seu uso, com frequência, é amplamente incentivado ou exigido pelos próprios governos.

Concentrando-se em experiências no Chile, Colômbia e Brasil, a investigação ocorreu no âmbito do projeto Sorria, #EstamosVigiando, uma parceria entre o Centro pela Justiça e o Direito Internacional (CEJIL), Derechos Digitales (Chile), Fundación para la Libertad de Prensa (FLIP), Instituto de Derechos Humanos de la Universidad Centroamericana José Simeón Cañas (IDHUCA) e a Open Knowledge Brasil (OKBR). Ao todo, foram analisadas em profundidade 11 ferramentas nesses países.

Como foram adquiridas as tecnologias analisadas?

Os arranjos contratuais encontrados para a aquisição e desenvolvimento das soluções analisadas foram diversos. A maioria deles envolve instituições públicas e privadas e não prevê o repasse de recursos, o que acende um alerta sobre os interesses que estão envolvidos na coleta e compartilhamento de dados. 

Na Colômbia, apenas uma das quatro tecnologias analisadas — a plataforma Mi Vacuna —  foi desenvolvida exclusivamente para o contexto da Covid-19, e a implementação ficou a cargo da equipe do próprio Ministério da Saúde, dentro do Projeto de Fortalecimento do Sistema de Informação em Saúde e Proteção Social (SISPRO). As demais já existiam e foram reformuladas, ou já haviam sido contratadas pelo governo. 

O software ArcGIS, usado para construção e análise de mapas, já havia sido adquirido pelo mesmo órgão há anos e derivou ordens de compra por outras instituições públicas, como a Força Aérea Colombiana e a Prefeitura de Bogotá, que os empregou em ações relacionadas ao controle da pandemia. Outro software, o PAIWEB 2.0, usado para manejo de dados e informações, também já era usado pelo Ministério da Saúde. O sistema foi adaptado para o contexto da Covid-19 a partir de uma versão anterior e com base no projeto de redesenho feito, em 2018, pela empresa Ingenian Software S.A.S.

Por fim, o aplicativo CoronApp, que já era usado no país desde 2017 sob o nome de “Guardiões da Saúde” para monitoramento de riscos à saúde, ganhou novas funcionalidades na pandemia, sobretudo para divulgação de informações e rastreamento de sintomas e contágio.

No Brasil, cada um dos cinco casos analisados contou com um instrumento diferente para formalizar a relação entre os governos e as instituições envolvidas no desenvolvimento dos aplicativos — todas privadas. Em nenhum dos casos houve a transferência de recursos financeiros às instituições, salvo o ConecteSUS, aplicativo que faz parte de uma estratégia mais ampla de digitalização da saúde no nível federal. Apesar de lançada durante a pandemia, a ferramenta não havia sido desenvolvida especificamente para esse contexto e ganhou funcionalidades para atender também a essas demandas, no âmbito de um contrato já em execução entre o Ministério da Saúde e a Zello Tecnologia da Informação LTDA. A empresa foi responsável pelo desenvolvimento de outro sistema do Ministério, que  expôs dados pessoais de mais de 240 milhões de brasileiros no final do ano passado.

Nos estados de Goiás e Rio de Janeiro, que utilizaram o aplicativo Dados do Bem, a formalização se deu por meio de um Acordo de Cooperação Técnica entre os governos estaduais e o Instituto D’Or de Pesquisa e Ensino. O instrumento é usado para formalizar parcerias  entre órgãos públicos e organizações sem fins lucrativos, em que não há repasses financeiros, conforme prevê o Marco Regulatório das Organizações da Sociedade Civil no Brasil. Instrumento semelhante foi usado no estado da Bahia, onde o aplicativo Monitora Covid-19 foi implementado. Nesse caso, no entanto, o Acordo de Cooperação de Pesquisa e Desenvolvimento Científico e Tecnológico foi firmado entre um órgão público e duas empresas: a Core Consulting – Consultoria e Serviços LTDA e a Novetech Soluções Tecnológicas LTDA. Esse tipo de cooperação é previsto na Lei de Licitações, por meio de um dispositivo genérico que permite, em tese, modelos variados de formalização.  

Em Minas Gerais, o aplicativo Saúde Digital MG foi cedido temporariamente pela Techtools Ventures Investimentos S.A. ao governo estadual por meio de um Termo de Permissão Gratuita de Uso de Bem Móvel. O acesso ao processo administrativo que formalizou a permissão de uso foi concedido à OKBR, mas com obstáculos: vários documentos apresentam trechos inteiros omitidos, especialmente aqueles que continham a proposta feita pela Techtools ao governo de Minas Gerais, sob a alegação da necessidade de proteção a dados pessoais e à propriedade intelectual da empresa. Contraditoriamente, as propostas feitas por outras empresas não passaram pelo mesmo procedimento.

O caso mais crítico é o do estado do Amazonas, com o aplicativo Juntos no Combate – Covid-19. Não há indícios de que a parceria tenha sido formalizada com a empresa SASI Comunicação Ágil LTDA, já que documentos relacionados não foram localizados publicamente, nem fornecidos pelo governo estadual em resposta aos pedidos de informação enviados. Desde o lançamento do aplicativo usado no combate à pandemia, a empresa tem atuado com o governo do estado na implantação de outras interfaces de coleta de dados voltadas a várias finalidades e áreas de políticas públicas, inclusive envolvendo contratação direta. 

Já em relação às duas tecnologias analisadas no Chile, a falta de transparência impediu a análise de eventuais acordos com empresas privadas e de outros aspectos de seu desenvolvimento.  O governo não respondeu à maioria das questões presentes nos pedidos de informação cadastrados pela Derechos Digitales sobre versão chilena do CoronApp e a plataforma de polícia online Comisaría Virtual, que durante a pandemia passou a receber pedidos de autorizações temporárias de deslocamentos e viagens em meio à quarentena. 

Sem fiscalização, não há garantias

Considerando a natureza e o volume dos dados coletados, é de se esperar que tecnologias com alta capacidade de vigilância não sejam, em hipótese alguma, implementadas por quaisquer governos sem as garantias necessárias. Os instrumentos jurídicos para adoção dessas tecnologias devem ser claros quanto aos requisitos e funcionalidades destas ferramentas e estabelecer condições e obrigações suficientes para que a sociedade e órgãos de controle possam fiscalizar essas ações. Casos como o do Juntos no Combate – Covid-19, no Brasil, expõem não apenas a fragilidade no desenvolvimento de tecnologias que envolvem o tratamento de dados pessoais e sensíveis por entes governamentais e privados, como também a precariedade das relações firmadas. Faltam instrumentos efetivos de responsabilização dos envolvidos em caso de lesão a direitos dos indivíduos usuários ou mau emprego de recursos públicos, financeiros ou não.  

Mesmo que os contratos e termos firmados prevejam cláusulas para garantir a proteção de dados e de liberdades individuais, o risco de violações a esses direitos ainda existe por causa da falta de fiscalização adequada.  Nos termos contratuais analisados, não foram identificados, por exemplo, mecanismos e fluxos de trabalho que demonstrem a estruturação de um planejamento de fiscalização — o que seria fundamental para assegurar o cumprimento de boas práticas e da legislação por parte das instituições públicas.  Um sinal importante sobre a ausência desses cuidados  é o fato de que, em nenhum dos casos analisados nos três países, foram realizadas análises prévias à implementação sobre possíveis impactos em direitos humanos decorrentes do uso das tecnologias. Em geral,  tampouco há apontamentos sobre a realização futura de tais estudos.

Fiscalizar o cumprimento de cláusulas referentes ao tratamento de dados, especialmente aquelas sobre o compartilhamento e prazos para exclusão, torna-se uma tarefa ainda mais complexa quando consideradas as redes de parceiros ligadas às empresas envolvidas. Por exemplo, nos casos brasileiros do Saúde Digital MG e Dados do Bem, a celebração da parceria ocorreu entre governos e instituições específicas — Techtools Ventures e Instituto D’Or, respectivamente. No entanto, outras organizações privadas envolvidas no desenvolvimento também possuem acesso aos dados coletados. Somente no caso do Saúde Digital MG, foram identificadas ao menos seis pessoas jurídicas que podem ter acesso parcial ou integral ao banco de dados gerado pelo aplicativo. Ainda que as políticas de privacidade e termos de uso prevejam acesso de terceiros, o usuário dificilmente terá a real dimensão da cadeia de atores por trás do desenvolvimento daquele aplicativo e a massa de dados pessoais que está sendo colocada à disposição dela. 

Na prática, a teoria é outra

Não basta ter um termo de contratação ou parceria adequado, é necessário que ele seja compatível com o que os aplicativos, na prática, informam às pessoas usuárias. Em vários dos casos analisados, no entanto,  os documentos de formalização que chegam a abordar questões de privacidade e de tratamento dos dados coletados divergem daqueles disponibilizados aos usuários nas lojas de aplicativos. Ora as contratações possuem informações mais completas não declaradas aos usuários, ora as políticas de privacidade informadas  alteram o conteúdo previsto  no documento firmado com a administração pública.  De forma geral, faltam informações detalhadas a respeito de toda a cadeia de tratamento dos dados e dos terceiros envolvidos, desde a finalidade dos procedimentos aos prazos de manuseio e armazenamento das informações. É comum ainda que os contratos, termos e políticas de privacidade façam menções genéricas à legislação vigente, mas sem especificar a forma pela qual as leis são atendidas. 

Em alguns casos, também foram identificadas cláusulas de confidencialidade que restringem o acesso às informações sobre as dinâmicas de operação das tecnologias. Por exemplo, no caso do CoronApp, na Colômbia, o Instituto Nacional de Saúde era a entidade originalmente encarregada pelos dados coletados no aplicativo, mas delegou essa responsabilidade à Agência Nacional Digital por meio de um Contrato de Transmissão de Dados Pessoais. Nele, as condições relacionadas à confidencialidade das informações trocadas ou criadas entre entidades são excessivamente amplas, abrangendo informações financeiras, listas de clientes, investidores, funcionários, relações comerciais e planos de marketing, elementos que devem ser de conhecimento público de acordo com a lei de acesso à informação colombiana.

Outro ponto de atenção é sobre a adequação desses instrumentos aos propósitos das parcerias ou contratações. Novamente usando o caso do CoronApp colombiano como exemplo, as adaptações do aplicativo para o contexto da Covid-19 foram feitas a partir de um memorando de entendimento entre a Agência Nacional Digital e o Ministério da Saúde. Memorandos de entendimento não são contratos em si. Apesar desses acordos gerarem efeitos jurídicos vinculantes entre as partes, eles carecem de definições em relação a sanções que podem incorrer a elas no caso de descumprimento das previsões.  Esse exemplo também mostra que os problemas identificados não se restringem a relações público-privadas, já que o desenvolvimento esteve a cargo de duas instituições públicas.

Proteção de dados é direito fundamental

A análise sobre as formas de aquisição de tecnologias da Covid-19 em diferentes países da América Latina traz à tona desafios comuns na região. Os problemas identificados estão mais relacionados à falta de boas práticas de governança de dados e de transparência nas parcerias e contratações, do que com a necessidade de marcos regulatórios específicos ou mudanças na legislação. Princípios básicos da Administração Pública — formalização, accountability, publicidade e prevenção de conflito de interesses — deveriam estar sendo observados no desenvolvimento dessas tecnologias, independentemente do instrumento escolhido para sua realização. Aspectos sobre o compartilhamento de dados pessoais, ponto mais sensível dessa relação entre governos e outras instituições ou empresas, ficaram à margem desses instrumentos. 

O que fica evidente nos casos analisados é que os governos não estão encarando a proteção de dados pessoais como um direito fundamental a ser garantido em qualquer situação. Mesmo com a necessidade de ação rápida frente à pandemia, garantias básicas podem e devem ser previstas nessas relações. Afinal, a situação emergencial provocada pela pandemia deve acabar — mas os eventuais danos causados às pessoas pela exposição ou compartilhamento indevido de seus dados são irreversíveis. O tema deve ser colocado com urgência na agenda pública para que os limites e procedimentos para tratamento de dados pessoais sejam discutidos pela sociedade — o que só será possível com mais transparência dos acordos e práticas atuais.