Entre as medidas para o combate ao novo coronavírus ao longo destes dois anos de pandemia, órgãos federais de vários países têm utilizado recursos de tecnologia, como aplicativos, para fazer o monitoramento da população – se estavam seguindo as medidas de isolamento – e tentar conter a doença.

Mesmo antes da Covid-19, ferramentas no celular permitem rastrear informações de saúde, especialmente em relação a mulheres. E apesar de garantir a proteção dos dados, muitas vezes eles acabam encaminhados a terceiros sem o seu consentimento.

Vários relatórios recentes apontam para a utilização em finalidades indevidas de apps voltados à saúde do usuário. O Detetive TC foi atrás de entendê-los para contar a você a seguir.

Uma das descobertas das últimas semanas tem relação com os Centros de Controle e Prevenção de Doenças (CDC) dos Estados Unidos. Eles teriam comprado acesso aos dados de localização coletados de dezenas de milhões de celulares no país norte-americano, durante um ano, pela empresa SafeGraph – banida da Play Store pelo Google em junho de 2021 –, a uma quantia de US$ 420 mil.

A justificativa para isso analisar o cumprimento do toque de recolher, rastrear padrões de pessoas de que visitam escolas no que chamam de K-12 – ou seja, os jardins de infância – e monitorar a eficácia da política na Nação Navajo – considerada a maior comunidade indígena no país.

No entanto, os documentos obtidos pelo Motherboard – datados de 2021 – indicam utilizações mais genéricas que as citadas oficialmente. O tipo de dados adquirido foi agregado, isto é, seguem tendências e incluem localização do dispositivo, o que indica onde alguém mora, trabalha e para onde foi. Os pesquisadores temem que essas informações não fiquem mais anônimas e passem a sinalizar para indivíduos específicos.

A captura de tela dos casos de uso do CDC inclui alguns itens que fogem do propósito voltado à pandemia. Entre eles, está o item 19, o qual cita “Pontos de pesquisa de interesse para atividade física e prevenção de doenças crônicas, como visitas a parques, academias ou negócios de gerenciamento de peso”.

Outra parte do documento ainda explana a parte de uso dos dados de localização para apoiar áreas programáticas que não estão relacionadas à Covid-19.

“O CDC também planeja usar dados e serviços de mobilidade adquiridos por meio desta aquisição para apoiar áreas programáticas não COVID-19 e prioridades de saúde pública em toda a agência, incluindo, mas não se limitando a viagens para parques e espaços verdes, atividade física e modo de viagem, e migração populacional antes, durante e depois de desastres naturais. Os dados de mobilidade obtidos sob este contrato estarão disponíveis para uso em toda a agência do CDC e apoiarão inúmeras prioridades do CDC.”

Centro de Prevenção e Controle de Doenças dos EUA (em documento obtido pelo Motherboard)

As informações ainda dão conta dos pacotes de dados comprados pelo CDC. A relação possui pacotes como “Dados do Lugar Central dos EUA”, “Dados de Padrões Semanais” e “Dados de Padrões de Vizinhança”. Este último, especificamente, mostra o tempo de moradia domiciliar e está agregado por bloco estadual e censitário.

Essa preocupação parece vir desde antes da pandemia. Um aplicativo chamado Flo, criado em 2015 e voltado para a saúde da mulher, tinha como principais funções o acompanhamento das atividades das usuárias. Para isso, ele solicitava detalhes íntimos que vão desde a duração do ciclo menstrual até o nível de libido.

As informações serviriam para ajudar a acompanhar o período reprodutivo da pessoa, com a indicação de dias mais ou menos férteis. E em teoria, havia a promessa de manter em segredo os dados do usuário.

Porém, a Federal Trade Commission (FTC) dos EUA descobriu que, entre 2016 e 2019, a empresa proprietária do app chegou a repassar alguns detalhes íntimos de saúde das usuárias a companhias de marketing e análise, como Facebook e Google.

Segundo o New York Times, a agência norte-americana divulgou que as práticas de compartilhamento de dados possibilitavam o uso por terceiros de “informações pessoais de saúde de forma expansiva, inclusive para publicidade”. Ao jornal, Flo e Google negaram a utilização em anúncios, enquanto o Facebook não deu qualquer comentário.

A FTC acabou por fazer um acordo com a Flo Health – sem a admissão de irregularidade – para proibir a enganação sobre as práticas de manipulação dos dados, bem como exigir o consentimento dos usuários antes de compartilhar informações de saúde e fornecer uma revisão independente dos seus termos de privacidade.

Caso esse impasse aconteça dentro de algum dos países integrantes da União Europeia, a famosa Lei de Proteção de Dados em vigor no bloco tem a saída para a responsabilidade sobre o ocorrido.

A chamada GDPR cobra o ônus da falta de privacidade em cima dos desenvolvedores de aplicativos. A norma dá os direitos de controle dos dados de maneira ampla aos usuários, com a exigência de que as companhias peçam a permissão explícita antes de coletar ou compartilhar informações confidenciais das pessoas.

Dentro do território do Brasil, existe a Lei Geral de Proteção de Dados (LGPD), uma legislação baseada na GDPR europeia para estabelecer regras sobre a utilização de dados dos internautas no país.

Ao falar especificamente da área de saúde, no parágrafo 4º do Art. 11 da Seção II do Capítulo II, é bem explícito que a comunicação e o uso compartilhado de informações sensíveis referentes à saúde, com objetivo de obter vantagem econômica, ficam vedados.

CAPÍTULO II

DO TRATAMENTO DE DADOS PESSOAIS

Seção II

Do Tratamento de Dados Pessoais Sensíveis

Art. 11. § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I - a portabilidade de dados quando solicitada pelo titular; ou

II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Portanto, assim como a União Europeia, o Brasil também trata como uma irregularidade prevista na lei caso algum dos seus dados de saúde seja encaminhado a terceiros sem o seu consentimento, para fins econômicos.

Você já detectou algum aplicativo que rastreava os seus dados indevidamente? Relate para a gente no espaço abaixo.