Este texto foi originalmente publicado pela Privacy Internacional em seu site. Traduzido por Fernanda Campagnucci
Posição da Privacy International às propostas de governos para usar a localização de telefones celulares e outros dados de tráfego de operadoras de telefonia como resposta à Covid-19;
Pontos-chave
- O governo do Reino Unido pretende usar dados de localização de celulares e outros dados de operadoras de telefonia como resposta à Covid-19.
- Não há evidências contundentes sugerindo que dados de deslocamento ou de localização são úteis para rastrear e prever a disseminação da doença.
- Medidas extraordinárias não devem ser implementadas sem a avaliação de riscos ou garantia de salvaguardas aos cidadãos.
*Só os velhos metadados. Não há nada com que se preocupar. Continuem com o que estão fazendo.
Nos últimos dias, a Privacy International e sua rede têm registrado e documentado as medidas propostas por vários governos, organismos internacionais e empresas para ajudar a conter a disseminação da Covid-19.
Em um desdobramento recente disso, o jornal britânico The Guardian relatou que o governo do Reino Unido pretende usar a localização de telefones celulares e outros dados de tráfego oriundos de operadoras de telefonia celular para ajudar com medidas que o governo possa desenvolver como resposta à Covid-19.
Isso apesar de o assessor-chefe para assuntos científicos do governo do Reino Unido, Sir Patrick Vallence, dizer que o período mais útil para o rastreamento de localização já passou e que esse tipo de medida “teria sido uma boa ideia em janeiro”.
Foi explicado que os dados que seriam obtidos teriam um atraso de 12 a 24 horas, ou seja, não seria em tempo real, e seriam usados para:
- identificar padrões de movimentos das pessoas, e verificar se as pessoas estariam seguindo as recomendações do governo de evitar locais públicos, incluindo pubs, bares e restaurantes;
- enviar alertas de saúde em locais específicos e
- informar as decisões tomadas pelos serviços de saúde.
Do que se sabe até agora, não está claro se as operadoras de telecomunicações forneceriam os dados brutos que detêm, ou se as empresas executariam elas próprias as análises dos dados a partir de critérios e parâmetros estabelecidos pelo governo.
Qualquer dos cenários levanta preocupações sobre como esses processos seriam regulados, o quão transparentes as operadoras e o governo seriam sobre essa parceria, bem como os mecanismos de controle a que eles estariam sujeitos, se é que existiria algum.
Iniciativas semelhantes começaram a ser implementadas por Israel e Alemanha, enquanto outros estão explorando possibilidades, incluindo Bélgica, Itália e Armênia.
Qual é o problema?
Em primeiro e mais importante lugar, as evidências de que os dados de movimento ou localização foram úteis para prever ou lidar com a disseminação de MERS ou Ebola são limitadas, como se discutirá mais adiante. Com a evolução da crise, é essencial que toda e qualquer medida seja tomada com o aconselhamento de especialistas em saúde e com base em evidências.
Além disso, não está claro que foram suficientemente levadas em consideração as salvaguardas necessárias para a proteção de pessoas e de seus dados no curto e no longo prazo.
Países como o Reino Unido já possuem amplos poderes para interceptação em massa, hackeamento em massa e retenção de dados de longa duração, que nem sempre estão sujeitos a um controle efetivo. A PI mantém preocupações constantes com direitos humanos em relação ao uso de tais poderes. Essas preocupações se aplicam igualmente à coleta em massa de dados de localização e de tráfego.
Não importa o quão urgente seja, não é justificável que novas iniciativas sejam implantadas sem que avaliações de risco ou que salvaguardas mínimas sejam asseguradas quando direitos fundamentais estão em jogo.
Se essas salvaguardas não vierem embutidas nessas novas propostas e se estratégias de mitigação não forem adotadas, o risco é que sejam colocados em prática sistemas não regulados e impenetráveis ao escrutínio público – não apenas pelo tempo necessário para lidar com a Covid-19 – mas como base para sistemas de vigilância de massa e de exploração de dados de longo prazo.
Que tipo de dados: metadados
O que esses governos buscam é o que chamamos de metadados, que é qualquer conjunto de dados que descreve e fornece informações sobre outros dados, como o registro de data/hora de uma mensagem eletrônica, o nome do remetente, o nome de um destinatário, o local do dispositivo etc.
Quase todo uso de tecnologia e toda interação em um dispositivo tecnológico geram metadados relacionados a todos os usuários e entidades envolvidas na transação.
Presumido como menos valorizado ou menos importante que os dados do conteúdo [dessas mensagens e interações], o que se ilustra pelo fato de os metadados gozarem de menos proteções que os dados de conteúdo, os metadados fornecem acesso a informações altamente sensíveis e permitem gerar insights incríveis sobre as pessoas, seus comportamentos e conexões.
Dados anonimizados, isso existe?
Muitas vezes, quando se levantam preocupações sobre o uso de metadados, como dados móveis e os dados de localização, aqueles que desejam utilizar tais informações vão dizer que eles estão atenuando os riscos, porque eles estão anonimizando os dados.
Mas há extensa documentação de que os métodos atuais (um tanto desatualizados) usados para anonimizar dados não são suficientes e, especialmente ao agregar outras fontes de dados, é possível identificar sua origem novamente. Muitos governos já podem ter acesso a essas outras fontes de dados sob seus poderes de vigilância existentes, como a capacidade de solicitar a identificação de dados de assinantes de empresas de telecomunicações.
Uma pesquisa conjunta do MIT e da Universidade Católica de Louvain inclusive concluiu que é preciso apenas de quatro pontos (aleatórios) de dados para “des-anonimizar” 95% dos usuários.
Como que esses dados já foram utilizados em crises de saúde pública anteriores?
Não é a primeira vez que ouvimos esse tipo de ideias propostas para “bem público” e, em particular, em tempos de crise. Quando a crise do Ebola eclodiu na África Ocidental em 2014 e quando a Coreia do Sul enfrentou um surto de Síndrome Respiratória do Oriente Médio (MERS) em 2015, dados de telefone celular foram usados para tentar prever a evolução do surto e monitorar padrões nos movimentos de pessoas com o objetivo de combater a propagação.
Como mostraram os estudos de Sean McDonald, de Harvard, existem evidências limitadas para sugerir que os dados de movimento ou de localização se mostraram úteis para combater e prever a propagação de uma dessas duas doenças.
Por exemplo, durante a crise do Ebola, as pessoas insistiram no uso de dados de telefones celulares, usando exemplos de como eles foram usados para prever doenças transmitidas por vetores. Mas o Ebola não é uma doença transmitida por vetor, o que significa que “as mesmas probabilidades não são um indicador útil de transmissão”. E, no caso da Coreia do Sul, nenhuma informação foi disponibilizada publicamente sobre como os dados foram usados, e se os dados do telefone fizeram diferença. Portanto, nenhuma evidência de que os dados de localização (e a imposição de quarentena) tenham ajudado a conter o vírus.
Ainda assim, desde então temos visto incontáveis iniciativas nos setores humanitários e de desenvolvimento para rastrear e monitorar o movimento de pessoas, como o UN Global Pulse, a GSMA, bem como as empresas como o Facebook, entre outras iniciativas do uso de dados (massivos) “para o bem”.
O uso de dados e de tecnologia estão transformando e continuarão a transformar a maneira como os programas de desenvolvimento são implementados e como a assistência humanitária pode ser oferecida para assegurar que mais pessoas possam se beneficiar, mais rápido e mais efetivamente. Mas, nessa complexa dinâmica de avaliar benefícios e desafios, é necessário garantir que qualquer tentativa de ajudar não crie mais riscos, ou exponha pessoas a danos.
Os riscos e danos: impactos às pessoas
Além de questionar a utilidade do rastreamento de dados móveis para gerenciar as pandemias de saúde da maneira como os governos estão propondo, os poderes existentes dos governos de investigar e explorar dados e a falta de transparência e de mecanismos de responsabilidade de tais sistemas aumentam nossas preocupações consideravelmente.
Os dados de uso de rede móvel, incluindo dados de localização, especialmente quando agregados a outras fontes, podem fornecer grandes insights sobre os comportamentos, movimentos e redes sociais das pessoas, e usar essa inteligência para outros fins que não os previstos quando os dados foram coletados suscitam muitas preocupações, tanto sobre as decisões tomadas com base nessas informações, quanto como as informações podem ser usadas contra pessoas no futuro.
Os riscos associados com o uso desses dados são variados, e já bem documentados. Já vimos como dados de telefonia celular, como metadados de localização, foram usados para rastrear visitantes em espaços públicos, monitoramento de mulheres em protestos, entre outros.
Se esses dados de celulares forem usados para identificar áreas geográficas em risco e/ou pessoas em risco, conforme descrito em várias propostas do governo, quais são as medidas que estão sendo tomadas para garantir que sejam usadas apenas com o objetivo de combater a propagação do Covid-19 e não para posteriores aplicações da lei e para fins de segurança nacional?
O que acontece depois da tempestade?
Uma das maiores preocupações com esse tipo de iniciativa e outras medidas anunciadas para responder ao Covid-19 é: o que acontece depois?
Uma vez que um governo tenha se dado tais poderes, é raro que eles voltem para removê-los – é, portanto, de vital importância que as medidas que estamos monitorando tenham datas de validade rígidas. O governo do Reino Unido, por exemplo, estabeleceu uma longa cláusula de caducidade de 2 anos sobre os poderes de emergência que atualmente está passando pelo parlamento britânico, com períodos de renovação de 6 meses.
Os governos têm, sem dúvida, a tentação de dar novo propósito a quaisquer sistemas que foram criados excepcionalmente para lidar com uma crise de saúde – afinal, ele já foi pago e implantado. Garantir que isso não aconteça envolve tanto ouvir os especialistas em saúde que estejam em posição para decidir se tais poderes são necessários quanto exigir que os governos que os ignorem ou ignorem a segurança da população prestem contas.
