COVID-19: Apps do governo e seus riscos à privacidade
Estratégias fortemente apoiadas no uso da tecnologia são uma marca do enfrentamento à COVID-19 no mundo. O debate sobre a adequação de cada um dos itens desse cardápio de ferramentas para efetivamente contribuir com a vigilância epidemiológica, para reunir informações que permitam conhecer o comportamento da doença e recomendar as medidas de prevenção e controle pertinentes, e, além disso, sobre a sua necessidade e proporcionalidade está em curso. Ao menos em tese, tais instrumentos são capazes de oferecer à população acesso a informações relevantes, promover o rastreamento de contato com pessoas contaminadas, o monitoramento de deslocamento populacional, e mesmo a fiscalização individualizada de isolamento compulsório.
Também aqui no Brasil, num curto intervalo de tempo, surgiram iniciativas do gênero. Parte delas foi apresentada pelo próprio Estado, para viabilizar a prestação de serviços públicos, difundir informação, e mesmo monitorar o quadro clínico de cidadãs/os. Atentos ao tratamento de dados pessoais frequentemente implicado no uso desses recursos, testamos e analisamos 08 apps da Administração Pública voltados ao combate à pandemia do novo coronavírus.[1]
Avaliamos os apps conforme parâmetros distribuídos em quatro categorias — consentimento, necessidade, transparência e segurança —, que buscam apurar os esforços de preservação dos direitos previstos na legislação atualmente em vigor e de mitigação de riscos embutidos no tratamento de dados pessoais, possivelmente sensíveis.
Análise e resultados
1. Consentimento
2. Necessidade
3. Transparência
4. Segurança
5. Principais achados
1. CONSENTIMENTO
O app obtém consentimento expresso para o tratamento de dados pessoais?
O app obtém permissões de maneira específica, i.e., quando necessárias para que alguma funcionalidade ou serviço seja acessado?
O app explica a que funcionalidade a permissão está relacionada?
Na categoria do consentimento, observamos a forma de coleta do consentimento para o tratamento de dados e para cada permissão solicitada pelo app. Como provedora de aplicação, a Administração Pública também deve observar o Marco Civil da Internet, que tem o consentimento dos usuários como a principal hipótese de autorização legal para tratamento de dados pessoais (art. 7º, VI, VII, VIII e IX).
Esse consentimento deve ser “livre, expresso e informado” para ser válido. Isto é, demanda explicações a respeito do serviço e das atividades de tratamento, reclama um maior grau de certeza da titular a respeito da autorização que está concedendo, e deve ser livre de constrangimento, coação ou retaliação.
Dado que tratamos da Administração Pública, pelos princípios que condicionam sua atuação – legalidade, impessoalidade, moralidade, publicidade e eficiência (art. 37, caput da Constituição federal) – a prestação eficiente de serviços públicos deve ser harmonizada com o dever de promover o controle de usuárias/os sobre seus dados pessoais. Sobretudo numa situação em que a vulnerabilidade, frequentemente presente pelo limitado poder de barganha sobre os termos de uso, é exacerbada quando estão em questão o acesso a políticas públicas numa situação de emergência em saúde pública. Além disso, apesar de ter tido a vacatio legis – o prazo legal para o início da vigência – prorrogada pela MP 959/2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi efetivamente sancionada no Brasil e indica desde logo o imperativo de adaptação aos seus termos também ao Poder Público, quando este trata dados pessoais.
Por isso, observamos como é obtido o consentimento para o tratamento de dados pessoais e para cada permissão de acesso e analisamos se os modos de coleta preservam uma decisão informada da/o usuária/o.
Resultados
Em geral, as exigências do MCI de um consentimento “livre, expresso e informado”, bem como da disponibilização de informações “claras e completas” sobre o tratamento de dados pessoais é resolvido por meio de políticas de privacidade ou termos de uso. Concebidas a partir de uma lógica de contratualização da relação entre aplicativo e usuário, essas políticas devem trazer as informações necessárias a tornar o consentimento do usuário válido nos termos da lei.
O Coronavírus SUS, do Governo Federal, não apresenta esse tipo de documento ao usuário, embora discrimine as permissões solicitadas em sua página na Play Store. Três dos aplicativos analisados (Coronavírus SP, Atende em Casa – PE e Saúde Osasco) apresentam a política de privacidade aos usuários apenas após a realização de um pré-cadastro. No caso de Atende em Casa – PE são coletados nessa fase CPF e CEP. No caso dos apps de São Paulo e Osasco, há demanda por dados como nome completo, data de nascimento, e, no caso do primeiro, existência e data de início dos sintomas. Esses dados iniciais são solicitados sem qualquer esclarecimento prévio a respeito da sua utilização.
Saúde Osasco: os termos de uso e política de privacidade só aparecem para o usuário após o cadastro e verificação via SMS.
Desses aplicativos, Coronavírus SP e Atende em Casa – PE admitem expressamente a possibilidade de realizar alterações em suas políticas sem comunicá-las aos usuários. Essa formulação parece pressupor o consentimento como um ato único, inicial e sem restrições aos desenvolvedores. Ela contraria, contudo, a própria razão de ser do direito à proteção de dados pessoais enquanto expressão da autodeterminação e controle dos titulares sobre seus dados. Os apps Saúde Osasco e Auxílio Emergencial da Caixa foram os únicos a se comprometerem expressamente a notificar os usuários em caso de alteração. Quanto ao aplicativo da Caixa, realizamos uma análise restrita ao acompanhamento da solicitação do auxílio e não foi possível identificar termos de uso específicos para esse app. Por isso, não avaliamos o aplicativo nessa categoria.
Outro ponto de atenção são as políticas que afirmam depreender o consentimento do download e uso do app pelo usuário. É o caso de Atende em Casa – PE, Telemedicina Paraná e Cachoeirinha contra o coronavírus. A exigência de que o consentimento seja “expresso”, no entanto, impõe a necessidade de algum tipo de declaração ou comportamento ativo de sua parte, o que exigiria mais do que o mero download e navegação. No debate internacional, essa é opinião estabelecida pelo Grupo de Trabalho do Artigo 29 e que tem sido adotada pelas autoridades de proteção de dados do Reino Unido e da França. No Brasil, o debate tem se dado em torno da necessidade de políticas de privacidade apresentarem ao usuário cláusulas destacadas a respeito das atividades de tratamento, a exemplo da liminar do Ministério Público Federal contra a Microsoft e do inquérito instaurado para investigar a Vivo.
Observamos também quais aplicativos solicitam consentimento de modo específico, durante o uso, quando permissões são necessárias para habilitar alguma funcionalidade. A coleta de permissão específica está alinhada com as melhores práticas de segurança da informação e de proteção de dados.
Atende em Casa (PE), Coronavírus SUS, Telemedicina PR solicitam permissão de acesso à localização no momento em que este dado pode ser utilizado no cadastro do usuário. Caso o usuário negue esta permissão, o aplicativo não é encerrado e a localização ainda pode ser coletada por meio de CEP e endereço. Coronavírus SP também solicita acesso à localização durante o uso do app, mas antes da tela de cadastro do endereço. Nos primeiros, há, portanto, uma relação mais clara entre acesso e finalidade pretendida.
Os apps de Cachoeirinha e Osasco solicitam permissão logo no primeiro uso do app, no primeiro caso para o controle de vibração e no segundo para acesso ao armazenamento (pasta de fotos, mídias e arquivos). No caso do app de Osasco, o Lumen detectou a solicitação de acesso à câmera e microfone, sem que essas permissões tenham sido efetivamente solicitadas durante a utilização do app. Relevante pontuar que não conseguimos identificar se câmera e microfone foram efetivamente acessados e que tal permissão está pública na Playstore.
Tabela de permissões dos aplicativos
Atende em Casa Recife |
Cachoeirinha contra o Coronavírus |
Caixa Auxílio Emergencial |
Coronavírus SP |
Coronavírus SUS |
OpenWHO |
Saúde Osasco |
Telemedicina PR |
|
Câmera | ✔ | |||||||
Microfone | ✔ | |||||||
Identidade | ✔ | |||||||
Contatos | ✔ | |||||||
Telefone | ✔ | |||||||
Localização | ✔ | ✔ | ✔ | ✔ | ||||
Armazenamento | ✔ | ✔ | ✔ | ✔ | ✔ | |||
Fotos, mídia e arquivos | ✔ | ✔ | ✔ | ✔ | ✔ | |||
Acesso às configurações de serviço do Google | ✔ | ✔ | ||||||
Acesso total à rede | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Recebe dados da internet | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
Visualização das conexões de rede | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Informações sobre a conexão Wi-Fi | ✔ | |||||||
Executar na Inicialização | ✔ | |||||||
Controle da vibração | ✔ | ✔ | ||||||
Impede que o dispositivo “durma” | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Cabe observar que a autorização por parte do usuário é especialmente importante em caso de dados sensíveis, como os dados de saúde coletados pela maior parte dos aplicativos analisados. Por vezes, ela não parece a mais adequada diante do tipo de tratamento e da finalidade que se pretende realizar. Nesse sentido, vale lembrar que a LGPD (art. 7º) prevê outras hipóteses, para além do consentimento, que permitiriam facilitar e maximizar o potencial oferecido pelo tratamento de dados pessoais, sem prejuízo dos direitos dos usuários.
2. NECESSIDADE
O app solicita permissões adequadas e necessárias à execução das suas funcionalidades?
Os dados coletados restringem-se apenas ao necessário para se alcançar a finalidade do aplicativo?
Na categoria da necessidade, levamos em consideração as funcionalidades do app para avaliar as permissões solicitadas e os dados solicitados e verificar se condizem com seus objetivos anunciados (art. 7º, VIII, a do MCI).
Para isso, utilizamos o aplicativo Lumen Privacy Monitor, desenvolvido no âmbito do projeto Haystack da Universidade de Berkeley, para mapear as permissões envolvidas nos aplicativos instalados e classificá-las quanto ao risco que implicam para a/o usuária/o. Destacamos também os dados demandados de usuários nos formulários, quando presentes.
O consentimento não é, afinal, uma “carta em branco” para o tratamento de dados pessoais. O MCI estabelece que o consentimento seja coletado para uma finalidade específica – compreendendo, assim, todas as atividades de tratamento necessárias para alcançá-la (art. 7º, VIII do MCI). A delimitação de finalidades específicas, i.e, do escopo do tratamento dos dados, é particularmente importante em um contexto de pandemia, no qual o apelo e a legitimidade dos objetivos anunciados para o tratamento de dados podem ofuscar o necessário escrutínio sobre seus usos.
Assim, precisar a finalidade do tratamento preserva a expectativa de uma intrusão mínima à privacidade e de proteção de dados por, indiretamente, indicar quais dados será necessário coletar (Art. 13, § 2º do Decreto 8.771/2016), para quê e em que momento esse tratamento mais intrusivo deverá cessar (art. 7º, X do MCI) – é dizer, quando a finalidade for alcançada. Por incentivar a transparência, permite ainda maior controle societal das atividades de tratamento e do seu impacto. Constitui, além disso, um princípio da segurança da informação – o princípio do menor privilégio – segundo o qual, ao fazer uso do mínimo acesso necessário, minimiza-se também a vulnerabilidade do programa.
Resultados
De início, é importante destacar que, à exceção do aplicativo OpenWHO da Organização Mundial de Saúde, nenhum dos apps analisados explicam de maneira expressa como cada dado coletado será tratado e para qual finalidade. Trata-se de aspecto importantíssimo ao consentimento dos usuários e à transparência das atividades de tratamento realizadas. Diante disso, coube a nós o esforço de tentar identificar a utilidade das permissões solicitadas e dos dados coletados diante dos objetivos dos aplicativos, descritos na PlayStore.
O Coronavírus SP, Saúde Osasco e Telemedicina Paraná foram mal avaliados nesta categoria por coletarem dados que não se mostram necessários ao funcionamento do aplicativo. O primeiro coleta informações sobre o dispositivo do usuário e utiliza cookies e sinalizadores (beacons). O aplicativo de Osasco solicita acesso à câmera e microfone, desnecessários para a autoavaliação dos sintomas dos usuários e eventual encaminhamento a unidades de saúde. Já o Telemedicina Paraná estabelece a possibilidade de o usuário fazer o login utilizando suas contas de Facebook e Google, e dando acesso a algumas informações do usuário presentes nessas plataformas, como foto e endereço de e-mail.
O Atende em Casa – PE foi avaliado de maneira intermediária por solicitar acesso às mídias do celular sem aparente necessidade. Os apps Coronavírus SUS, Cachoeirinha contra o Coronavírus e OpenWHO receberam avaliação positiva por solicitarem apenas dados pessoais e permissões aparentemente necessários às funcionalidades dos aplicativos.
Outro ponto de atenção que se colocou durante a pesquisa foi a abrangência do consentimento dos usuários. Afinal, para que essa autorização seja informada, ela demanda informações precisas sobre os tratamentos que serão realizados com os dados, bem como sobre os objetivos que se pretende alcançar. Contudo, o Atende em Casa – PE e o Telemedicina Paraná afirmam que o fornecimento de dados pelo usuário implica na concessão de uma licença perpétua e incondicional, isenta de royalties, ao app sobre eles. Tais aplicativos informam, ainda, que o consentimento a suas políticas de privacidade será sempre integral – os demais aplicativos não abordam esse tema, mas não identificamos possibilidade de oposição a aspectos específicos de suas políticas.
3. TRANSPARÊNCIA
O app possui política de privacidade?
A política de privacidade é acessível?
Informa quais dados são coletados?
Informa sobre sua política de exclusão dos dados coletados?
Informa sobre a possibilidade de tratamento posterior dos dados para outras finalidades?
Informa quem é o desenvolvedor e se existem parcerias?
Informa sobre compartilhamento de dados com terceiros?
Na categoria da transparência, analisamos as políticas de privacidade dos apps. Nesse tipo de documento espera-se que sejam apresentadas aos usuários informações necessárias para que seu consentimento seja informado e seja atribuída responsabilidade sobre potenciais danos, como, por exemplo, quais dados são coletados, para qual finalidade, de que forma, por quanto tempo, com quem são compartilhados, quais seriam as sanções aplicáveis e a quem caberia aplicá-las.
A transparência no tratamento de dados pessoais é exigência imposta pelo MCI (art. 7º, XI do MCI e art. 4º, caput do Código de Defesa do Consumidor). E, no caso de apps da Administração Pública, ela ganha ainda status constitucional (art. 37, caput, da Constituição Federal). A situação de emergência e a adoção de medidas associadas emprestam ainda mais relevância ao princípio, que passa a ser a contrapartida necessária aos eventuais impactos a direitos fundamentais.
Resultados
Apenas Coronavírus SUS não possui política de privacidade.
Mesmo no caso dos aplicativos que apresentaram políticas de privacidade, verificou-se a baixa qualidade das informações apresentadas, com pouca abrangência dos principais tópicos a respeito de atividades de tratamento de dados pessoais. Duas foram as exceções. A primeira delas é o app da Caixa, que apresenta no website do banco uma política consistente, porém geral a todos os serviços online da instituição. Isto é, refere-se aos potenciais tratamentos de dados pessoais ocorridos em todos os seus serviços online. A partir da análise que realizamos, restrita à funcionalidade de acompanhamento da solicitação do auxílio, não identificamos termos de uso específicos para esse app.
A segunda exceção é o OpenWHO da OMS, que explica as informações coletadas e suas respectivas finalidades, os agentes de tratamento envolvidos no ciclo de tratamento dos dados, outros tratamentos realizados e a previsão de um canal de comunicação para que o usuário se oponha às atividades do app e reivindique seus direitos. A política do aplicativo, contudo, está disponível apenas em inglês, o que impõe dificuldades à sua acessibilidade e real compreensão por grande parte dos usuários brasileiros.
Se os aplicativos analisados não informam a respeito do tratamento que realizam para os objetivos do app, também não o fazem quanto a eventual tratamento posterior dos dados – isto é, para outras finalidades além daquelas com as quais o usuário consentiu. Considerando o potencial que os dados coletados têm de fornecer informações e qualificar o debate público e pesquisas a respeito da pandemia, esses novos usos deveriam ser considerados. Eles demandam, contudo, salvaguardas para a proteção dos usuários, como a anonimização dos dados.
Apenas quatro aplicativos afirmaram expressamente realizar tratamentos posteriores. O app da OMS informa anonimizar os dados dos usuários para utilizá-los no aprimoramento do website e da experiência de aprendizagem dos usuários. O Atende em Casa – PE e Telemedicina Paraná permitem a utilização dos dados de maneira agregada por meios de comunicação e em publicações científicas e educacionais. O Coronavírus SP, por sua vez, afirma que os dados “poderão ser utilizados sem prévia autorização, para fins de interesse público”. A medida parece descartar o consentimento do usuário a esses novos tratamentos baseando-se no amplo e indefinido conceito de “interesse público”. A redação da política de privacidade do app parece indicar uma racionalidade que exclui o Poder Público das obrigações e limitações impostas pelo direito à proteção de dados dos usuários. Tal direito, pelo contrário, é garantia de fundamental importância diante do potencial emprego de medidas de vigilância estatal, além de permitir responsabilizar também a Administração Pública por eventuais danos e prejuízos aos titulares dos dados. É paradoxal nesse sentido o aplicativo afirmar expressamente que está em conformidade com a LGPD (assim como o Cachoeirinha contra o Coronavírus faz) – já que a lei conta com um capítulo específico destinado a regular e responsabilizar o tratamento de dados pessoais feito pelo Poder Público.
Outro ponto que analisamos dentro desta categoria foi o compartilhamento dos dados dos usuários com terceiros. O Coronavírus SUS é silente a esse respeito, mas o Lumen detectou que há tráfego de dados para a empresa Dynatrace. O Coronavírus SP afirma compartilhar dados apenas dentro da estrutura organizacional da Administração Pública, sem o consentimento dos usuários, para o funcionamento de outros serviços públicos e o atendimento de demanda administrativa, judicial ou policial.
Atende em Casa – PE e Telemedicina Paraná afirmam compartilhar apenas dados agregados com meios de comunicação e para fins de pesquisa. O Lumen detectou, contudo, tráfico de dados para domínio relacionado ao Google Ads no caso do app do Paraná. Saúde Osasco informa realizar compartilhar dados com “parceiros, desenvolvedores e prestadores de serviços em geral”, sem, contudo, identificar esses atores – identificamos tráfego de dados para a empresa Eicon Brasil.
O Cachoeirinha contra o Coronavírus não trata dessa questão, mas observamos que realiza tráfego de dados para dois domínios, adrianodaniel.com.br e maps.googleapis.com – mas não há recurso de mapas no aplicativo. Quanto aos apps OpenWho e Auxílio Emergencial, detectamos tráfego de dados para domínios relacionados a Google Ads e Google Analytics (no caso específico do app da OMS).
Por fim, quanto à responsabilização daqueles que realizam tratamento de dados pessoais, tema central nas discussões a respeito dos direitos dos titulares de dados pessoais, a análise dos apps apontou uma curiosa inversão. Nos casos em que as políticas tratam de responsabilidade, elas o fazem para se eximir de quaisquer responsabilidades (Atende em Casa – PE e Coronavírus SP) ou para responsabilizar quase que totalmente o usuário por eventuais problemas (Cachoeirinha contra o Coronavírus). Nada se diz acerca das responsabilidades daqueles cujas atividades têm potencial de causar danos e prejuízos aos usuários.
4. SEGURANÇA
O app informa sobre medidas de segurança?
O app transfere dados de forma segura (HTTPS)?
O código do app é aberto?
Nesta categoria, elaboramos parâmetros mínimos que, embora não isentem de riscos, indicam o esforço de minimizá-los nos aplicativos analisados. Observamos, primeiro, a existência de informações de segurança nas políticas de privacidade e/ou termos de uso de aplicativos. Também identificamos, com o emprego do Lumen, a forma como é realizada a transferência de dados e verificamos se são abertos os respectivos códigos.
Quanto a este último parâmetro, cabe ressaltar que sua adoção como métrica de segurança dialoga com a possibilidade posta de revisão e correção de bugs e falhas de segurança pela comunidade de software aberto, com a urgência da correção uma vez identificada a falha e com os efeitos da exposição a escrutínio público sobre as cautelas tomadas por desenvolvedores. As vulnerabilidades de sistemas de código aberto tendem a ser mais rapidamente identificadas e corrigidas.
Resultados
Em regra, os apps não informam sobre as medidas de segurança que adotam. Apenas o aplicativo da OMS, o Atende em casa – PE e Saúde Osasco o fazem. O Atende em Casa – PE reproduz apenas o artigo 13 da LGPD, que trata das medidas de segurança associadas a dados sensíveis. Saúde Osasco informa somente em sua política tomar “as severas medidas cabíveis” em caso de conduta ilegal de terceiros.
Por outro lado, os apps transferem dados de maneira segura. Apenas Coronavírus SUS transfere uma pequena parte dos dados (menos de 3%) sem o uso de criptografia. Finalmente, apenas Telemedicina PR afirma ter código aberto em sua política de privacidade. O aplicativo da OMS, por sua vez, faz uso de recursos que têm códigos abertos.
5. PRINCIPAIS ACHADOS
Um sumário dos achados da pesquisa:
- Entre os brasileiros, apenas Telemedicina PR afirma ter código aberto em sua política de privacidade.
- Aceitação integral dos termos de uso e/ou política de privacidade, em regra, condiciona o uso do app. No Coronavírus SUS, do uso “decorre” o consentimento. Coronavírus SP, Saúde – Osasco e Atende em casa PE primeiro coletam dado – preenchimento do cadastro – e só depois apresentam termo de uso e política de privacidade.
- Mesmo nos aplicativos que as solicitam, uma fração minoritária das permissões são solicitadas de maneira específica.
- Os termos da política de privacidade do app da OMS, claros e completos, representam uma boa prática entre os apps avaliados.
- Atende em casa PE e Telemedicina Paraná têm políticas de privacidade semelhantes. Ambos preveem que “ao inserir informações, o usuário está realizando uma “contribuição” “de forma agregada (nunca individual) a outros meios de comunicação, e para discutir ou referenciá-lo em quaisquer publicações científicas e educacionais”. Estabelecem ainda que “o usuário concede uma licença perpétua, isenta de royalties, licença incondicional para esse aplicativo à Secretaria de Estado da Saúde”.
- Apenas Saúde – Osasco se compromete a informar alterações na política de privacidade aos usuários. O aplicativo da Caixa embora também o faça, não conta com política de privacidade específica ao app.
- Auxílio Emergencial apresenta uma política de privacidade geral, i. e. aplicável a todos os serviços online da Caixa. O Lumen detectou a coleta da identificação do S.O. Android e do modelo do dispositivo.
- Coronavírus SP proíbe compartilhamento ou comercialização para fora da “estrutura organizacional” da Administração Pública, mas prevê possibilidade de compartilhamento com outros serviços públicos digitais ou para atender demanda judicial ou policial (“cooperação judicial, policial e administrativa”) sem a autorização dos usuários.
- Coronavírus SUS transfere dados (pequena parcela) de maneira não criptografada. O app também não tem política de privacidade.
- O Lumen Monitor detectou no app de Cachoeirinha fluxo de dados para um domínio particular identificado pelo nome de uma pessoa e para o “maps.googleapis.com”, apesar de não utilizar mapa e solicitar o endereço do usuário em um formulário a ser preenchido manualmente.
Pesquisa: Alessandra Gomes, Maria Luciano, Nathalie Fragoso e Victor Pavarin
Colaboração: Clarice Tavares, Francisco Brito Cruz e Mariana Valente
___
[1] Para isso, realizamos uma busca na PlayStore em 22.04.2020 utilizando os termos “coronavírus”, “covid”, “epidemia” e “pandemia” e selecionamos os aplicativos de todos os entes federativos que visam conter a disseminação da COVID-19. Também incluímos os aplicativos “Caixa – Auxilio Emergencial” e “OpenWho”, da Organização Mundial da Saúde, aquele pelo papel de mediação de acesso à principal medida de proteção social ensejada pela pandemia e este por veicular informação da organização que busca coordenar a resposta global ao vírus.