A Lei 13.709, de 14/8/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), disciplina a proteção de dados pessoais, entendidos como aqueles que identifiquem pessoas naturais ou, ao menos, permitam a sua identificação[1]. Dados que não permitam tal identificação, tais como os dados anonimizados, não se sujeitam à proteção da LGPD[2]. A prática demonstra que a linha divisória entre dados pessoais e dados anonimizados é bastante tênue. De fato, há técnicas de tratamento de dados que, em regra, não necessitam da precisa identificação da pessoa natural relacionada aos dados tratados. Uma delas, o data-profiling, visa segregar pessoas naturais em determinadas categorias, sem que seja necessário identificá-las precisamente para obter informações comercialmente valiosas[3]. A sua aplicação permite identificar grupos de indivíduos que se exercitam continuamente, aos quais seriam dirigidas propagandas relacionadas a produtos saudáveis, ou identificar bons pagadores para oferecimento de melhores taxas ou produtos financeiros diferenciados, ou, ainda, selecionar jovens bacharéis em Direito para lhes direcionar propagandas de cursos ou livros. Nesses casos, informações como nome, sobrenome e CPF seriam irrelevantes, criando a falsa impressão de que, de fato, a anonimização estaria assegurada. No entanto, a partir de analogias e comparações feitas por algorítimos complexos, é possível inferir a quem determinado dado anonimizado se refere, em um processo chamado reversão. Tome-se o exemplo de uma conhecida provedora de serviços de streaming, que, com intuito de melhorar seus algorítimos de seleção de filmes, disponibilizou as avaliações publicadas na plataforma, durante certo período de tempo. Para evitar a identificação dos avaliadores, a provedora se utilizou de técnicas de anonimização[4], alterando determinados dados constantes de seu banco, tais como datas de avaliação e notas. Para testar o processo de anonimização, pesquisadores buscaram correlacionar os dados disponibilizados pela provedora de serviços com outros dados publicados em um conhecido website de avaliações de filmes e séries. Com base nesse cotejo, feito automaticamente por algoritmos, foi possível identificar os avaliadores dos filmes, revertendo, assim, a anonimização[5]. A LGPD não se descuidou dessa possibilidade, estabelecendo que não são anonimizados os dados cuja anonimização puder ser revertida, com esforços razoáveis e por meios próprios. Cabe indagar, no exemplo acima, se a conduta dos pesquisadores que reverteram a anonimização representaria um “esforço razoável” e se o seu trabalho teria sido executado por “meios próprios”. Essa dúvida não se encontra resolvida no Direito brasileiro, que ainda não traçou os limites da anonimização. Vale buscar subsídios na experiência europeia derivada da aplicação de sua legislação sobre proteção de dados, que serviu de inspiração para a LGPD. No âmbito europeu, a questão foi esclarecida por um órgão técnico consultivo sobre privacidade, no Parecer 05/2014 sobre Técnicas de Anonimização, segundo o qual não são considerados anônimos os dados que permitam a individualização da pessoa (singling-out); permitam estabelecer vínculos com outros dados que, por sua vez, possibilitem a identificação da pessoa (linkability); ou possuam elementos que permitam inferir dados pessoais (inference)[6]. No Brasil, espera-se que a recém-criada Autoridade Nacional de Proteção de Dados, no exercício de sua competência de editar normas sobre privacidade e proteção de dados, manifeste-se prontamente, considerando a sensibilidade da questão[7]. Enquanto tal esclarecimento não vier, os agentes de tratamento de dados deverão desenvolver políticas robustas de controle de anonimização, com o apoio dos respectivos encarregados de proteção de dados e de profissionais com conhecimento técnico, jurídico e regulatório, de sorte a mitigar os riscos de eventual descumprimento da LGPD, causando prejuízos aos cidadãos e riscos de elevadas multas. [1] LGPD, artigo 5º, I. Pedro Silveira Campos Soares é sócio do Grebler Advogados, LLM pela Duke University School of Law e especialista em arbitragem, contratos internacionais e Direito Digital.
[2] Idem, artigo 12.
[3] Cf. o comentário de Valéria Reani sobre o assunto em https://www.conjur.com.br/2018-jun-15/valeria-reani-gdpr-compliancede-medidas-protetivas.
[4] No caso, a técnica utilizada foi a randomização.
[5] Cf. o relato de Bruno Bioni sobre o caso, in BIONI, Bruno. Xeque-Mate: O Tripé da Proteção de Dados Pessoais no Jogo de Xadrez das Iniciativas Legislativas no Brasil, 2015, p. 27, disponível em http://gomaoficina.com/wp-content/uploads/2016/07/XEQUE_MATE_INTERATIVO.pdf.
[6] Opinion n. 05/14 of the Data Protection Working Party, p. 10, disponível em https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
[7] LGPD, art. 55-J, II.