O alcance da LGPD e repercussões para a atividade empresarial

A segunda parte de uma série sobre o tema

artigo anterior procurou demonstrar os fundamentos e os princípios estruturantes da nova Lei Geral de Proteção de Dados, sem os quais não é possível entender a base valorativa que, além de ter orientado várias das soluções nela previstas, certamente terá papel fundamental para a sua adequada interpretação.

Também se procurou demonstrar, a partir da largueza do conceito de tratamento de dados e uso compartilhado de dados, que o objeto de aplicação da lei é extremamente amplo, o que deve ensejar uma grande transformação não apenas das relações empresariais, mas de grande parte das relações sociais, o que se reforça com a eficácia extraterritorial da LGPD, nos termos definidos pelo seu art. 3º.

É importante reiterar que a LGPD aplica-se a todos aqueles que realizam tratamento de dados, incluindo o governo e as entidades destinadas à realização de atividades não lucrativas, como as instituições de pesquisa. Todavia, espera-se impacto significativo sobretudo na economia, seja diante do valor econômico dos dados, seja porque a atividade empresarial depende cada vez mais deles.

Para que não haja dúvida da amplitude da sua aplicação, a LGPD, já no seu art. 5º, define como controlador toda “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (inciso VI) e como operador toda “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (VII), agrupando-os conjuntamente na categoria de agentes de tratamento (inciso IX).

Como se pode ver, qualquer pessoa, natural ou jurídica, de direito público ou privado, pode ser considerada controladora ou operadora desde que, respectivamente, tenha poder decisório sobre tratamento de dados ou realize o referido tratamento em nome do controlador, independentemente da finalidade para a qual os dados estejam sendo utilizados. Embora a atuação de cada agente tenha peculiaridades para efeitos da definição do regime jurídico, há várias hipóteses de deveres comuns, assim como de responsabilidade solidária entre os dois, além da possibilidade de o próprio operador ser equiparado ao controlador (LGPD, art. 42).

A LGPD também criou a figura do encarregado, definido como “pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional” (art. 5º, VIII), o que terá repercussões sobre a organização das empresas. Aliás, sobre os impactos organizacionais da LGPD, é importante ressaltar que, ao contrário do RGPD europeu (art. 30, 5), não houve preocupação específica de tratamento diferenciado para micro, pequenas e médias empresas.

Feitos esses esclarecimentos iniciais, reitera-se que o objetivo principal da LGPD é o de proteger os dados pessoais, sensíveis ou não, de pessoas naturais, qualquer que seja o meio ou a tecnologia empregada para o tratamento. Não há referência na lei brasileira sobre a proteção dos dados de pessoas mortas, ao contrário do RGDP europeu, cujos considerandos reconhecem expressamente que ele não se aplica aos dados pessoais de pessoas falecidas, devendo os Estados-membros estabelecer regras para tal tratamento.

Se o objetivo da LGPD é tutelar os dados pessoais, ficam de fora do escopo e do alcance da lei os chamados dados anônimos, pois estes não são considerados pessoais, na medida em que o pressuposto de definição destes últimos é a identificação ou ao menos a possibilidade de identificação do titular. É o que decorre da interpretação sistemática dos art.s 1º e 5º, I, da LGPD.

Todavia, é importante advertir que, a partir de dados pessoais, é possível se chegar a dados anônimos ou, mais precisamente, anonimizados. Na verdade, ao lado da minimização, a anonimização e a pseudonimização têm sido vistas como técnicas ou salvaguardas para a utilização de dados sem os riscos normalmente inerentes ao tratamento dos dados pessoais.

Ao contrário da minimização, que tem por objetivo simplesmente reduzir o número de dados pessoais ao mínimo necessário para cumprir a finalidade legítima que justifica o tratamento, sem retirar dos dados o seu caráter de pessoalidade, a anonimização e a pseudonimização têm por objetivo dissociar os dados do seu verdadeiro titular.

Apesar das discussões sobre a distinção entre esses dois métodos, a anonimização é vista como irreversível, enquanto que a pseudonimização, que se limita a substituir a identidade pessoal por outra não verdadeira, é reversível, desde com o auxílio de informações adicionais. Para facilitar a compreensão, enquanto a pseudonomização possibilita que se saiba que determinados dados se referem a uma só pessoa, ainda que não se saiba qual pessoa, isso não é possível na anonimização.

Tal discussão é importante porque a LGPD, ao contrário do RGDP, opta expressamente pela técnica da anonimização em seu art. 5º, XI, definindo-a como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”

Como se observa pela definição legal, o propósito da anonimização é de levar a resultados irreversíveis. Daí o conceito legal de dados anonimizados, como aqueles relativos “a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (art. 5º, III).

Consequência natural da anonimização é excluir os dados daí resultantes da definição de dados pessoais. Daí por que a LGPD, no seu art. 12, prevê que “Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.” Por sua vez, o 1º do art. 12 esclarece que “A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.”

A ressalva do § 1º supratranscrito é importante porque, a rigor, com os recentes avanços tecnológicos, há o risco de que todo processo de anonimização possa ser, de alguma forma, revertido, com a consequente identificação dos titulares dos dados. Daí a solução de se definir o procedimento a partir da segurança do meio técnico utilizado, a partir de critérios de razoabilidade, inclusive no que diz respeito aos custos.

Logicamente que a ideia de dados anonomizados também precisa ser compreendida diante da crescente expansão do conceito de identificadores. Não é sem razão que, em seu considerando 30, o RGDP adverte que “as pessoas singulares podem ser associadas a identificadores por via eletrônica, fornecidos pelos respectivos aparelhos, aplicações, ferramenta se protocolos, tais como endereços IP (protocolo internet), ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares”. Logo, não há que se cogitar de dado anonimizado quando for possível associá-lo a qualquer identificador do usuário.

O critério para conceituar determinado dado como anonimizado é, portanto, a segurança da preservação da sua dissociação em relação aos titulares. Como isso envolve um exame das tecnologias e alternativas disponíveis, o 3º, do art. 12, da LGPD, disciplina que “A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais”, dispositivo que certamente restará inócuo se não houver a criação e o pleno funcionamento da autoridade nacional.

É importante advertir que tal matéria é igualmente importante para o RGPD europeu, embora este tenha optado pela pseudonimização, definida como o “tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável (art. 4º, 5).

Entretanto, o próprio RGDP, em seu Considerando 28, ressalva que “A introdução explícita da “pseudonimização” no presente regulamento não se destina a excluir eventuais outras medidas de proteção de dados.” Já no caso brasileiro, ao optar expressamente pela anonimização, a lei cria dificuldade ou mesmo impossibilidade para a utilização de outras técnicas.

Também no que diz respeito à pseudonimização, a técnica empregada para a dissociação dos dados pessoais em relação ao verdadeiro titular é fundamental para saber se o processo atingiu os seus objetivos. Em seu artigo 25, 1, o RGDP dispõe que “tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.”

É interessante notar, sob essa perspectiva, que tanto a anonimização como a pseudonimização são processos que, aliados a outras medidas de segurança, podem ampliar consideravelmente as possibilidades de tratamento de dados para fins diversos. Afinal, sendo os dados a matéria-prima do big data e do big analytics, muitos dos benefícios e inovações daí decorrentes poderiam ser bloqueados se houvesse maiores restrições em relação à utilização mesmo dos dados anonimizados.

Basta pensarmos na internet das coisas, nas cidades inteligentes, no machine learning e tantos outros meios ou tecnologias que se alimentam dos dados e se aperfeiçoam por meio deles. Entretanto, diante da existência de riscos ainda não suficientemente mapeados, há necessidade de se adotar muito cuidado com a anonimização, a fim de encontrar um equilíbrio entre o estímulo à inovação e a proteção dos direitos dos titulares dos dados.

Não há dúvidas de que este ponto ressalta a necessidade não apenas da existência da autoridade nacional para resolver tais questões, como também de razoável conhecimento da tecnologia, a fim de se avaliar a adequação e a razoabilidade das medidas tomadas para a anonimização e o grau de risco de sua reversão.

Por fim, ainda precisa ser ressaltado, sobre o tema, o 2º, do art. 12, da LGPD, segundo o qual “Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.” A questão dos perfis é de fundamental importância e será tratada a partir do próximo artigo, que abordará os requisitos legais para o tratamento dos dados pessoais e dos dados pessoais sensíveis.

Por Ana Frazão

Fonte: https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/o-alcance-da-lgpd-e-repercussoes-para-a-atividade-empresarial-05092018

 

 

 

Comentários

Comentários