Advocacia Pública em Estudo

LGPD

Administração Pública e tratamento de dados pessoais para pesquisa científica

Diálogo entre a Lei de Acesso à Informação e a Lei Geral de Proteção de Dados Pessoais

dados pessoas e pesquisa científica
Crédito: Pixabay

O Poder Público, enquanto responsável por inúmeras bases de dados pessoais, deve atender às exigências legais de proteção dessas informações, observando a incidência simultânea, na matéria, da Lei de Acesso à Informação (LAI; Lei nº 12.527/2011) e da Lei Geral de Proteção de Dados Pessoais (LGPD; Lei nº 13.709/2018). Na prática, a realização de pesquisas científicas se destaca como uma das frequentes hipóteses que demandam o tratamento de dados pessoais pela Administração. Cabe, então, à advocacia pública orientar os gestores a respeito dos balizamentos jurídicos para a atuação estatal nessa temática.

É o que esse artigo se propõe a analisar.

Inicialmente, cabe ressaltar que, como ponto de convergência entre as legislações, o direito brasileiro adotou o conceito amplo de dado pessoal, como aquele referente à pessoa natural identificada ou identificável (art. 4º, IV, LAI e art. 5º, I, LGPD). Por outro lado, o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, é caracterizado como anonimizado (art. 5º, III, LGPD).

A qualificação do dado como pessoal ou anonimizado é de extrema relevância, em virtude da diferenciação de disciplina aplicável. Nessa direção, o artigo 12, caput, da LGPD estabelece que os dados anonimizados não são considerados dados pessoais para os fins da lei.

Exemplifique-se com o desenvolvimento, por órgão estatal, como medida de transparência, de portal de dados abertos, isto é, sítio eletrônico em que sejam disponibilizadas diversas informações publicamente, incluindo dados anonimizados. Como uma das múltiplas consequências desta divulgação de dados à população, restará facilitado o acesso de pesquisadores a informações para o desenvolvimento de estudos.

Faz-se necessário, todavia, o controle da efetividade do processo de anonimização, devendo ser utilizados os meios técnicos razoáveis e disponíveis no momento do tratamento, a partir dos quais o dado perca a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI, LGPD).

Ocorre que, em diversas hipóteses, o objeto da pesquisa científica acaba por demandar o acesso a dados pessoais (isto é, não anonimizados), sob pena de se inviabilizar o estudo. Nesse caso, há autorização para o tratamento de dados?

Nesse ponto, a LGPD, em seu artigo 7º, IV, permite o tratamento de dados pessoais para a realização de estudos por órgão de pesquisa (art. 5º, XVIII, LGPD), independentemente de consentimento do titular, garantida, sempre que possível, a anonimização.

Por outro lado, a LAI autoriza, em seu artigo 31, § 3º, II, o acesso a dados pessoais, independentemente de consentimento do titular, para a realização de pesquisas científicas, desde que estas sirvam a interesses públicos ou gerais que encontrem previsão legal, mas veda a identificação da pessoa a que as informações se referirem. Tal disposição não significa que o acesso por órgão de pesquisa somente pode ser autorizado para dados anonimizados. Isso porque, a bem da verdade, dados anonimizados não são dados pessoais. A Lei de Acesso à Informação, no artigo 31, § 3º, II, pretendeu justamente assegurar o acesso aos dados pessoais para fins de pesquisa científica, dado o interesse público envolvido.

Assim, a interpretação a ser dada é a de que a LAI veda a identificação do titular dos dados pessoais na divulgação da pesquisa científica, mas não no momento anterior de acesso a tais informações pelos pesquisadores para o desenvolvimento do estudo, desde que este acesso seja efetivamente necessário para a finalidade almejada. Caberá, portanto, aos agentes do Estado ou aos pesquisadores a anonimização do dado antes de tornar público o estudo.[1]

Posta, portanto, a premissa de que tanto a LAI quanto a LGPD autorizam o tratamento de dados pessoais para a realização de pesquisa científica, quando assim se fizer efetivamente necessário para se alcançar finalidade legítima, há que se destacar duas hipóteses que demandam cautela redobrada na operação: os dados pessoais sensíveis e os dados pessoais de crianças.

Exemplifique-se com a celebração de Acordo de Parceria de PD&I (art. 9º, Lei de Inovação) para a realização de atividade de pesquisa, desenvolvimento e inovação, no bojo do qual pode ser necessário o compartilhamento, pela Administração Pública, de dados clínicos de pacientes. Cuida-se de dado pessoal sensível, vez que relativo à saúde (art. 5º, II, LGPD).[2] Anote-se que a qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros.

Nessa temática, cabe ressaltar que, em linhas gerais, a legislação autoriza o tratamento de dados pessoais sensíveis, independentemente de consentimento do titular, quando indispensável para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização (art. 11, II, “c”, LGPD).

Cabe ao agente de tratamento, contudo, cautela redobrada no cumprimento do dever de proteção dos dados pessoais sensíveis, em virtude de constituírem o núcleo duro do direito fundamental à privacidade.

Destaca-se, aqui, a importância de atendimento aos princípios da finalidade, adequação, necessidade e não discriminação, de sorte que o tratamento deve corresponder ao mínimo necessário e compatível com o atingimento de objetivo legítimo, específico e explícito, sendo que tal utilização não poderá se dar para fins discriminatórios ilícitos ou abusivos (art. 6º, I, II, III e IX, LGPD).

Fundamental, ainda, atentar para a manutenção de ambientes controlados e seguros no tratamento desses dados, prevenindo-se a ocorrência de danos (art. 6º, VII e VIII, LGPD). Em caso de estudos em saúde pública, a LGPD possui previsão específica no artigo 13, autorizando, sob condições, o acesso de órgãos de pesquisa a bases de dados pessoais.

Isto posto, passa-se à segunda ilustração. Como visto, se é certo que a legislação autoriza o tratamento de dados pessoais para fins de pesquisa, cabe relembrar que essa mesma normativa também impõe a proteção das informações pessoais, por meio da adoção de medidas de segurança e de prevenção de danos.

Assim, visando à compatibilização entre acesso e proteção, imagine-se que órgão da Administração Pública pretenda criar uma espécie de “sala segura”, ambiente físico controlado pelo Estado em que pesquisadores poderiam ter acesso a dados pessoais, sob a vigilância de servidores do órgão e com o emprego de tecnologias de monitoramento e de segurança da informação. Suponha-se, ainda, que a base de dados desse exemplo, a que teria acesso o pesquisador na “sala segura”, seja de informações relativas à educação básica.

A iniciativa encontraria respaldo na legislação, desde que sua implementação atendesse às premissas já elencadas de observância dos princípios da finalidade, adequação, necessidade, segurança e prevenção.  Por se tratar, no exemplo concebido, de informações relativas à educação básica, coloca-se aqui a questão da disciplina conferida pela LGPD ao tratamento de dados pessoais de crianças. Embora o artigo 14, § 1º, da LGPD exija consentimento específico e em destaque de um dos pais ou do responsável legal do menor, o dispositivo não pode ser interpretado de forma isolada, como microssistema imune às demais previsões da lei.

Assim, a interpretação sistemática a ser dada à legislação, conforme a Constituição e à luz da ponderação dos interesses incidentes, é a de que também se aplicam, no caso de crianças, as hipóteses previstas no artigo 7º da LGPD de autorização legal para o tratamento de dados pessoais independentemente de consentimento, como no inciso IV, que versa sobre a finalidade de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização.

O consentimento – que, no caso de dados pessoais de crianças, recebe disciplina própria no artigo 14, § 1º, devendo ser específico e em destaque, fornecido por um dos pais ou pelo representante legal do menor – é apenas uma das bases legais para o tratamento de informações pessoais, o que não exclui as demais hipóteses autorizativas contempladas na LGPD que independem de consentimento. Portanto, no caso de tratamento de dados pessoais de crianças para fins de estudos por órgão de pesquisa, dispensa-se o consentimento dos pais ou do responsável legal do menor, por força da previsão do artigo 7º, IV, da LGPD.[3]

Em síntese, tanto a LGPD quanto a LAI permitem o tratamento de dados pessoais para a realização de pesquisas científicas, inclusive de dados pessoais sensíveis e daqueles titularizados por crianças. Nessas duas últimas situações, contudo, a cautela no tratamento das informações deve ser redobrada.

Diante de solicitação de acesso, fundamental verificar se há hipótese legalmente prevista que autorize o fornecimento do dado, se a finalidade pretendida é legítima, específica e explícita, e se a operação é compatível com o atingimento do propósito alegado e se limita ao mínimo necessário para tanto. Devem ser considerados, ainda, os princípios da não discriminação e do melhor interesse da criança, bem como o comando de manutenção de ambientes controlados e seguros no tratamento dos dados pessoais, prevenindo-se a ocorrência de danos.


O voto de despedida do ministro Celso de Mello no STF e a mudança de regimento interno da Corte envolvendo julgamentos da Lava Jato são os assuntos discutidos no episódio 38 do podcast Sem Precedentes. Ouça:

——————————

[1] Conforme se extrai do relatório elaborado pelo Grupo de Trabalho constituído pela Resolução PGE nº 41, de 10 de outubro de 2018.

[2] Para além disso, cabe registrar as preocupações éticas nas hipóteses que envolvem, especificamente, a participação de seres humanos em pesquisas, objeto de Termo de Consentimento Livre e Esclarecido (TCLE).

[3] Nesse sentido, v. TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: RT, 2019, pp. 318-319.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito