Agenda da Privacidade e da Proteção de Dados

Tecnologia

Dados ‘anônimos’ como antítese de dados pessoais: o filtro da razoabilidade

O 2º texto da série ‘Impactos operacionais e normativos da LGPD’

trabalhista, modernização, EPI
Crédito: Pixabay

A LGPD não se aplica a dados anonimizados. Com a recorrente publicação de estudos demonstrando as possibilidades de reversão de técnicas de anonimização, faz-se necessário estabelecer critérios e pressupostos para determinar o que configuraria, de fato, um dado anonimizado.

O segundo tema da série é a razoabilidade como filtro à identificabilidade de dados.

A antítese do conceito de dado pessoal seria um dado anônimo, ou seja, aquele que é incapaz de revelar a identidade de uma pessoa. Diante do próprio significado do termo, anônimo seria aquele que não tem nome nem rosto1.

Essa inaptidão pode ser fruto de um processo pelo qual é quebrado o vínculo entre o(s) dado(s) e seu(s) respectivo(s) titular(es), o que é chamado de anonimização2. Esse processo pode se valer de diferentes técnicas que buscam eliminar tais elementos identificadores de uma base de dados3, variando entre: a) supressão; b) generalização; c) randomização; e d) pseudoanonimização4. Tendo em vista o escopo deste ensaio, tratarei apenas das duas primeiras com o objetivo de apontar as implicações normativas de uma eventual dicotomia entre dados anônimos (anonimizados) e dados pessoais.

Gerenciando a identificabilidade dos dados: limites e possibilidades das técnicas de anonimização

Tomemos como exemplo um banco de dados relacionais, i. e. aquele estruturado por tabelas5, em que cada uma de suas colunas – que são chamadas de atributos6 – é a maneira pela qual os dados são organizados. É a correlação entre as colunas e as linhas dessa tabela que empresta valor (significado) aos dados, permitindo que deles seja extraído algo inteligível (informação)7:

Tabela 1 – Base de dados relacionais

Neste caso, para a aplicação das técnicas de supressão e generalização, deve-se identificar quais elementos poderiam ser modificados – suprimidos ou generalizados – para que o seu grau de identificabilidade seja eliminado ou reduzido:

a) supressão do CPF: por ser um identificador capaz de diferenciar até mesmo pessoas homônimas, sendo um identificador único; logo, a sua disponibilização, ainda que parcial – e.g., cinco primeiros dígitos –, não seria prudente;

b) generalização do nome completo: constaria apenas o prenome, desde que fosse observado que os nomes da base de dados não são comuns. O objetivo é evitar que um nome possa ser atribuído a um indivíduo em específico;

c) generalização da localização geográfica: em vez de disponibilizar o número completo do CEP, seriam divulgados apenas os seus primeiros dígitos. Assim, haveria uma localização menos detalhada, a fim de quebrar o vínculo de identificação desta informação com um sujeito;

d) generalização da idade: em vez de divulgar a idade exata, seria divulgada a faixa etária para viabilizar a categorização dos indivíduos como jovens, adultos ou idosos (coluna “E”) e, por outro lado, inviabilizar a sua individualização, dado o universo de pessoas que se enquadram naquela mesma faixa etária.

Tabela 2 – Base de dados relacionais anonimizada

Com maior ou menor grau de intensidade – e.g., supressão ou generalização – nota-se um método cujo mote é gerenciar circunstancialmente a identificabilidade de uma base de dados. As características de cada dado e a percepção de eles estarem inseridos em uma gama de informações devem orientar tal análise.

Por isso, não há um único método ou uma combinação perfeita ex ante para parametrizar o processo de anonimização, devendo-se analisar contextualmente como este deve ser empreendido para que os titulares dos dados anonimizados não sejam reidentificados, nem mesmo por quem procedeu à sua anonimização.

Amarrar o conceito teórico de dados anônimos a uma análise contextual, com os olhos voltados para a irreversibilidade do processo de anonimização, joga luz diretamente sobre o fator problemático dessa proposição: o seu caráter elusivo ou mesmo a sua impossibilidade teórica8.

Torna-se cada vez mais recorrente a publicação de estudos que demonstram ser o processo de anonimização algo falível. A representação simbólica de que os vínculos de identificação de uma base de dados poderiam ser completamente eliminados, garantindo-se, com 100% (cem por cento) de eficiência, o anonimato das pessoas, é um mito9. Sempre existirá a possibilidade de uma base de dados anonimizada ser agregada a outra para a sua reidentificação1011.

O conceito expansionista de dado pessoal e o filtro da razoabilidade

Por essa lógica, qualquer dado pessoal anonimizado detém o risco inerente de se transmudar em um dado pessoal12. A agregação de diversos “pedaços” de informação (dados) pode revelar (identificar) a imagem (sujeito) do quebra-cabeça, a qual era até então desfigurada (anônimo) – o chamado efeito mosaico.

Por isso, em princípio, eventual dicotomia entre dados pessoais e dados anônimos só guardaria coerência junto ao conceito reducionista de dados pessoais. Isso porque dados anônimos não são dados relacionados a uma pessoa identificada, demandando a reversão do processo de anonimização para se chegar aos respectivos titulares, sendo a sua identificabilidade remota (identificável) e não imediata (identificada).

Dessa forma, leis que adotam o conceito expansionista de dados pessoais e, ao mesmo tempo, estabelecem uma dicotomia deste com dados anônimos correriam o risco de ser tautológicas. Isso porque haveria uma redundância normativa, já que dados anônimos seriam, em última análise, potencial e provavelmente, dados relacionados a uma pessoa identificável.

Para não gerar tal incoerência, a única saída foi a adoção de um “filtro” que delimitasse a elasticidade do conceito expansionista – neste caso, o termo identificável –, sob pena de a fronteira entre dados pessoais e dados anônimos ser sempre transponível.

E, nesse sentido, o direito comunitário europeu13 e a LGPD14 valeram-se do critério da razoabilidade para delimitar o espectro do conceito expansionista de dados pessoais. Não basta a mera possibilidade de que um dado seja atrelado a uma pessoa para atrair o termo identificável15. Essa vinculação deve ser objeto de um “esforço razoável”16, sendo esse o perímetro de elasticidade do conceito de dado pessoal como aquele relacionado a uma pessoa identificável.

A contrario sensu, se para a correlação entre um dado e uma pessoa demanda-se um esforço fora do razoável, não há que se falar em dados pessoais. Nessa situação, o dado é considerado como anônimo, uma vez que o “filtro da razoabilidade” barra o seu enquadramento como aquele relacionado a uma pessoa identificável17. No próximo artigo da série, nós iremos traçar quais são os critérios significar o termo razoabilidade.

Com isso, há coerência em se estabelecer conceitos diferentes para tais espécies de dados, sobretudo sob o ponto de vista de uma dicotomia mutualmente excludente entre eles, que é delimitada pelo fator da razoabilidade18.

Do contrário, repita-se, haveria uma redundância normativa, na medida em que dados anônimos – sem o critério da razoabilidade – seriam sempre enquadrados dentro do conceito de dado pessoal, como aquele relacionado a uma pessoa identificável.

—————————————–

1 HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss da língua portuguesa. Rio de Janeiro: Objetiva, 2009, p. 140-141.

2 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006, p. 44-43.

3 COUNCIL OF EUROPE. Handbook on European Data Protection Law. Luxembourg: Publications Office of the Europe Union, 2014. Disponível em: <http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf>.

4 Para muitos, a pseudoanonimização não é considerada uma técnica de anonimização. Isso porque se substituem, apenas, os identificadores diretos – e.g., nome, CPF etc. – por pseudônimos – e.g., números aleatórios, de modo que a pessoa permanece sendo identificável em razão de tais pseudônimos serem um retrato detalhado indireto delas (WP 29, 2014, p. 20).

5 MANNINO, Michael V. Projeto, desenvolvimento de aplicações e administração de bancos de dados. Trad. Beth Honorato. São Paulo: McGraw-Hill, 2008, p. 555.

6 ROB, Peter. Sistemas de bancos de dados: projeto e implementação. Trad. All Tasks. São Paulo: Cengage Learning, 2011, p. 4.

7 Ibidem.

8 TEIXEIRA, Lucas. Teoricamente impossível: problemas com a anonimização de dados pessoais. Disponível em: <https://antivigilancia.org/pt/2015/05/anonimizacao-dados-pessoais/>.

9 NARAYANAN, Arvind; SHMATIKOV, Vitaly. Myths and Fallacies of “Personally Identifiable Information”. Communications of the ACM, v. 53, n. 06, p. 24, June 2010. Disponível em: <www.cs.utexas.edu/~shmat/shmat_cacm10.pdf>. Os autores reidentificaram diversas bases de dados anonimizados, como, por exemplo, a de um famoso provedor de aplicação de Internet – o caso Netflix Prize: eles “cruzaram” informações do IMDB com a base de dados anonimizada disponibilizada pela Netflix e conseguiram descobrir a identidade dos usuários da plataforma.

10 OHM, Paul. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization (August 13, 2009). UCLA Law Review, v. 57, p. 1749, 2010; Colorado Law Legal Studies Research Paper n. 9-12. Disponível em: <http://ssrn.com/abstract=1450006>.

11 NARAYANAN, Arvind; SHMATIKOV, Vitaly. Robust… Op. cit., p. 4.

12 TENE, Omer. Privacy law’s midlife crisis: a critical assessment of the second wave of global privacy laws. Ohio State Journal, v. 74, 2013, p. 1.242.

13 A Diretiva 95/46 e a sua proposta de regulamentação adotam os conceitos de razoabilidade, respectivamente, nas considerandas 26 (vinte e seis) e 23 (vinte e três).

14 Na definição de dados anônimos, de anonimização, bem como no dispositivo que prevê em quais hipóteses dado anonimizado pode ser considerado como dado pessoal, a LGPD faz alusão ao termo razoável(is) – respectivamente, arts. 5º, II e III, e 18.

15 ARTICLE 29, Data Protection Working Party. Opinion 04/2007 on the concept of personal data, p. 1749. Disponível em: <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf>. p. 15.

16 Essa é exatamente a terminologia utilizada pelo art. 12, caput, da LGPD: “Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”.

17 Ibidem, p. 21.

18 Sobre as disputas interpretativas em torno do conceito jurídico indeterminado de razoabilidade, veja-se: BIONI, Bruno Ricardo. Xeque-mate… Op. cit., p. 34-35; BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito