Os dados pessoais sensíveis na era do Big Data
Seria o inciso II do art. 5º da LGPD de natureza exemplificativa?
quarta-feira, 3 de março de 2021
Atualizado às 11:41
Pelas disposições preliminares da lei 13.709/18, LGPD, resta clara a intenção do legislador em proteger os direitos de personalidade da pessoa natural frente às contemporâneas transformações das atividades de tratamento de dados pessoais realizadas com fins econômicos. Como resultado, tais atividades passam a ter de se parametrizar, necessariamente, por propósitos legítimos, específicos, explícitos e informados.
No que tange à exceção do escopo protetivo da norma, para além das disposições do artigo 4º,1 tem-se os dados anonimizados.2 Estes são descritos como os dados que, após a utilização de meios técnicos e disponíveis na ocasião de seu tratamento, não podem ser associados a um titular.3 "[O]u seja, aquele que é incapaz de revelar a identidade de uma pessoa".4 Importante ressaltar que dados anonimizados não se confundem com os pseudominizados,5 pois, essa técnica de desassociação dos dados à pessoa do titular pode ser revertida através das informações mantidas sob o poder do controlador.
As atividades de tratamento de dados pessoais, sejam elas desenvolvidas com dados pessoais, sensíveis ou de crianças e adolescentes, extraem, necessariamente, signos e elementos que, em maior ou menor grau, possibilitam inferências aptas a caracterizar e identificar a pessoa natural.6
Logo, ao assegurar à pessoa natural a titularidade sobre seus dados pessoais,7 a LGPD apresenta regras referentes à tutela jurídica do dado do titular por meio de três gradações que, embora abarcadas pelos mesmos fundamentos e princípios gerais previstos na lei, comportam diferentes regimes de proteção. Nesse sentido, o capítulo segundo da norma, destinado ao tratamento de dados pessoais, traz a seguinte seção: (i) requisitos para o tratamento de dados pessoais;8 (ii) tratamento de dados pessoais sensíveis;9 e (iii) tratamento de dados pessoais de crianças e de adolescentes.10
A distinção preceituada pela LGPD não surge como uma mera técnica legislativa. A implementação de mecanismos jurídicos destinados a conferir diferentes níveis de proteção a determinadas categorias de dados ou indivíduos busca corrigir e amenizar as profundas assimetrias informacionais dos titulares frente aos agentes de tratamento.
Nesse cenário, verifica-se que a definição de dado pessoal trazida pela LGPD detém larga amplitude semântica,11 ao passo que, de forma restritiva, o dado pessoal se sensível seria aquele sobre "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural."12
Na LGPD, os dados pessoais sensíveis encontram específica guarida na seção II, do capítulo destinado ao tratamento de dados pessoais. Sobre o assunto, importante sublinhar que a instituição de um sistema específico destinado à tutela dos dados pessoais sensíveis não é uma exclusividade da LGPD, podendo ser verificado em grande parte das legislações da América do Sul sobre privacidade e proteção de dados pessoais (Chile, Uruguai, Argentina, Colômbia), bem como na revogada Diretiva Europeia 95/46 (art. 8º) e no atual Regulamento Geral sobre a Proteção de Dados da Europa (art. 9º). À vista de tais considerações, percebe-se a intenção do legislador em tratar de forma isonômica os dados pessoais considerados mais vulneráveis que, se expostos a violações, extremam os riscos dos direitos ligados à liberdade, à privacidade e ao livre desenvolvimento da personalidade humana dos titulares.
Neste diapasão, em razão de sua natureza, as bases legais justificadoras das atividades de tratamento com dados pessoais sensíveis são mais específicas e restritivas, de modo a impossibilitar operações de tratamento fundadas (i) na execução de contrato ou de procedimentos preliminares; (ii) em interesses legítimos do controlador ou de terceiros; ou (iii) na proteção do crédito.13
Ocorre que, na economia movida a dados, os indivíduos cada vez mais necessitam disponibilizar seus dados para terem acesso a produtos e serviços. Neste contexto, uma miríade de processos e atividades de tratamento são desenvolvidos por grandes grupos econômicos em ambientes virtuais sem que o titular possa ou consiga ter conhecimento.
Desse modo, mesmo sendo possível verificar a preocupação do legislador com a tutela dos dados pessoais sensíveis, no plano do atual estágio de desenvolvimento tecnológico das técnicas de Big Data, mineração de dados pessoais e criação de perfis comportamentais, capazes até mesmo de reidentificar titulares a partir de dados anonimizados,14 a distinção entre dados pessoais e sensíveis se torna cada vez mais tênue.
Na atualidade, as empresas nem sequer precisam consultar nosso histórico acadêmico para descobrir nossas preferências literárias. Após uma pesquisa online sobre um autor, um filme ou documentário, já podemos ser associados a bancos de dados de gêneros literários de uma Big Tech de comércio eletrônico.
A partir das técnicas de mineração de dados aplicadas ao conteúdo de nossas comunicações eletrônicas pode-se obter informações de caráter sensível relacionadas a experiências e emoções pessoais, preferências sexuais e visões políticas, cuja divulgação pode resultar em danos pessoais e sociais, perda econômica ou constrangimento. Além disso, os metadados relativos a essas comunicações, como números discados, sites visitados, localização geográfica, hora, data, podem permitir que conclusões precisas sejam inferidas sobre as pessoas envolvidas na comunicação, tais como as suas opções religiosas, políticas, hábitos, interesses e medos.
No ambiente de trabalho, a dinâmica parece ser a mesma. As tecnologias de Big Data cada vez mais são utilizadas em processos seletivos. É mais fácil e rápido permitir que programas de software processem algumas centenas de currículos antes da triagem realizada pelo setor de Recursos Humanos. Dessa forma, buscam-se decisões mais técnicas e qualificadas que as humanas. Ocorre que os sistemas automatizados nem sempre estão devidamente calibrados para somente inferir informações profissionais das análises de currículos, ainda mais quando tais sistemas operam conectados a plataformas digitais que podem obter informações oriundas de redes sociais ou motores de busca da rede.
Assim, percebe-se que tais inferências, em muitos dos casos, dirão respeito a dados pessoais sensíveis sem que esse seja o objetivo precípuo da atividade.
Quanto à criação de perfis comportamentais, esta pode ser desenvolvida por meio dos corretores de dados, agências de crédito, empresas de análise de dados e marketing direto. Esses agentes de tratamento15 misturam e recombinam, incessantemente, os dados pessoais em busca de padrões que atendam aos seus interesses econômicos. Em última análise, até mesmo os especialistas têm dificuldade para compreender exatamente como os dados fluem na nova economia.16
Somam-se às questões de índole tecnológica, o fato de que, por doze vezes,17 a LGPD enfatiza a necessidade de se observar "os segredos comercial e industrial". A expressão não foi inserida no texto legal por mera causalidade, e, se analisada com maior acurácia poder-se-á perceber que, por meio dela, importantes direitos dos titulares são minimizados como os direitos (i) de portabilidade, (ii) de confirmação da existência de tratamento, (iii) de revisão frente a decisões automatizadas e (iv) de acesso facilitado às informações das atividades de tratamento.
A inobservância das consequências desses processos nos direitos e interesses dos titulares possibilitará o recrudescimento das obscuras e enviesadas atividades algorítmicas existentes no que se conhece como "Black Box Society".18
Não à toa, de acordo com o art. 11, § 1º da LGPD, aplica-se o regime jurídico atinente aos dados pessoais sensíveis a qualquer atividade de tratamento que, em razão do seu potencial lesivo, esteja apta a realizar inferências capazes de demonstrar as informações sensíveis do titular.
Destarte, infere-se que o sentido objetivo da LGPD, sua "mens legis", visa potencializar a tutela jurídica do titular quando, cumulativamente, eventuais interpretações, compilações ou cruzamentos realizados através de seus dados pessoais são capazes de revelar atributos de sua esfera mais íntima e sensível, colocando em risco seus direitos da personalidade, privacidade, bem como a proteção de seus dados pessoais.
Neste passo, importante destacar que mesmo sendo possível afirmar que nas hipóteses em que o legislador buscou conferir um caráter exemplificativo a um dispositivo da norma, assim o fez por meio do uso da conjunção "como", consoante se depreende da redação do inciso X, art. 5º19, entendemos que em razão da LGPD objetivar a proteção (Schutzpflicht) de valores essenciais à existência digna do indivíduo na era digital, a restrição semântica do valioso preceito legal atinente aos dados pessoais sensíveis acarretaria riscos da maior gravidade à tutela dos direitos dos titulares.
Conclui-se, nesse viés, que os exemplos de dados pessoais sensíveis presentes no inciso II, do art. 5º da LGPD não se mostram taxativos. O dispositivo legal em apreço exibe, meramente, uma porção de possibilidades nas quais ficam caracterizados os dados entendidos como sensíveis, nos termos ali enumerados, sem a exclusão de casos não previstos, mas de igual modo possíveis na era do Big Data.
_________
1- Art. 4º, LGPD: Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
2- Art. 12, LGPD: Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
3- Art. 5º, III e XI, LGPD.
4- BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2ª Ed. Rio de Janeiro: Forense, 2021, p. 61.
5- Art. 13, § 4º, LGPD.
6- Tome-se como exemplos o nome, CPF, idade, sexo, data de nascimento, código postal, endereço eletrônico, dados de localização etc.
7- Arts. 2º, II e 17, LGPD.
8- Arts. 7º a 10, LGPD.
9- Arts. 11 a 13, LGPD.
10- Art. 14, LGPD.
11- Art. 5º, I, LGPD; dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
12- Art. 5º, II, LGPD.
13- Art. 11, I e II, LGPD.
14- Commons Science and Technology Committee. The Big Data Dilemma. UK House of Commons. Londres: 2016, p. 5.
15- Art. 5º, IX, LGPD; agentes de tratamento: o controlador e o operador.
16- PASQUALE. Frank. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press, 2015, p. 32.
17- Arts. 6º, VI; 9º, II; 10 § 3º; 18, V; 19, II; 19, § 3º; 20, § 1º; 20, § 2º; 38; 48, § 1º, III; 55-J, II e 55-J, X, LGPD.
18- The term "black box" is a useful meta phor for doing so, given its own dual meaning. It can refer to a recording device, like the data- monitoring systems in planes, trains, and cars. Or it can mean a system whose workings are mysterious; we can observe its inputs and outputs, but we cannot tell how one becomes the other. We face these two meanings daily: tracked ever more closely by firms and government, we have no clear idea of just how far much of this information can travel, how it is used, or its consequences. Tradução livre: O termo "caixa preta" possui um significado duplo. Pode se referir a um dispositivo de gravação, como os sistemas de monitoramento de dados em aviões, trens e carros. Ou pode significar um sistema cujo funcionamento é misterioso; em que se observa suas entradas e saídas, mas não é possível dizer como um se torna o outro. Enfrentamos esses dois significados diariamente: rastreados cada vez mais de perto por empresas e governo, não temos uma ideia clara de quão longe essas informações podem viajar, como são usadas ou suas consequências. PASQUALE. Frank. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press, 2015, p. 3.
19- Art. 5º, X, LGPD: tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Pedro Dalese
Bacharel em Direito pela Universidade Federal Fluminense (UFF), advogado do Escritório Luciano Tolla Advogados (Niterói/RJ) e especializado em Direito Digital e Proteção de Dados pela Escola Superior de Advocacia (ESA/OABRJ).
