O advento da Lei Geral de Proteção de Dados (LGPD) iniciou uma mudança sem precedentes na cultura da proteção de dados do Brasil. Desta forma, surge a necessidade de compreender os conceitos estruturantes da regulamentação, de modo a garantir uma melhor compreensão da norma.
Portanto, o objetivo da presente publicação é ser introdutória, por meio da análise dos conceitos trazidos pela LGPD, vez que estes são íntimos da ciência da informação.
Antes de iniciar a investigação, cabe diferenciar o conceito de dado, do conceito de informação. Segundo Heide Silva,1 dado se trata de um fato isolado, de uma informação bruta sem valor entre si. Ou seja, sem o tratamento o dado não pode representar nenhum conhecimento. Por exemplo, no caso de uma pesquisa mercadológica, o dado isolado de apenas um único consumidor não poderia servir como estrutura para uma análise de mercado. Desta forma, somente depois da coleta e tratamento de dados de vários consumidores teríamos algo significativo do ponto de vista da análise de dados.
No tocante ao conceito de informação, Heide Silva2 define como sendo um dado que passou pelo processo de tratamento. Ou seja, o resultado do tratamento de dados é a informação. Neste sentido, a informação possui significado, no que diz respeito a poder contribuir com o processo de tomada de decisões. No exemplo da pesquisa mercadológica, os pesquisadores quando inserem os dados em um sistema e realizam o tratamento de dados, obtêm como resultado a produção da informação, capaz de fundamentar uma decisão sobre a estratégia de vendas de uma empresa.
Dito isto, a Lei Geral de Proteção de Dados (LGPD) aparentemente compreende tal diferenciação entre dado e informação, pois em seu art. 5º, inc. I, traz o conceito de dado pessoal como sendo a “[…]informação relacionada a pessoa natural identificada ou identificável”.3
Além disso, o legislador traz o conceito de dado pessoal sensível, que em resumo, trata-se de um dado pessoal que versa sobre etnia, raça, opção religiosa, política, biometria, informação genética e filiações a organizações/ sindicatos.4
Como o próprio nome já denota, os dados pessoais (sejam eles sensíveis ou não) são coletados de pessoas físicas, denominadas pela lei como titulares de dados.5 Um dos pontos que merece destaque é a figura do consentimento. Na presente publicação não irei me aprofundar na investigação a respeito do consentimento (haja vista o caráter introdutório da publicação). Em resumo, o consentimento pode ser compreendido como a manifestação livre, informada e inequívoca do titular com o tratamento de seus dados pessoais para uma finalidade determinada.6 Em grande parte das vezes é necessário a figura do consentimento para ocorrer o tratamento de dados, sendo que as hipóteses de dispensa estão descritas taxativamente na LGPD.
Caminhando na investigação dos conceitos, o legislador, de modo a não deixar dúvidas sobre o que é o tratamento de dados, traz no art. 5º inc. X da LGPD a seguinte definição:
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.7
É fato que todo dado necessite de um ambiente para ser armazenado, (seja em meio físico ou digital) por este motivo a LGPD traz o conceito de banco de dados, como sendo um “[…]conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico”.8
Evidentemente que nem sempre o tratamento de dados tem êxito em manter o princípio da segurança, ocorrendo incidentes, também conhecidos como data breaches,9 que é o acesso acidental ou intencional de dados ou banco de dados de forma não autorizada.10
A fim de minimizar, ou até mesmo evitar tais situações de vazamento de dados, surgem técnicas que se utilizam ferramentas, tais como a criptografia, para dissociar a identidade das pessoas aos dados pessoais.
A primeira técnica é a anonimização, mencionada no art. 12 da LGPD,11 que dispõe que os dados anonimizados não são considerados em regra como dados pessoais, tendo a exceção quando o processo de anonimização puder ser revertido, seja por meios próprios ou de outra forma com esforços razoáveis.12 Sendo assim, a anonimização trata-se basicamente de remover/modificar a identificação dos titulares aos dados pessoais, não sendo possível associá-los direta ou indiretamente a nenhum indivíduo.13
A pseudo-anonimização dos dados pessoais consiste na dissociação reversível dos dados pessoais dos seus titulares, onde a informação capaz de associar os titulares aos dados é mantida em ambiente controlado e seguro pelo controlador. Destaca-se que ao contrário da anonimização, a pseudo-anonimização se mantém sendo um dado pessoal para LGPD, haja vista sua reversibilidade para identificação do titular. Neubauer e Heurix,14 descrevem a utilização prática desta técnica na área da saúde (haja vista o preciosismo de tais dados), portanto, ocorre a divisão dos dados dos pacientes entre dois bancos de dados, um exclusivamente para dados médicos e outro para dados de identificação. Desta forma, faz-se necessário o acesso aos dois bancos de dados para vincular os dados aos seus titulares.
Por fim, a minimização dos dados significa que a coleta de dados pessoais tem de ser a mínima possível que possa alcançar a finalidade pretendida. De forma que quanto menos dados coletados, menor a probabilidade de prejuízo à pessoa natural.15 Em mesmo sentido, a minimização também pode se relacionar ao espaço de tempo em que são armazenados os dados, desta forma estes teriam de ficar armazenados o mínimo de tempo possível.16 Evidente que este mínimo tempo possível deverá observar no caso concreto as possíveis legislações aplicáveis como, por exemplo, o marco civil, a CLT e a Lei do FGTS.
Ainda falando sobre dados, cabe adentrar ao conceito de compartilhamento, portabilidade e interoperabilidade. Por compartilhamento a LGPD em seu art. 5º, inc. XVI conceitua como sendo a “[…]comunicação, difusão, transferência internacional, interconexão de dados pessoais[…]”, bem como de banco de dados, por entidades públicas ou entes privados com a respectiva autorização para o compartilhamento.17
A portabilidade se refere à capacidade de mover o dado pessoal de um fornecedor de serviço ou produto para outro, consoante art. 18, inc. V da LGPD.18 Tem-se como exemplo a portabilidade de dados em caso de troca de plano de celular, onde basicamente são movidos todos os dados pessoais (especialmente o número do celular) para um novo fornecedor de serviço (observados os segredos comercial e industrial).
A interoperabilidade está prevista no art. 40 da LGPD,19 de forma resumida, tratam-se de técnicas que fazem os sistemas terem uma comunicação facilitada com outros sistemas. Portanto, em um sistema interoperável há uma facilidade para a portabilidade entre produtos ou fornecedores de serviços.20
No tocante a quem trata os dados, a LGPD traz a figura dos agentes de tratamento, que são eles: o controlador e o operador. Tais figuras são distintas de maneira que o controlador é “[…] é aquele a quem compete as decisões referentes ao tratamento”; enquanto o operador é quem efetivamente realiza o tratamento de dados pessoais, em nome do controlador.21
Sobre as responsabilidades do controlador há de se destacar a elaboração do documento chamado relatório de impacto à proteção de dados pessoais, trazido pelo art.5º inc. XVII da LGPD,22 como sendo um relatório onde há a descrição e classificação dos riscos do processo de tratamento de dados pessoais.
Outra figura que merece destaque é a do encarregado, também conhecido popularmente como Data Protection Officer (DPO), por conta da General Data Protection Regulation (GDPR). Em suma, o encarregado é aquele indicado pelos agentes de tratamento que fará parte da comunicação entre o controlador, titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).23
A respeito da figura da ANPD, esta surgiu posterior a LGPD, haja vista que fora inicialmente vetada pelo ex-Presidente Temer. Portanto, foi criada posteriormente pela Lei nº 13.853, de 8 de julho de 2019. Tal agência nacional funciona nos moldes de uma agência reguladora fundamental para garantir a efetividade da LGPD, tendo os poderes de sancionar os que transgridam as normas, através de advertência, multa simples, multa diária, determinação de publicização da infração, bloqueio de dados pessoais, eliminação de dados, suspensão parcial do funcionamento de banco de dados, suspensão do exercício da atividade e proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.24
Finalizado a abordagem introdutória, de modo a encerrar a investigação cabe ressaltar que a LGPD foi de suma importância para a visibilidade de nosso país em âmbito internacional, pois com ela nosso ordenamento pode alcançar um alto padrão de proteção de dados. Evidente que a implementação da LGPD não se constitui como uma tarefa fácil, principalmente em razão da ausência da cultura de proteção de dados em nosso país. Todavia, como mencionado no início do texto, a LGPD iniciou esta mudança cultural, que muito em breve será observada no cotidiano dos brasileiros.
____________________
Pedro Alberto Alves Maciel Filho
Referências
________________________________________
1. SILVA, H. M. Dado, informação e conhecimento. Disponível em: https://bit.ly/3zYohfD. Acesso em: 7 set. 2021.
2. SILVA, H. M. Dado, informação e conhecimento. Disponível em: https://bit.ly/3zYohfD. Acesso em: 7 set. 2021.
3. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.ace
4. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
5. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 5º [Para os fins desta Lei, considera-se:(…) V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.]
6. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
7. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
8. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
9. Tratam-se de incidentes em que informações são roubadas ou retiradas de um sistema sem o conhecimento, ou autorização do proprietário do sistema.
10. SEN, R.; BORLE, S. Estimating the Contextual Risk of Data Breach: An Empirical Approach. Journal of Management Information Systems, v. 32, n. 2, p. 314–341, 3 abr. 2015. Disponível em: https://bit.ly/2VqyBhr. Acesso em: 7 set. 2021.
11. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 12 [Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.]
12. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
13. DOMINGO-FERRER, J. Personal Big Data, GDPR and Anonymization. (A. Cuzzocrea et al., Eds.) Flexible Query Answering Systems. Anais…: Lecture Notes in Computer Science.Cham: Springer International Publishing, 2019. Disponível em: https://bit.ly/3zZaJAK. Acesso em: 7 set. 2021.
14. NEUBAUER, T.; HEURIX, J. A methodology for the pseudonymization of medical data. International Journal of Medical Informatics, v. 80, n. 3, p. 190–204, 1 mar. 2011. Disponível em: https://bit.ly/3l61oRh. Acesso em: 7 set. 2021.
15. BIONI, B. R. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
16. PFITZMANN, A.; DRESDEN, T.; HANSEN, M. A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management. International Journal of Innovation and Applied Studies, v.3, n1., p. 262–270, 1 maio 2013. Disponível em: https://bit.ly/3zV2LZ3. Acesso em: 7 mar. 2021.
17. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
18. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 18 [O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição (…)V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial].
19. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 40. [A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.]
20. OLARONKE, I. et al. Interoperability in Healthcare: Benefits, Challenges and Resolutions. International Journal of Innovation and Applied Studies, v. 3, p. 2028–9324, 1 abr. 2013. Disponível em: https://bit.ly/3BUEe76. Acesso em: 7 set. 2021.
21. VICENTE, D. M. Proteção de Dados Pessoais em perspectiva: LGPD E RGPD na ótica do direito comparado/ organização de Marcos Wachowicz. Curitiba: Gedai, 2020. p. 212.
22. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 5º [Para os fins desta Lei, considera-se (…) XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco].
23. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] União, Brasília, D.F. 14 de agosto de 2018. Disponível em: https://bit.ly/2WYJOGs. Acesso em: 7 set. 2021.
24. CAVALCANTI, N. P.; SANTOS, L. M. S. B. A Lei Geral De Proteção de Dados do Brasil na Era do Big Data. In: FERNANDES, R.V.C.; CARVALHO, A. G. P. (Coord.). Tecnologia jurídica & direito digital: II Congresso Internacional de Direito, Governo e Tecnologia – 2018. Belo Horizonte: Fórum, 2018. p. 351– 365.
