Introdução
A LGPD1, ao regulamentar o tratamento de dados pessoais no Brasil, incorporou ao seu vocabulário conceitos técnicos como anonimização e pseudonimização. Ambas são entendidas como estratégias importantes de mitigação de riscos à privacidade dos titulares. No entanto, a crescente complexidade dos sistemas de inteligência artificial, especialmente os baseados em aprendizado profundo, vem colocando em xeque a real eficácia dessas técnicas. O que antes era considerado uma barreira razoável à reidentificação, hoje pode se mostrar vulnerável diante da capacidade dos algoritmos de reconstruir identidades a partir de fragmentos dispersos de informação.
Antes mesmo da entrada em vigor da LGPD, o ordenamento jurídico brasileiro já contava com previsões legais destinadas à proteção de dados pessoais, especialmente no contexto digital. O Marco Civil da Internet (lei 12.965/14) representou um marco normativo importante nesse sentido, ao estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil. Dentre os direitos assegurados aos usuários, destaca-se a proteção da privacidade e dos dados pessoais como premissas fundamentais para a governança da internet.
O Marco Civil trouxe regras específicas sobre a guarda, o uso e o compartilhamento de dados de conexão e de acesso a aplicações de internet, impondo aos provedores de serviços a obrigação de preservar a privacidade dos usuários e de adotar medidas de segurança proporcionais. A partir dessas bases, a LGPD veio a consolidar e ampliar o regime jurídico de proteção de dados, criando um sistema mais detalhado e abrangente, com foco na responsabilização dos agentes de tratamento e na criação de uma cultura de privacidade.2
Este artigo propõe refletir sobre os limites da pseudonimização como medida de proteção de dados à luz da LGPD, considerando os avanços tecnológicos representados pela inteligência artificial. Busca-se analisar em que medida a legislação oferece instrumentos suficientes para lidar com os riscos de reidentificação e quais as implicações jurídicas desse novo cenário.
1. Conceitos fundamentais: Dado pessoal, pseudonimização e anonimização
O art. 5º, inciso I, da LGPD define dado pessoal como toda informação relacionada a pessoa natural identificada ou identificável. Essa redação amplia o escopo de proteção ao incluir dados que, isoladamente, não identificam ninguém, mas que, em conjunto com outras informações, permitem a identificação de um indivíduo.
A pseudonimização, por sua vez, é tratada no inciso XI do mesmo art. como o tratamento pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente. Em outras palavras, é um processo que oculta a identidade do titular sem eliminá-la completamente, pois ainda pode ser revertido mediante o cruzamento com os dados complementares.
Diferencia-se da anonimização, prevista no art. 12, que exige a impossibilidade de associação, por meios razoáveis, entre os dados e a pessoa a quem eles se referem. Os dados efetivamente anonimizados escapam da incidência da LGPD, o que não ocorre com os dados pseudonimizados, que continuam sendo tratados como dados pessoais, embora estejam submetidos a menor grau de risco.
Como destacam Doneda e Schertel Mendes (2017)3, a efetividade da anonimização ou pseudonimização depende diretamente do contexto e do avanço técnico existente à época do tratamento. O que é considerado irreversível hoje pode não ser mais amanhã.
Além da definição legal, é importante compreender o processo prático de anonimização, que se caracteriza pela utilização de meios técnicos razoáveis, disponíveis no momento do tratamento, para eliminar a possibilidade de identificação de uma pessoa natural. Segundo a doutrina, a anonimização envolve, geralmente, a aplicação de técnicas como: (i) supressão de informações que permitam a identificação direta; (ii) randomização dos dados, de forma a dificultar a associação entre os registros e o titular; (iii) generalização, que consiste na diluição ou redução do nível de detalhe das informações; e (iv) utilização de métodos de criptografia ou mascaramento de dados.
O processo de anonimização é considerado bem-sucedido quando resulta na impossibilidade, por meios razoáveis, de se identificar o titular, considerando o contexto e a tecnologia disponíveis à época. Por isso, a própria LGPD, em seu art. 12, exige essa análise contextualizada, reconhecendo que a irreversibilidade da anonimização deve ser aferida segundo os recursos técnicos existentes no momento4.
2. O potencial de reidentificação por inteligência artificial
Com a consolidação de sistemas de inteligência artificial cada vez mais sofisticados, o cruzamento de grandes volumes de dados passou a ser não apenas possível, mas cotidiano. Algoritmos de IA, treinados com bases amplas e heterogêneas, são capazes de inferir identidades mesmo quando os dados disponíveis estão parcialmente ocultos ou fragmentados. A pseudonimização, que supõe um grau razoável de separação entre os dados e o seu titular, pode ser facilmente superada pela capacidade preditiva desses modelos.
Há exemplos reais disso em diferentes campos. Algoritmos de reconhecimento facial podem reconstruir rostos a partir de imagens parciais. Modelos de análise de escrita conseguem estimar autoria com base em padrões linguísticos. Dados de localização, ainda que pseudonimizados, podem ser associados a hábitos de mobilidade específicos e, assim, à identidade de uma pessoa.
Essas práticas evidenciam que o risco de reidentificação não é meramente teórico. O simples fato de que uma IA consiga inferir a identidade do titular, a partir de dados tratados como pseudonimizados, já é suficiente para que tais dados sejam considerados, de fato, dados pessoais nos termos da LGPD.
Bruno Bioni (2019)5 ressalta que a capacidade de reidentificação deve ser considerada um fator dinâmico, e que a definição de dado pessoal precisa acompanhar a evolução das tecnologias de análise de dados.
3. A insuficiência da pseudonimização como técnica de segurança isolada
A LGPD adota, no art. 6º, VII, o princípio da segurança, impondo a adoção de medidas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação. O art. 46 complementa essa exigência, ao determinar que os agentes de tratamento devem implementar medidas técnicas e administrativas aptas a proteger os dados pessoais.
Nesse contexto, a pseudonimização pode ser considerada uma dessas medidas, mas não pode ser tratada como suficiente, sobretudo em cenários que envolvem inteligência artificial. A legislação não oferece uma lista taxativa de mecanismos de proteção, o que exige uma avaliação contextual e proporcional dos riscos envolvidos em cada operação de tratamento. Quanto mais complexos forem os meios tecnológicos utilizados, mais robustas devem ser as estratégias de mitigação adotadas.
Além disso, o art. 50 estimula a adoção de políticas de boas práticas e governança, o que inclui avaliações periódicas sobre a efetividade das técnicas de segurança utilizadas. Um modelo de tratamento baseado em IA que se apoie unicamente na pseudonimização pode, na prática, estar em desconformidade com a própria estrutura principiológica da LGPD, especialmente quando o risco de reidentificação é previsível e evitável.
4. Riscos jurídicos e implicações práticas
A reidentificação de titulares a partir de dados pseudonimizados pode ensejar responsabilização dos agentes de tratamento, especialmente se demonstrada a negligência na adoção de medidas proporcionais ao risco. O art. 42 da LGPD prevê a responsabilidade objetiva do controlador por danos patrimoniais, morais, individuais ou coletivos decorrentes de violação à legislação, salvo prova de que adotou todas as medidas de segurança cabíveis.
Nesse ponto, o uso de inteligência artificial não afasta, mas intensifica o dever de cautela. O controlador deve ser capaz de demonstrar que avaliou os riscos específicos associados ao uso de IA, especialmente no que se refere à possibilidade de reidentificação. AIPD - Avaliações de impacto à proteção de dados, previstas no art. 38, são instrumentos fundamentais nesse processo, pois permitem mapear vulnerabilidades e justificar as escolhas técnicas adotadas.
A pseudonimização pode ser combinada com outras estratégias, como criptografia, fragmentação de bases, controle de acesso e monitoramento contínuo, compondo uma abordagem mais robusta e compatível com o princípio do privacy by design.
Importa destacar, ainda, que caso o controlador tenha adotado, à época do tratamento, todas as medidas técnicas e administrativas disponíveis no mercado e adequadas ao estado da técnica, conforme exigido pela legislação vigente, e ainda assim ocorra reidentificação posterior em virtude de avanços tecnológicos imprevisíveis, não há que se falar em responsabilização. Trata-se de uma excludente de responsabilidade prevista na própria LGPD, que reconhece a limitação temporal das medidas de segurança. Em outras palavras, se o controlador demonstrar que adotou as cautelas razoáveis e proporcionais ao risco existente no momento do tratamento, não poderá ser responsabilizado por eventos futuros que escapem à sua esfera de controle.
Conclusão
A pseudonimização representa, sem dúvida, um avanço importante no tratamento seguro de dados pessoais. No entanto, diante das novas possibilidades abertas pela inteligência artificial, é necessário repensar sua eficácia como ferramenta isolada de proteção. A LGPD oferece fundamentos para essa reavaliação, especialmente ao exigir que medidas de segurança sejam proporcionais aos riscos e compatíveis com o estado da técnica.
Mais do que confiar em soluções técnicas fixas, os agentes de tratamento precisam cultivar uma cultura de governança e prevenção. A pseudonimização continua sendo útil, mas já não pode ser vista como uma blindagem absoluta contra os riscos de exposição dos titulares. A interpretação da LGPD deve acompanhar a velocidade da tecnologia, sob pena de tornar a proteção de dados apenas formal.
Por outro lado, deve-se reconhecer que a responsabilidade do controlador não é ilimitada. Se restar demonstrado que, no momento do tratamento, foram adotadas todas as precauções cabíveis conforme o nível tecnológico disponível e as melhores práticas reconhecidas no mercado, eventual reidentificação futura, por meio de técnicas ainda inexistentes ou imprevisíveis à época, não poderá ser atribuída à sua conduta. Nesse cenário, a responsabilização cederá lugar ao reconhecimento da boa-fé e diligência do agente de tratamento, conforme autoriza a própria LGPD.
_______
1 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
2 Louise Rainer Pereira Gionédis, Maria Amélia Mastrorosa Viana e Tiffany Cunha de Jesus – "A Lei Geral de Proteção de Dados (LGPD) e o Compliance". Ed. Juruá, 2021.
3 Danilo Doneda e Laura Schertel Mendes – "A proteção de dados pessoais: a função e os limites do consentimento". Revista Brasileira de Políticas Públicas, v. 7, n. 2, 2017.
4 Louise Rainer Pereira Gionédis, Maria Amélia Mastrorosa Viana e Tiffany Cunha de Jesus – "A Lei Geral de Proteção de Dados (LGPD) e o Compliance". Ed. Juruá, 2021.
5 Bruno Bioni – "Tratamento de Dados Pessoais: a LGPD e o novo paradigma do direito à proteção de dados no Brasil", Ed. Thomson Reuters, 2019.