COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. Dados anonimizados e o controle de aglomerações na pandemia da Covid-19

Dados anonimizados e o controle de aglomerações na pandemia da Covid-19

segunda-feira, 28 de dezembro de 2020

Atualizado às 07:00

A pandemia da Covid-19 tem suscitado diversas iniciativas estatais voltadas ao controle de grandes aglomerações e à contenção da propagação viral, com impactos variados. Novas tecnologias baseadas em técnicas algorítmicas têm sido utilizadas amplamente pelo Poder Público, com destaque para o Sistema de Monitoramento Inteligente do Estado de São Paulo - Simi-SP, instituído pelo decreto estadual 64.963, de 5 de maio de 2020, que se tornou viável a partir de uma parceria com quatro grandes operadoras de telefonia do país e cuja finalidade é "consultar informações georreferenciadas de mobilidade urbana em tempo real nos municípios paulistas".1

A Lei Geral de Proteção de Dados Pessoais brasileira (lei 13.709, de 14 de agosto de 2018) não vigorou durante a pandemia, mas o debate em torno da coleta e do tratamento de dados de geolocalização para a contenção de aglomerações despertou inúmeras preocupações em razão do potencial discriminatório do chamado "profiling"2 - que aparece de forma tímida no artigo 12, §2º, da lei. Apesar do negacionismo3, fato é que, para embasar a finalidade de coleta e tratamento desses dados de mobilidade urbana, tem sido utilizada como justificativa a anonimização.

O conceito de 'dado anonimizado' consta do artigo 5º, inciso III, da LGPD: trata-se de "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Já o conceito de 'anonimização' aparece no inciso XI do mesmo artigo: é a "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". Em complemento, no artigo 12, §1º, da norma, o legislador buscou descrever 'critérios objetivos' para a aferição dos sobreditos 'meios técnicos razoáveis', e elencou, exemplificativamente, "tempo e custo para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios".

'Anonimização' de dados pessoais é um tema complexo, carente de testagem e de difícil fiscalização e regulação. A doutrina debate, há anos, a necessidade de um critério de aferição adequado; um 'filtro', ou uma 'régua', que permita mensurar a 'qualidade' da técnica empregada.

No ano 2000, Latanya Sweeney, uma das mais renomadas pesquisadoras do tema, demonstrou que mais de 87% dos cidadãos norte-americanos poderiam ser identificados exclusivamente por seu código postal de cinco dígitos (ZIP Code), combinado com data de nascimento (incluindo ano) e sexo.4 Sequer era necessário um nome ou social security number! O tema foi revisitado em 2006 por Philippe Golle, que esperava uma redução drástica desse resultado em razão da evolução das técnicas de anonimização de dados ao longo de seis anos, mas o número obtido também foi alarmante: 61%!5

Outros doutrinadores, como Arvind Narayanan e Vitaly Shmatikov, são vozes eloquentes quando se trata de registrar o desconforto e a desconfiança quanto às experiências de anonimização, conduzindo a dúvidas sobre sua real viabilidade.6 Por sua vez, Paul Ohm já listou alguns exemplos em que a facilidade de reversão de bases de dados originalmente anonimizadas desvelou a falibilidade de técnicas consideradas confiáveis.7

Inúmeros procedimentos específicos podem ser utilizados, quase sempre a partir da eliminação de determinados elementos identificadores que constam de uma base de dados, por meio de supressão, generalização, randomização ou pseudonimização.8 Quanto a esta última, a controvérsia é tão aguda que o termo aparece no artigo 13, §4º, da LGPD como subespécie ou técnica diversa, aplicável aos casos de estudos em saúde pública e se diferenciando por exigir a manutenção, em ambiente seguro, da parcela informacional suprimida do acervo de dados pseudonimizado.

É importante comentar que o Regulamento Geral de Proteção de Dados europeu (2016/679) se reporta ao termo "pseudonimização"9 para descrever o que a lei brasileira enuncia como "anonimização". Na Europa - que está adiante nesse debate - já vigora o Regulamento (UE) 2018/1807, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de 'dados não pessoais' na União Europeia, o qual complementa o RGPD.10

Lá, antes mesmo de ser editado este regulamento mais específico, já era notada a preocupação com o tema nos "considerandos" do RGPD, a exemplo do 83: 

A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento [controlador], ou o subcontratante [operador], deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas deverão assegurar um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais. (Considerando 83) 

No caso europeu, há detalhamento, clareza e ênfase à imperativa avaliação de riscos... E, a despeito de qualquer predileção semântica, insta anotar que o dado anonimizado não se confunde com o dado "anônimo", pois é passível de reversão (ou reidentificação); se situa, em verdade, em posição mediana de um espectro que varia entre o dado pessoal e o anônimo, ou, nos dizeres de Doneda e Machado, em um continuum descritivo que demanda investigações mais profundas do que a puramente semântica.11

Para além da preocupação com a imposição de freios à hipervigilância, que decorre, na hipótese, da amplíssima utilização de smartphones que fornecem, em tempo real, as informações de mobilidade georreferenciada - epítome da tão debatida Internet das Coisas12 -, o que se nota, mesmo quando o legislador tenta aclarar o ambiente de nebulosidade conceitual, é que se recorre a conceitos abertos e de difícil aferição.

Fala-se em 'meios técnicos razoáveis', mas não se esclarece quais são os critérios para dizê-los como tal; fala-se, ainda, em 'meios disponíveis por ocasião do tratamento', mas não se considera as conjecturas dessa disponibilidade, que pode ser afetada pela finalidade do tratamento, pela natureza da atividade explorada pelo agente de dados ou mesmo pela técnica de anonimização empregada; assevera-se, também, a necessidade de parametrização objetiva dos critérios de aferição de razoabilidade, embora o próprio exemplo indicado na norma (custo e tempo de reversão, no art. 12, §1º) seja baseado em aspectos que podem variar conforme o caso concreto.

As perspectivas vislumbradas com o advento da Internet sempre foram norteadas por preocupações com o controle da técnica e com o favorecimento de determinados fatores de predição de resultados na tomada de decisões, especialmente com lastro em vasto repertório informacional.13 Assim, a intenção do legislador de trazer luz a um tema de grande complexidade técnica, embora louvável, acaba por incidir em um dilema de aplicação do direito, pois contribui para a proliferação de normas gerais e abstratas, que nada resolvem.

A reforma de 2018 à Lei de Introdução às Normas do Direito Brasileiro trouxe a seguinte previsão, contida no artigo 20: "Nas esferas administrativa, controladora e judicial, não se decidirá com base em valores jurídicos abstratos sem que sejam consideradas as consequências práticas da decisão." Comentando o dispositivo, Justen Filho enfatiza não se tratar de uma alusão ao consequencialismo jurídico, mas ressalta a necessidade de contemplação dos eventos adversos (e consequenciais) que uma medida pode trazer: 

O art. 20 não impôs a preponderância de uma concepção consequencialista do direito. Não estabeleceu que a avaliação dos efeitos determinará a solução a ser adotada, independentemente das regras jurídicas aplicadas. O dispositivo restringe-se a exigir, de modo específico, que a autoridade estatal tome em consideração as consequências práticas da decisão adotada, inclusive para efeito de avaliação da proporcionalidade da decisão a ser adotada.14 

No continuum em que se situa o dado anonimizado, defendemos, assim como Paul Ohm15, o conceito de entropia de dados: o termo é utilizado na física para, em um sistema termodinâmico bem definido, medir seu grau de irreversibilidade. Em breve nota, asseveramos que o conceito "surge como um parâmetro de reforço. Para além da razoabilidade que a lei já prevê, seria possível, a depender da heurística aplicada na aferição dos riscos de determinado procedimento de reidentificação, inferir falibilidades e, consequentemente, responsabilidades."16

Se um código postal (ZIP Code), combinado com outros dados, pode expor a identidade de uma pessoa, imagine-se o potencial de malversação de dados de geolocalização que, embora "anonimizados", podem ser cruzados com outros dados para revelar seu titular! O mínimo que se espera de uma iniciativa de controle, ainda que engendrada a partir de finalidade justa (controlar a propagação do coronavírus), é a clareza de seus fins, riscos e métodos. Se não é possível mapeá-los por completo, ao menos deve-se alertar os cidadãos potencialmente afetados quanto aos aspectos consequenciais da medida, como determina o art. 20 da LINDB.

Insofismavelmente, o Simi-SP, ainda que louvável, é falho em sua gênese: (i) ao invés de primar pela transparência, não informa quais são as técnicas de segurança de dados utilizadas; (ii) ao invés de assumir verdadeira accountability, descrevendo riscos previsíveis e mapeáveis de malversação, utiliza a nebulosa 'anonimização' como escudo contra questionamentos.

*José Luiz de Moura Faleiros Júnior é mestre e bacharel em Direito pela Faculdade de Direito da Universidade Federal de Uberlândia. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado.

__________ 

1 Disponível aqui. Acesso em: 14 ago. 2020. Para mais detalhes, conferir o sítio oficial do referido sistema: SÃO PAULO. Sistema de Monitoramento Inteligente. Acesso em: 14 ago. 2020.

2 MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura. A pandemia da Covid-19, o "profiling" e a Lei Geral de Proteção de Dados. Migalhas, 28 abr. 2020. Disponível aqui. Acesso em: 14 ago. 2020.

3 ARRUDA, Maria Clara Villasbôas. O Governo do Estado de São Paulo não utiliza dados pessoais para medir aglomerações: A privacidade dos titulares de aparelhos de celular está preservada. Migalhas, 28 maio 2020. Disponível aqui. Acesso em: 14 ago. 2020.

4 SWEENEY, Latanya. Uniqueness of Simple Demographics in the U.S. Population. Laboratory for International Data Privacy, Working Paper LIDAP-WP4, 2000. Disponível aqui. Acesso em: 14 ago. 2020.

5 GOLLE, Philippe. Revisiting the Uniqueness of Simple Demographics in the US Population. Proceedings of the 2006 ACM Workshop on Privacy in the Electronic Society, WPES 2006, Alexandria, VA, USA, out. 2006. Disponível aqui. Acesso em: 14 ago. 2020.

6 NARAYANAN, Arvind; SHMATIKOV, Vitaly. Myths and fallacies of "Personally Identifiable Information". Communications of the ACM, Nova York, v. 53, n. 06, p. 24-26, jun. 2010.

7 OHM, Paul. Broken promises of privacy. UCLA Law Review, Los Angeles, v. 57, p. 1701-1777, 2010, p. 1717.

8 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A anonimização de dados pessoais: consequências jurídicas do processo de reversão, a importância da entropia e sua tutela à luz da Lei Geral de Proteção de Dados. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 61.

9 O tema consta do artigo 25(1) do RGPD: "Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares [físicas], o responsável pelo tratamento [controlador] e o subcontratante [operador] aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco (.), (Art.º 32.º n.º 1)".

10 CORDEIRO, A. Barreto Menezes. Direito da proteção de dados. Coimbra: Almedina, 2020, p. 326-335; 347-347.

11 DONEDA, Danilo; MACHADO, Diogo. Proteção de dados pessoais e criptografia: tecnologias criptográficas entre anonimização e pseudonimização de dados. In: DONEDA, Danilo; MACHADO, Diogo (Coords.). A criptografia no direito brasileiro. São Paulo: Revista dos Tribunais, 2019, p. 149.

12 Samuel Greengard sintetiza a preocupação que passou a permear a sociedade da informação do novo milênio: "Within this emerging IoT framework, a dizzying array of issues, questions, and challenges arise. One of the biggest questions revolves around living in a world where almost everything is monitored, recorded, and analyzed. While this has huge privacy implications, it also influences politics, social structures, and laws." GREENGARD, Samuel. The Internet of Things. Cambridge: The MIT Press, 2015, p. 58.

13 WIENER, Jonathan B. The regulation of technology, and the technology of regulation. Technology in Society, Durham, n. 26, p. 483-500, 2004, p. 485.

14 JUSTEN FILHO, Marçal. Art. 20 da LINDB: dever de transparência, concretude e proporcionalidade nas decisões públicas. Revista de Direito Administrativo, Rio de Janeiro, Edição Especial: Direito Público na Lei de Introdução às Normas do Direito Brasileiro - LINDB (Lei nº 13.655/2018), p. 13-41, nov. 2018, p. 38.

15 OHM, Paul. Broken promises of privacy. UCLA Law Review, Los Angeles, v. 57, p. 1701-1777, 2010, p. 1760.

16 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A anonimização de dados pessoais: consequências jurídicas do processo de reversão, a importância da entropia e sua tutela à luz da Lei Geral de Proteção de Dados. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 74.