A pseudonimização é suficiente? Os riscos de reidentificação via inteligência artificial sob a ótica da LGPD

Introdução

A LGPD¹, ao regulamentar o tratamento de dados pessoais no Brasil, incorporou ao seu vocabulário conceitos técnicos como anonimização e pseudonimização. Ambas são entendidas como estratégias importantes de mitigação de riscos à privacidade dos titulares. No entanto, a crescente complexidade dos sistemas de inteligência artificial, especialmente os baseados em aprendizado profundo, vem colocando em xeque a real eficácia dessas técnicas. O que antes era considerado uma barreira razoável à reidentificação, hoje pode se mostrar vulnerável diante da capacidade dos algoritmos de reconstruir identidades a partir de fragmentos dispersos de informação.

Antes mesmo da entrada em vigor da LGPD, o ordenamento jurídico brasileiro já contava com previsões legais destinadas à proteção de dados pessoais, especialmente no contexto digital. O Marco Civil da Internet (lei 12.965/14) representou um marco normativo importante nesse sentido, ao estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil. Dentre os direitos assegurados aos usuários, destaca-se a proteção da privacidade e dos dados pessoais como premissas fundamentais para a governança da internet.

O Marco Civil trouxe regras específicas sobre a guarda, o uso e o compartilhamento de dados de conexão e de acesso a aplicações de internet, impondo aos provedores de serviços a obrigação de preservar a privacidade dos usuários e de adotar medidas de segurança proporcionais. A partir dessas bases, a LGPD veio a consolidar e ampliar o regime jurídico de proteção de dados, criando um sistema mais detalhado e abrangente, com foco na responsabilização dos agentes de tratamento e na criação de uma cultura de privacidade.²

Este artigo propõe refletir sobre os limites da pseudonimização como medida de proteção de dados à luz da LGPD, considerando os avanços tecnológicos representados pela inteligência artificial. Busca-se analisar em que medida a legislação oferece instrumentos suficientes para lidar com os riscos de reidentificação e quais as implicações jurídicas desse novo cenário.

1. Conceitos fundamentais: Dado pessoal, pseudonimização e anonimização

O art. 5º, inciso I, da LGPD define dado pessoal como toda informação relacionada a pessoa natural identificada ou identificável. Essa redação amplia o escopo de proteção ao incluir dados que, isoladamente, não identificam ninguém, mas que, em conjunto com outras informações, permitem a identificação de um indivíduo.

A pseudonimização, por sua vez, é tratada no inciso XI do mesmo art. como o tratamento pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente. Em outras palavras, é um processo que oculta a identidade do titular sem eliminá-la completamente, pois ainda pode ser revertido mediante o cruzamento com os dados complementares.

Diferencia-se da anonimização, prevista no art. 12, que exige a impossibilidade de associação, por meios razoáveis, entre os dados e a pessoa a quem eles se referem. Os dados efetivamente anonimizados escapam da incidência da LGPD, o que não ocorre com os dados pseudonimizados, que continuam sendo tratados como dados pessoais, embora estejam submetidos a menor grau de risco.

Como destacam Doneda e Schertel Mendes (2017)³, a efetividade da anonimização ou pseudonimização depende diretamente do contexto e do avanço técnico existente à época do tratamento. O que é considerado irreversível hoje pode não ser mais amanhã.

Além da definição legal, é importante compreender o processo prático de anonimização, que se caracteriza pela utilização de meios técnicos razoáveis, disponíveis no momento do tratamento, para eliminar a possibilidade de identificação de uma pessoa natural. Segundo a doutrina, a anonimização envolve, geralmente, a aplicação de técnicas como: (i) supressão de informações que permitam a identificação direta; (ii) randomização dos dados, de forma a dificultar a associação entre os registros e o titular; (iii) generalização, que consiste na diluição ou redução do nível de detalhe das informações; e (iv) utilização de métodos de criptografia ou mascaramento de dados.

O processo de anonimização é considerado bem-sucedido quando resulta na impossibilidade, por meios razoáveis, de se identificar o titular, considerando o contexto e a tecnologia disponíveis à época. Por isso, a própria LGPD, em seu art. 12,  exige essa análise contextualizada, reconhecendo que a irreversibilidade da anonimização deve ser aferida segundo os recursos técnicos existentes no momento⁴.

2.  O potencial de reidentificação por inteligência artificial

Com a consolidação de sistemas de inteligência artificial cada vez mais sofisticados, o cruzamento de grandes volumes de dados passou a ser não apenas possível, mas cotidiano. Algoritmos de IA, treinados com bases amplas e heterogêneas, são capazes de inferir identidades mesmo quando os dados disponíveis estão parcialmente ocultos ou fragmentados. A pseudonimização, que supõe um grau razoável de separação entre os dados e o seu titular, pode ser facilmente superada pela capacidade preditiva desses modelos.

Há exemplos reais disso em diferentes campos. Algoritmos de reconhecimento facial podem reconstruir rostos a partir de imagens parciais. Modelos de análise de escrita conseguem estimar autoria com base em padrões linguísticos. Dados de localização, ainda que pseudonimizados, podem ser associados a hábitos de mobilidade específicos e, assim, à identidade de uma pessoa.

Essas práticas evidenciam que o risco de reidentificação não é meramente teórico. O simples fato de que uma IA consiga inferir a identidade do titular, a partir de dados tratados como pseudonimizados, já é suficiente para que tais dados sejam considerados, de fato, dados pessoais nos termos da LGPD.

Bruno Bioni (2019)⁵ ressalta que a capacidade de reidentificação deve ser considerada um fator dinâmico, e que a definição de dado pessoal precisa acompanhar a evolução das tecnologias de análise de dados.

3.  A insuficiência da pseudonimização como técnica de segurança isolada

A LGPD adota, no art. 6º, VII, o princípio da segurança, impondo a adoção de medidas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação. O art. 46 complementa essa exigência, ao determinar que os agentes de tratamento devem implementar medidas técnicas e administrativas aptas a proteger os dados pessoais.

Nesse contexto, a pseudonimização pode ser considerada uma dessas medidas, mas não pode ser tratada como suficiente, sobretudo em cenários que envolvem inteligência artificial. A legislação não oferece uma lista taxativa de  mecanismos de proteção, o  que exige uma avaliação contextual e proporcional dos riscos envolvidos em cada operação de tratamento. Quanto mais complexos forem os meios tecnológicos utilizados, mais robustas devem ser as estratégias de mitigação adotadas.

Além disso, o art. 50 estimula a adoção de políticas de boas práticas e governança, o que inclui avaliações periódicas sobre a efetividade das técnicas de segurança utilizadas. Um modelo de tratamento baseado em IA que se apoie unicamente na pseudonimização pode, na prática, estar em desconformidade com a própria estrutura principiológica da LGPD, especialmente quando o risco de reidentificação é previsível e evitável.

4.  Riscos jurídicos e implicações práticas

A reidentificação de titulares a partir de dados pseudonimizados pode ensejar responsabilização dos agentes de tratamento, especialmente se demonstrada a negligência na adoção de medidas proporcionais ao risco. O art. 42 da LGPD prevê a responsabilidade objetiva do controlador por danos patrimoniais, morais, individuais ou coletivos decorrentes de violação à legislação, salvo prova de que adotou todas as medidas de segurança cabíveis.

Nesse ponto, o uso de inteligência artificial não afasta, mas intensifica o dever de cautela. O controlador deve ser capaz de demonstrar que avaliou os riscos específicos associados ao uso de IA, especialmente no que se refere à possibilidade de reidentificação. AIPD - Avaliações de impacto à proteção de dados, previstas no art. 38, são instrumentos fundamentais nesse processo, pois permitem mapear vulnerabilidades e justificar as escolhas técnicas adotadas.

A pseudonimização pode ser combinada com outras estratégias, como criptografia, fragmentação de bases, controle de acesso e monitoramento contínuo, compondo uma abordagem mais robusta e compatível com o princípio do privacy by design.

Importa destacar, ainda, que caso o controlador tenha adotado, à época do tratamento, todas as medidas técnicas e administrativas disponíveis no mercado e adequadas ao estado da técnica, conforme exigido pela legislação vigente, e ainda assim ocorra reidentificação posterior em virtude de avanços tecnológicos imprevisíveis, não há que se falar em responsabilização. Trata-se de uma excludente de responsabilidade prevista na própria LGPD, que reconhece a limitação temporal das medidas de segurança. Em outras palavras, se o controlador demonstrar que adotou as cautelas razoáveis e proporcionais ao risco existente no momento do tratamento, não poderá ser responsabilizado por eventos futuros que escapem à sua esfera de controle.

Conclusão

A pseudonimização representa, sem dúvida, um avanço importante no tratamento seguro de dados pessoais. No entanto, diante das novas possibilidades abertas pela inteligência artificial, é necessário repensar sua eficácia como ferramenta isolada de proteção. A LGPD oferece fundamentos para essa reavaliação, especialmente ao exigir que medidas de segurança sejam proporcionais aos riscos e compatíveis com o estado da técnica.