O 9º Painel do XXI Congresso Paranaense de Direito Administrativo – “O Admirável Mundo Novo da Administração Pública: desafios para o Século XXI”, em homenagem ao professor Juarez Freitas, tratou da lei de proteção de dados e seus desafios: privacidade, interesse público e transparência na Administração Pública. O mediador foi o professor Fernando Menegat e a relatora, a professora Carolina Olsen. Debateu o tema o professor Daniel Müller Martins.
O professor Daniel Müller Martins tratou da anonimização, explicando que é utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. “A pseudonimização, por sua vez, é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”, destacou.
Sob a perspectiva de entender se dados anonimizados e dados pseudonimizados são dados pessoais sob a perspectiva da proteção legal da LGPD, com impactos na tutela dos direitos fundamentais dos cidadãos e nos deveres do Estado-Administração, o professor defendeu que o art. 12 da LGPD deve ser interpretado e aplicado com muita precaução quando diz que os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. “A referência à reversão de um processo de anonimização parece indicar claramente – ainda que não literalmente referido pela Lei – um dado que na verdade é pseudonimizado e, portanto, um dado pessoal plenamente protegido pela LGPD”, afirmou.
“De fato, os dados pseudonimizados são dados pessoais e, nessa condição, devem merecer plena proteção da LGPD, não se limitando à hipótese legal de estudos em saúde pública (art. 13), notadamente porque a pseudonimização deve ser considerada a contrario sensu na reversão da anonimização”, acentuou.
O professor ainda demonstrou que há vários questionamentos complexos e relevantes a respeito de dados anonimizados e pseudonimizados que não encontram respostas explícitas na LGPD. Afirmou que é indispensável reconhecer que o processo de anonimização é contextual, uma vez que uma técnica utilizada em determinado momento pode, no futuro, tornar-se ineficiente, permitindo que os dados sejam reidentificados e, caso isso ocorra, os dados anonimizados passarão a ser considerados dados pessoais novamente.
“Assim, a qualidade de uma técnica de anonimização leva em consideração o custo e o tempo necessário para que o processo seja revertido de acordo com as técnicas disponíveis em determinado momento do desenvolvimento tecnológico”, observou. “E daí extrai-se uma conclusão importante: essa análise precisa ser repetida periodicamente, uma vez que deve acompanhar a evolução dos dados e tecnologia disponível, o que reflete necessariamente nos relatórios de impacto à proteção de dados pessoais (RIPD)”.
Em síntese, Martins defendeu que a anonimização não pode ser uma porta aberta à desproteção legal e à violação de direitos fundamentais dos cidadãos, muito menos a pseudonimização deve descuidar dos elementos essenciais à tutela protetiva apenas porque o dado deixou de ter a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. “Ainda que sejam técnicas ou processos que possam ser estimulados, especialmente em levantamentos estatísticos e pesquisas de interesse público para definição de políticas públicas, as devidas cautelas devem ser adotadas à luz da LGPD”, assinalou.
Conclui sua apresentação salientando que a anonimização e pseudonimização não podem ser sinônimos de afastamento do direito à informação ou dos demais direitos do titular previstos na LGPD. “Vale dizer, ainda que os dados sejam anonimizados ou pseudonimizados, há que se respeitar as exigências legais de transparência e accountability, sendo indispensável ter em mente que o necessário afastamento de uma perspectiva preponderantemente analógica. Impõe-se pensar esses processos dentro do estado da arte da evolução digital”, ressaltou.