A Criptografia no Direito Brasileiro - Ed. 2020

Proteção de Dados Pessoais e Criptografia: Tecnologias Criptográficas Entre Anonimização e Pseudonimização de Dados - Parte III - Criptografia, Cibersegurança e Direitos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

DIEGO MACHADO

Advogado. Mestre e Doutorando em Direito Civil pela Universidade do Estado do Rio de Janeiro – UERJ. Visiting Student Researcher no Center for Law, Technology and Society da Universidade de Ottawa. Professor no Curso de Pós-graduação lato sensu “Direito e Tecnologia” nas Faculdades Arnaldo. diegocmachado@gmail.com

DANILO DONEDA

Advogado. Mestre e Doutor em Direito Civil pela Universidade do Estado do Rio de Janeiro – UERJ. Professor no Instituto Brasiliense de Direito Público. ddoneda@gmail.com

1.Introdução

Em recentes declarações, o ministro da segurança do Reino Unido, Ben Wallace, afirmou que não se deve permitir que alguém “possa se esconder atrás do anonimato”, razão pela qual propõe a implementação de uma identidade digital (digital ID) – o que, segundo ele, seria uma escolha pela “sociedade civilizada” on-line, em vez do “oeste selvagem” 1 . O político ainda chamou atenção para o fato de que as companhias e provedores de aplicação de Internet devem contribuir com a sociedade no que se refere ao combate aos efeitos negativos de suas tecnologias, tal como a criptografia ponta a ponta 2 .

A aproximação entre as noções de anonimato e criptografia não é novidade, é recorrente, especialmente ao se tratar de comunicações e interações mantidas por meio de tecnologias da informação e da comunicação como a Internet. Aliás, essa correlação é feita também em sentido diametralmente oposto ao discurso do ministro britânico, como se vê no relatório de 2016 do Special Rapporteur da ONU sobre a proteção e promoção do direito à liberdade de opinião e de expressão, David Kaye: para ele, ambos (criptografia e anonimato) são importantes veículos para a tutela e realização de direitos humanos na era digital, tais como a privacidade e a liberdade de expressão 3 .

O presente trabalho tem por objeto abordar uma interface entre anonimato e criptografia pouco explorada no cenário brasileiro. Trata-se de tema afeto à atividade de tratamento de informações e proteção de dados pessoais, dado que o processo de anonimização de dados e as suas respectivas técnicas têm relevantes repercussões jurídicas quanto à aplicação do regime de proteção de dados.De outro lado, a aderência da criptografia ao que se discute se dá em razão de ser esse, também, um tema de cibersegurança, sendo que técnicas criptográficas são empregadas como medida de segurança computacional adotada por empresas – ou pelos próprios usuários ou titulares dos dados – a fim de, por exemplo, proteger adequadamente as informações de seus usuários contra riscos de incidentes de segurança em seus sistemas informáticos e bases de dados 4 .

Em linhas gerais, entende-se por criptografia “a ciência da escrita secreta com o objetivo de esconder o significado de uma mensagem” 5 . As diversas técnicas criptográficas modernas que constituem mecanismo de confidencialidade 6 em segurança computacional, quando utilizadas, cifram informações de modo tal que apenas o destinatário da comunicação ou o detentor de chave criptográfica (simétrica ou assimétrica) pode acessar e compreender seu conteúdo informacional (plaintext) 7 .

Assim, suscita-se a seguinte questão: se a criptografia é apta a tornar informações ininteligíveis, pode a cifragem de dados ser reputada como técnica de anonimização quando o dado tiver caráter pessoal, isentando, por conseguinte, responsáveis pelo tratamento de dados cifrados da observância do regime jurídico da proteção de dados pessoais? Em outras palavras, considerando que a definição de dado pessoal dada pela Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), em seu art. , I, abrange a “informação relacionada a pessoa natural identificada ou identificável”, em qual medida os dados pessoais submetidos a procedimento de encriptação serão considerados como tais?

Objetiva-se demonstrar que a resposta a essa questão não pode ser dada de maneira simplista. Dados criptografados não configuram dados anônimos ou anonimizados pelo só fato de ocorrer operação de cifragem. Para tanto, este texto é estruturado em duas partes: (i) primeiramente, serão delimitados alguns parâmetros propedêuticos sobre a conceituação de dado pessoal 8 , haja vista sua importância hermenêutica na aplicação da legislação de proteção dos dados pessoais, bem como sua colocação diante de dados pseudonimizados e dados anônimos; (ii) em seguida, há de se confrontar as características de técnicas criptográficas implementadas em contemporâneas tecnologias digitais àquelas que configuram efetiva anonimização de dados, para, junto a demais subsídios conceituais e dogmáticos, traçar apontamentos sobre o (s) estatuto (s) jurídico (s) aplicável (is) no Brasil a dados pessoais criptografados.

2.Dado pessoal: contornos conceituais e normativos

A partir da década de 1960, o conceito de informação 9 pessoal passou de noção pressuposta para gradativamente emergir como conceito central para a tutela jurídica da privacidade 10 . Isso tem direta correspondência com a transformação do sentido social de privacidade a que Stefano Rodotà faz alusão: de um sentido negativo, de confidencialidade e reserva sobre a esfera privada – logo, atinente a dados necessariamente vinculados ao indivíduo e suas relações particulares –, para compreender o controle dinâmico sobre as próprias informações 11 .

A delimitação do conceito de dado pessoal é hoje imprescindível na interpretação do alcance normativo de leis de proteção de dados 12 . A título de exemplo, o Children’s On-line Privacy Protection Act (COPPA) de 1998, estatuto norte-americano de proteção da infância no uso da Internet, é aplicável a todos que coletem informação pessoal de menores de 13 anos, estabelecendo critérios para o legítimo tratamento desses dados 13 . Pode-se citar também o Regulamento Geral de Proteção de Dados Pessoais da União Europeia 14 , a Convenção 108 do Conselho da Europa 15 e a Lei Federal 13.709/2018, do Brasil (Lei Geral de Proteção de Dados – LGPD). Nesses três recentes textos legislativos percebe-se que o conceito de informação pessoal é chave para entender o âmbito material de aplicação da lei, que, por sua vez, visa nas esferas regional, internacional e nacional, respectivamente, regular a atividade de tratamento de dados pessoais.

Num primeiro enfrentamento a respeito da definição de dado pessoal, pode-se depreender a distinção de abordagens de técnica legislativa utilizadas para a construção dos conceitos restrito e amplo, ou que observa, correspondentemente, o que Daniel Solove e Paul Schwartz nomeiam de perspectivas reducionista e expansionista de política regulatória de proteção de dados 16 .

Na conceitualização restrita, por dado pessoal entende-se a representação de fatos sobre pessoa identificada, isto é, representação referente a alguém que se conhece e individualiza em meio a certo grupo ou coletividade. O processo de identificação aí operado é possível a partir de elementos informativos chamados identificadores, “os quais mantêm relação particularmente privilegiada e próxima com certo indivíduo” 17 .

Os identificadores podem, por sua vez, ser diretos ou indiretos. O típico identificador direto de um indivíduo é o seu nome. Constituído por prenome e sobrenome, o nome da …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
22 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198086208/protecao-de-dados-pessoais-e-criptografia-tecnologias-criptograficas-entre-anonimizacao-e-pseudonimizacao-de-dados-parte-iii-criptografia-ciberseguranca-e-direitos