A Criptografia no Direito Brasileiro - Ed. 2020

Proteção de Dados Pessoais e Criptografia: Tecnologias Criptográficas Entre Anonimização e Pseudonimização de Dados - Parte III - Criptografia, Cibersegurança e Direitos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

DIEGO MACHADO

Advogado. Mestre e Doutorando em Direito Civil pela Universidade do Estado do Rio de Janeiro – UERJ. Visiting Student Researcher no Center for Law, Technology and Society da Universidade de Ottawa. Professor no Curso de Pós-graduação lato sensu “Direito e Tecnologia” nas Faculdades Arnaldo. diegocmachado@gmail.com

DANILO DONEDA

Advogado. Mestre e Doutor em Direito Civil pela Universidade do Estado do Rio de Janeiro – UERJ. Professor no Instituto Brasiliense de Direito Público. ddoneda@gmail.com

1.Introdução

Em recentes declarações, o ministro da segurança do Reino Unido, Ben Wallace, afirmou que não se deve permitir que alguém “possa se esconder atrás do anonimato”, razão pela qual propõe a implementação de uma identidade digital (digital ID) – o que, segundo ele, seria uma escolha pela “sociedade civilizada” on-line, em vez do “oeste selvagem” 1 . O político ainda chamou atenção para o fato de que as companhias e provedores de aplicação de Internet devem contribuir com a sociedade no que se refere ao combate aos efeitos negativos de suas tecnologias, tal como a criptografia ponta a ponta 2 .

A aproximação entre as noções de anonimato e criptografia não é novidade, é recorrente, especialmente ao se tratar de comunicações e interações mantidas por meio de tecnologias da informação e da comunicação como a Internet. Aliás, essa correlação é feita também em sentido diametralmente oposto ao discurso do ministro britânico, como se vê no relatório de 2016 do Special Rapporteur da ONU sobre a proteção e promoção do direito à liberdade de opinião e de expressão, David Kaye: para ele, ambos (criptografia e anonimato) são importantes veículos para a tutela e realização de direitos humanos na era digital, tais como a privacidade e a liberdade de expressão 3 .

O presente trabalho tem por objeto abordar uma interface entre anonimato e criptografia pouco explorada no cenário brasileiro. Trata-se de tema afeto à atividade de tratamento de informações e proteção de dados pessoais, dado que o processo de anonimização de dados e as suas respectivas técnicas têm relevantes repercussões jurídicas quanto à aplicação do regime de proteção de dados.De outro lado, a aderência da criptografia ao que se discute se dá em razão de ser esse, também, um tema de cibersegurança, sendo que técnicas criptográficas são empregadas como medida de segurança computacional adotada por empresas – ou pelos próprios usuários ou titulares dos dados – a fim de, por exemplo, proteger adequadamente as informações de seus usuários contra riscos de incidentes de segurança em seus sistemas informáticos e bases de dados 4 .

Em linhas gerais, entende-se por criptografia “a ciência da escrita secreta com o objetivo de esconder o significado de uma mensagem” 5 . As diversas técnicas criptográficas modernas que constituem mecanismo de confidencialidade 6 em segurança computacional, quando utilizadas, cifram informações de modo tal que apenas o destinatário da comunicação ou o detentor de chave criptográfica (simétrica ou assimétrica) pode acessar e compreender seu conteúdo informacional (plaintext) 7 .

Assim, suscita-se a seguinte questão: se a criptografia é apta a tornar informações ininteligíveis, pode a cifragem de dados ser reputada como técnica de anonimização quando o dado tiver caráter pessoal, isentando, por conseguinte, responsáveis pelo tratamento de dados cifrados da observância do regime jurídico da proteção de dados pessoais? Em outras palavras, considerando que a definição de dado pessoal dada pela Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), em seu art. , I, abrange a “informação relacionada a pessoa natural identificada ou identificável”, em qual medida os dados pessoais submetidos a procedimento de encriptação serão considerados como tais?

Objetiva-se demonstrar que a resposta a essa questão não pode ser dada de maneira simplista. Dados criptografados não configuram dados anônimos ou anonimizados pelo só fato de ocorrer operação de cifragem. Para tanto, este texto é estruturado em duas partes: (i) primeiramente, serão delimitados alguns parâmetros propedêuticos sobre a conceituação de dado pessoal 8 , haja vista sua importância hermenêutica na aplicação da legislação de proteção dos dados pessoais, bem como sua colocação diante de dados pseudonimizados e dados anônimos; (ii) em seguida, há de se confrontar as características de técnicas criptográficas implementadas em contemporâneas tecnologias digitais àquelas que configuram efetiva anonimização de dados, para, junto a demais subsídios conceituais e dogmáticos, traçar apontamentos sobre o (s) estatuto (s) jurídico (s) aplicável (is) no Brasil a dados pessoais criptografados.

2.Dado pessoal: contornos conceituais e normativos

A partir da década de 1960, o conceito de informação 9 pessoal passou de noção pressuposta para gradativamente emergir como conceito central para a tutela jurídica da privacidade 10 . Isso tem direta correspondência com a transformação do sentido social de privacidade a que Stefano Rodotà faz alusão: de um sentido negativo, de confidencialidade e reserva sobre a esfera privada – logo, atinente a dados necessariamente vinculados ao indivíduo e suas relações particulares –, para compreender o controle dinâmico sobre as próprias informações 11 .

A delimitação do conceito de dado pessoal é hoje imprescindível na interpretação do alcance normativo de leis de proteção de dados 12 . A título de exemplo, o Children’s On-line Privacy Protection Act (COPPA) de 1998, estatuto norte-americano de proteção da infância no uso da Internet, é aplicável a todos que coletem informação pessoal de menores de 13 anos, estabelecendo critérios para o legítimo tratamento desses dados 13 . Pode-se citar também o Regulamento Geral de Proteção de Dados Pessoais da União Europeia 14 , a Convenção 108 do Conselho da Europa 15 e a Lei Federal 13.709/2018, do Brasil (Lei Geral de Proteção de Dados – LGPD). Nesses três recentes textos legislativos percebe-se que o conceito de informação pessoal é chave para entender o âmbito material de aplicação da lei, que, por sua vez, visa nas esferas regional, internacional e nacional, respectivamente, regular a atividade de tratamento de dados pessoais.

Num primeiro enfrentamento a respeito da definição de dado pessoal, pode-se depreender a distinção de abordagens de técnica legislativa utilizadas para a construção dos conceitos restrito e amplo, ou que observa, correspondentemente, o que Daniel Solove e Paul Schwartz nomeiam de perspectivas reducionista e expansionista de política regulatória de proteção de dados 16 .

Na conceitualização restrita, por dado pessoal entende-se a representação de fatos sobre pessoa identificada, isto é, representação referente a alguém que se conhece e individualiza em meio a certo grupo ou coletividade. O processo de identificação aí operado é possível a partir de elementos informativos chamados identificadores, “os quais mantêm relação particularmente privilegiada e próxima com certo indivíduo” 17 .

Os identificadores podem, por sua vez, ser diretos ou indiretos. O típico identificador direto de um indivíduo é o seu nome. Constituído por prenome e sobrenome, o nome da pessoa humana é o primeiro sinal distintivo da individualidade, forma de identificação social da pessoa entre os demais membros de dada comunidade 18 . No entanto, nem sempre o identificador direto é bastante, pois pode se configurar, a título de exemplo, a homonímia, de maneira que identificadores indiretos como o número do CPF ou do telefone, a nacionalidade, a filiação, o endereço eletrônico ou o CEP da residência, e mesmo características fenotípicas, podem ser necessários para se distinguir alguém. Essa categoria é conexa ao “fenômeno das ‘combinações únicas’” 19 .

Uma vez adotada, essa concepção pode ser implementada por específica tipificação em lei de quais identificadores (diretos ou indiretos) são reputados informação pessoal. Isto é, se o dado se enquadrar dentro de uma das categorias-tipo elencadas pelo legislador, ele se torna informação pessoal por obra da lei 20 . Fora da moldura legal não haveria, portanto, dado pessoal, nem se aplicaria o regime de proteção de dados. No ordenamento jurídico dos Estados Unidos da América, o conceito restrito é tipificado em dois importantes diplomas do statutory law: o Privacy Act, de 1974, e o já mencionado COPPA 21 .

De outro lado, o conceito amplo estende seu alcance para além da pessoa natural meramente identificada: também é informação de caráter pessoal aquela relativa a pessoa identificável. Há dado pessoal não apenas quando houver a presença de identificadores diretos ou indiretos que diferem precisamente um indivíduo. Os dados que potencialmente conduzem à individuação da pessoa são igualmente tomados como informação pessoal.

Existem dados ou identificadores que, apesar de não individuarem efetivamente alguém, caso tratados com técnicas que são acessíveis e em conjunto com dados suplementares, podem levar à identificação de seu titular. Ainda que o agente responsável pelo tratamento dos dados não possa identificar com precisão a pessoa natural a quem se referem as informações processadas, com algum esforço ele, ou terceiro 22 , pode se valer de meios disponíveis para a obtenção dos dados adicionais aptos a fazê-lo.

Por exemplo, se provedor de aplicação de Internet, além de processar dados de tráfego, armazenar registros de endereço IP de terminais que acessaram seu sítio eletrônico, não obstante a ausência de identificação imediata, os usuários da Internet podem ser identificados mediante requerimento judicial de acesso a registros de conexão e dados cadastrais armazenados pelos respectivos provedores de conexão. Esse é, a propósito, o entendimento adotado na União Europeia, tanto pelo Grupo de Trabalho de Proteção de Dados do Artigo 29 23 como pelo Tribunal de Justiça da União Europeia (TJUE) nos casos C-70/10, Scarlet Extended SA v. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), e C-582/14, Patrick Breyer v. Bundesrepublik Deutschland. No primeiro, a menção à caracterização do endereço IP como dado pessoal é feito em sede de obiter dictum, mas no Breyer case compõe de fato as razões de decidir (ratio decidendi) do julgado a qualificação do endereço IP (dinâmico) como “informação relativa a pessoa natural identificada ou identificável”.

A análise do potencial de identificação (ou identificabilidade) de certa informação pelo responsável pelo tratamento ou por outro sujeito não pode ser feita em abstrato apenas, como se bastasse uma possibilidade puramente hipotética 24 . No direito europeu, desde a Diretiva 95/46/EC vigora o critério d os meios suscetíveis de ser razoavelmente utilizados, que busca ser balizado por fatores objetivos como custos e tempo de trabalho exigidos para a identificação, o estado da arte da tecnologia existente no período de duração do tratamento, os riscos de falhas técnicas e de descumprimento dos deveres de confidencialidade, por exemplo 25 .

Trata-se de critério dependente de aspectos contextuais – e.g., estágio de desenvolvimento das tecnologias da informação e inteligência artificial – que faz da caracterização como dado pessoal um estado dinâmico 26 . Esse caráter maleável do conceito, se de um lado contribui para que uma lei de proteção de dados acompanhe as transformações tecnológicas e socioeconômicas, por outro pode dar ensejo a insegurança em alguma medida, uma vez que os avanços das data-driven technologies se desenvolvem em passo acelerado e poderiam conferir caráter pessoal a dado antes considerado anônimo, devido à disponibilização de novas técnicas capazes de realizar essa reidentificação 27 .

O direito brasileiro seguiu a orientação da União Europeia e adotou o conceito amplo de dado pessoal, como pode se verificar no artigo , I, da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD): dado pessoal é “informação relacionada a pessoa natural identificada ou identificável”. O conceito da LGPD, na verdade, endossa o que já prescreve a Lei 12.527/2011 (Lei de Acesso a Informacao), no seu artigo , IV, pelo qual a informação é “aquela relacionada à pessoa natural identificada ou identificável”.

Importante se ter em mente, porém, que essa conceituação também estabelece, consequentemente, a linha divisória do que é e não é informação pessoal. Se os dados não são relativos a pessoa identificada ou identificável, desde a origem ou após ulterior tratamento, são dados ditos anônimos ou que foram anonimizados. Nos termos do artigo 5º, III, da LGPD, dado anonimizado é “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (grifou-se).

Não se pode apenas reduzir a noção de dado anônimo ou anonimizado a dado não associado ao nome de alguém. Ainda que não haja a certeira identificação do titular das informações pelo nome, a distinção (singling out) mediante outros identificadores 28 é possível, inclusive para a formação de perfil de comportamento do indivíduo 29 . Para ser anônimo, o dado não pode ter associação com pessoa identificada ou identificável de forma permanente e irreversível 30 – raciocínio este apenas derivado do conceito amplo de dado pessoal. Se assim caracterizado, o estatuto de proteção dos dados pessoais não se aplica, ou, eventualmente, aplica-se de maneira particularizada à atividade de tratamento das informações em questão 31 .

Nas últimas duas décadas, importantes estudos realizados no campo da ciência da computação, como as pesquisas de Latanya Sweeney 32 , Arvind Narayanan e Vitaly Shmatikov 33 , revelaram sérias falhas em práticas de anonimização de dados tidas por confiáveis. Isso levou a doutrina especializada a romper com a suposição da anonimização robusta (robust anonymisation assumption 34 ) então em vigor – a ideia de que com simples operações de eliminação ou substituição de atributos dos titulares dos dados, por exemplo, respeitar-se-ia a privacidade ao mesmo tempo em que seria reservada a utilidade das informações ao responsável pela base de dados.

Considerados os resultados e as pertinentes análises críticas, hoje há o reconhecimento de que sempre haverá fatores de risco de identificação ou reidentificação de pessoas com o tratamento de dados anonimizados, tendo em vista o enorme volume de dados hoje disponibilizados (via Internet) e o desenvolvimento da capacidade de processamento e análise de algoritmos de mineração de dados e de aprendizado de máquina. Todavia, isso não resultou absolutamente na eliminação da diferenciação entre dado pessoal e dado não pessoal. As recentes leis de proteção de dados ainda insistem e estão fundamentadas nessa distinção e na eficácia possível de técnicas de anonimização 35 , tais como a adição de ruídos, permutação, privacidade diferencial, k-anonimato e l-diversidade.

No exame da robustez e do nível de garantia oferecidos por técnicas e práticas de anonimização de dados, sugere-se que três tipos de riscos principais sejam levados em consideração: distinção (singling out), possibilidade de ligação e inferência. O primeiro versa sobre a possibilidade de se isolar alguns ou todos os registros que destaca uma pessoa em uma base de dados; o segundo é a capacidade de se estabelecer uma conexão entre pelo menos dois registros relativos ao mesmo indivíduo ou mesmo grupo de pessoas; e o terceiro, por fim, diz com a possibilidade de deduzir, com uma significativa probabilidade, o valor de um atributo a partir dos valores de um conjunto de outros atributos. 36

Em meio a essa discussão, com uma abordagem orientada pelo risco, há o surgimento de propostas que visualizam entre o dado pessoal e o dado anônimo um gradiente de cores ou um continuum com categorias que superam a lógica binária 37 dado pessoal/dado anônimo, informações a que se aplicam o regime de proteção de dados pessoais/informações a que não se aplicam o regime de proteção de dados pessoais. É nesse contexto que se coloca a ideia de dado pseudonimizado.

Segundo o Grupo de Trabalho de Proteção de Dados do Artigo 29, o procedimento de “pseudonimização consiste em substituir um atributo (tipicamente um atributo único) em um registro por outro” 38 ; seria um processo de mascaramento ou disfarce (disguising) de identidade 39 , que afeta principalmente identificadores diretos 40 . Conquanto haja na doutrina quem defenda que a pseudonimização seja mais uma técnica de anonimização 41 , a distinção entre ambos é feita em sede legal, tanto pela GDPR 42 como pela LGPD 43 .

A pseudonimização opera de maneira que as informações não podem ser conectadas a um titular de dados específico sem que se recorra a informações suplementares, desde que estas sejam mantidas separadamente, empregadas medidas organizativas e de segurança. Em pesquisas médicas, a partir da década de 2000 já se estuda a implementação dessas técnicas a fim de se alcançar o respeito à privacidade dos sujeitos da pesquisa e o tratamento de dados de modo útil à investigação científica. Para estudos de radiologia clínica, a título de exemplo,...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
8 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198086208/protecao-de-dados-pessoais-e-criptografia-tecnologias-criptograficas-entre-anonimizacao-e-pseudonimizacao-de-dados-parte-iii-criptografia-ciberseguranca-e-direitos