Da filosofia para a proteção de dados, hoje recorro a uma das tragédias gregas mais emblemáticas, Édipo Rei, para propor reflexão sobre o Guia de Anonimização e Pseudonomização lançado recentemente à consulta pública pela Autoridade Nacional de Proteção de Dados.
Para quem não se recorda da referida obra, eis uma versão resumida (contém spoiler, rs.):
– Édipo, ao nascer, é amaldiçoado por uma profecia que condena seu destino e prevê que ele irá matar seu pai e se casar com sua mãe.
– Os pais, impactados pela profecia, resolvem abandoná-lo.
– Édipo é acolhido por outra família e cresce sem conhecer as suas raízes.
– Édipo eventualmente toma ciência da profecia e foge de casa para evitá-la.
– Após a fuga, sem saber, Édipo acidentalmente mata seu pai biológico e, mais tarde, se casa com sua mãe biológica.
Moral da história: ao tentar fugir de seu destino, Édipo acaba cumprindo a profecia.
Tá, mas o que isso tem a ver com proteção de dados e o mencionado Guia da ANPD?
A versão curta da resposta é: o Guia, se mal interpretado, pode estender o destino de Édipo para os agentes de tratamento.
A versão longa vem a seguir:
O Guia contém, mais de uma vez, a afirmação de que o ato inicial do processo de anonimização configura operação de tratamento de dados pessoais cujos identificadores serão removidos (itens 27/30).
A princípio, parece claro que a autoridade quis, com esse trecho, apenas comunicar a simples ideia de que dados não anonimizados, na condição de dados pessoais, contam integralmente com a proteção conferida pela LGPD e advertir que, nesse contexto, não pode um agente de tratamento descuidar de aplicar as devidas medidas impostas pela lei somente porque pretende um dia anonimizá-los.
Contudo, o que me preocupa é que tais linhas, que tinham tudo para soar nada mais que lógicas e inocentes, possam ser perigosamente interpretadas no sentido de que não haveria outra forma de se chegar à anonimização senão por meio do tratamento inicial de dados pessoais.
Isto é, corre-se o risco de se inadmitir que um processo de anonimização possa ocorrer com a dispensa de um ato pretérito de tratamento, retirando dos agentes de tratamento a possibilidade de, ao reduzirem os riscos para os titulares de dados via anonimização, também virem a mitigar riscos para si.
Em outras palavras, meu temor é de que o Guia venha a ser utilizado para defesa do argumento de que a autoridade não concebe que um dado possa “nascer” anonimizado (by design e by default), vez que este terá sido, qualquer que seja a técnica ou conjunto de técnicas aplicadas, em algum momento, pessoal.
Evidentemente, não tenho a ambição de nessas poucas linhas analisar, com profundidade, todas as minúcias de possíveis e imagináveis técnicas de anonimização, mas, para mim, ao se estabelecer que de início sempre haverá tratamento de dados pessoais, ignora-se a existência de meios tecnológicos bastante seguros e eficazes que, sabidamente, são capazes de, desde o princípio, senão eliminar, reduzir drasticamente (produzindo efeito prático assemelhado à eliminação) a possibilidade de identificação de titulares.
Nesse contexto, em minhas muitas andanças no consultivo de proteção de dados, já me deparei com um bom número de soluções destinadas a fins exclusivamente analíticos, demonstravelmente projetadas por especialistas em tecnologia para aniquilar, no marco zero de coleta de dados, qualquer possibilidade de identificação de titulares. A esse título, me recordo de avaliar aplicação geradora de análises de padrão de sono em alto nível (ex.: médias de sono por região geográfica), a qual foi projetada de forma que, a cada interação do usuário, fosse gerado um identificador aleatório exclusivo que, imediata e irreversivelmente, se transformava em sequência de caracteres única, inviabilizando, em frações de segundo, qualquer possibilidade teórica de identificação de usuários.
Assim, nesse e em outros cenários assemelhados, sob lentes de risco, me parece irrazoável defender que sempre haverá atos iniciais de tratamento de dados pessoais quando da anonimização, sob pena de se ignorar a realidade tecnológica, desestimular sua evolução e levar a aplicação da lei a territórios extremos não pretendidos pelo legislador.
Tal afirmação, lançada em abstrato em tons de verdade absoluta, assim como na tragédia de Édipo, tornaria inevitável o destino dos agentes de tratamento que, independentemente de seus esforços e diligências, teriam de fatalmente suportar o fardo integral da lei, tornando inútil a previsão expressa da LGPD quanto à sua não-aplicação ao tratamento de dados anonimizados. Pior, ao reduzir a pó os incentivos legais para a aplicação de medidas de anonimização, acabaria por condenar, ainda, os principais protagonistas da história, os titulares de dados.
Além disso, sinto que o Guia poderia ser aprimorado no trecho em que menciona obrigações dos agentes de tratamento responsáveis pela anonimização (de identificar base legal para a coleta de dados pessoais a serem anonimizados; informar aos titulares do propósito de anonimização; e medir a compatibilidade da anonimização com os propósitos inicialmente traçados para o tratamento), para não permitir a construção de entendimento, seguramente diverso da intenção do regulador (e, principalmente, do legislador), de que a anonimização em si se trataria de um processo-fim (leia-se, atividade de tratamento) e não meio.
Ora, a anonimização não é mais do que um meio alternativo ao tratamento de dados pessoais, com ele não se confundindo. É justamente a via de saída antes de se ingressar na estrada do tratamento, que surge como resultado da aplicação do conceito de privacy by design, ao se responder “sim” para a primeira e primordial pergunta: “há como atingir o objetivo pretendido sem realizar o tratamento de dados pessoais?”.
Assim, deve-se afastar entendimento diverso, o qual poderia provocar desestímulo à difusão da anonimização, importante medida de mitigação de riscos e aquela que melhor concilia os interesses organizacionais e dos titulares. É preciso lembrar que referida técnica não surge do nada, mas implica custos e esforços, os quais, se não servirem a aliviar riscos para as organizações, se tornarão injustificáveis.
Finalizo torcendo para que, ao propagar essa reflexão, possa contribuir para afastar interpretações incabíveis e livrar os Édipos da nossa tragédia de proteção de dados de um destino em que suas atividades de gestão de riscos não mais fariam sentido.