O periódico alemão especializado em proteção de dados e segurança da informação com abordagem interdisciplinar, Datenschutz und Datensicherheit (DuD)1, dedicou o tema central de seu último volume do ano de 2021 ao que se poderia denominar de intermediários para a utilização compartilhada de dados ou intermediários fiduciários de dados (Datentreuhänder)2.
Os intermediários fiduciários atuam na ligação entre os agentes de tratamento de dados pessoais e os titulares de dados pessoais, de modo a agregar na proteção destes. Muito embora existam variados modelos de implementação dessas figuras, a sua atuação se dá a partir da disponibilização dos dados pessoais pelos titulares a esses intermediários, que poderão realizar tratamento técnico empregando processo de pseudonimização ou de anonimização dos dados pessoais antes de os remeterem ao agente de tratamento final3.
Há, portanto, uma efetiva relação de confiança entre o intermediário e o titular de dados pessoais. Aquele atuará como ponte entre os que necessitam tratar os dados pessoais na economia da informação, mas ao mesmo tempo cuidará para que a autodeterminação informativa e os direitos do titular sejam preservados4.
Assim, ocorre, na prática, o auxílio do intermediário ao titular de dados pessoais, pelo fato de este, no dia-a-dia, encontrar-se sobrecarregado na gestão das informações relacionadas a sua pessoa, muitas vezes concedendo o seu consentimento ou autorizando o compartilhamento de dados de forma apressada, não refletindo sobre as consequências e deixando de exercer os seus direitos5.
A questão se situa no âmbito da Estratégia Europeia para Dados, de fevereiro de 20206, da qual derivou uma proposta de Regulamento Europeu relativo à governança de dados7. Essa proposta não abrange apenas dados pessoais, mas também, por exemplo, dados e informações relacionados a pessoas jurídicas, que possam inclusive ter valor comercial, mas que não se enquadram na definição de dado pessoal, como elementos relacionados aos direitos da propriedade intelectual e o segredo industrial.
A ideia que move os europeus com a edição de um texto legal de governança de dados é a de melhoria das condições para o compartilhamento, de modo a que ocorra simplificadamente, de maneira interoperável e respeitando as legislações correlatas8.
Há, ainda, inspiração na proposta de legislação nos princípios de governança de dados e reutilização de dados, conforme desenvolvidos para a área da pesquisa, os denominados princípios FAIR9, que estipulam que os dados, a princípio, devem ser passíveis de localização, de acesso, de reutilização, além de apresentarem interoperabilidade.
Um dos questionamentos que se colocaria, e que deverá ser enfrentado pelos países e organizações que pretendem, de alguma forma, adotar o modelo de intermediários fiduciários, é o de se o respectivo ordenamento jurídico, no que toca às legislações de proteção de dados, é, a princípio, compatível com essa figura.
No que diz respeito ao Regulamento Europeu de Proteção de Dados, a conclusão a que se tem chegado é que muito embora sejam diversas as possibilidades de estruturação do modelo de intermediários (por exemplo, centralizado ou descentralizado), não se vislumbraria uma barreira no texto legal em vigência10, ainda que se clame, para agregar segurança jurídica, por modificações legislativas como a do art. 8011.
Sugere-se, na literatura, a implementação de um processo de certificação dos interessados em atuar como intermediários, mediante a submissão a uma supervisão estatal12. Trata-se de proposta bastante adequada quando se trata da área de proteção de dados pessoais, que envolve tão relevantes direitos fundamentais dos cidadãos.
Além disso, há que se discutir acerca da possibilidade da representação quando da outorga de consentimento pelo titular de dados pessoais. Esse questionamento é fundamental no que diz respeito aos titulares capazes: trata-se de ato personalíssimo ou passível de outorga de poderes para que se disponha sobre o dado pessoal e os direitos do titular?
Em se trazendo o debate sobre o assunto para o Brasil, as mesmas perguntas deverão ser formuladas. Assim como na Europa, deve-se proceder a um teste de conformidade, mas, a princípio, a Lei Geral de Proteção de Dados não opõe obstáculos a sua implementação.
A Agência Nacional de Proteção de Dados (ANPD) poderia atuar na questão a partir de sua competência para "promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade" (art. 55-J, VII, LGPD), e, posteriormente, conforme o resultado dos estudos, seria possível cogitar na edição de "regulamentos e procedimentos sobre proteção de dados pessoais e privacidade(...)" (art. 55-J, XIII).
O próprio Conselho Nacional de Proteção de Dados e da Privacidade, que, da mesma forma (art. 58-A, LGPD), tem competência para elaborar estudos e realizar debates e audiências públicas sobre proteção de dados pessoais, poderia auxiliar a ANPD nessa tarefa.
Em síntese, pode-se concluir que cabe pelo menos o lançar de olhos de forma mais detida sobre as variadas possibilidades de implementação do modelo de intermediários fiduciários de dados, posto que o seu emprego de modo adequado poderá desempenhar importante papel na missão de incrementar a observância da autodeterminação informativa do titular de dados pessoais e do respeito à legislação de proteção de dados.
*Fabiano Menke é professor associado de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul – UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Titular do Conselho Nacional de Proteção de Dados e da Privacidade. Membro Fundador do Instituto Avançado de Proteção de Dados – IAPD. Advogado e Árbitro. Instagram: menkefabiano.
__________
1 O periódico Datenschutz und Datensicherheit, denominação que significa proteção de dados e segurança de dados, é publicado pela editora Springer na Alemanha, mensalmente, desde o ano de 1977, e se notabiliza pela abordagem interdisciplinar da maioria de suas publicações, com muitas delas sendo escritas sob o ponto de vista técnico e jurídico. Tem endereço virtual em www.dud.de
2 A cogitação da figura desses intermediários não é nova, conforme apontam BUCHNER, Benedikt, HABER, Anna C., HAHN, Horst K., KUSCH, Harald, PRASSER, Harald, SAX, Ulrich e SCHMIDT, Carsten. Das Modell der Datentreuhand in der medizinischen Forschung. Datenschutz und Datensicherheit (DuD), 12/2021, p. 806-810. Segundo eles, já havia projetos acerca do assunto no ano de 1982, no âmbito do Conselho da Ciência alemão (Wissenschaftsrat).
3 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 783-788.
4 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 784.
5 LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Migalhas de Proteção de Dados, 15 jan. 2021. Disponível aqui, último acesso em 10 mar. 2022; OLIVEIRA, Cristina Godoy Bernardo de; MORAIS, Luís Augusto Teixeira. Consentimento esclarecido: mera ficção? Migalhas de Proteção de Dados, 18 fev. 2022. Disponível aqui, último acesso em 10 mar. 2022.
6 https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=PT
7 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767
8 Considerando 3, Proposta de Regulamento Europeu relativo à governança de dados.
9 https://www.go-fair.org/fair-principles/
10 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 783-788.
11 SPECH-RIEMENSCHNEIDER, BLANKERTZ, SIEREK, SCHNEIDER, KNAPP, HENNE: Die Datentreuhand, Multimedia und Recht-Beil. 2021, 25, 46.
12 SPECH-RIEMENSCHNEIDER, BLANKERTZ, SIEREK, SCHNEIDER, KNAPP, HENNE: Die Datentreuhand, Multimedia und Recht-Beil. 2021, 25, 33.