Tema de relevância no âmbito da Lei Geral de Proteção de Dados (LGPD) é o relacionado à pseudonimização e à anonimização dos dados pessoais. Como se sabe, a anonimização dos dados pessoais faz com que o titular não possa ser identificado1. A anonimização é uma medida a ser tomada pelo agente de tratamento de dados pessoais, de modo a retirar do dado o atributo de “pessoal”, e, por conseguinte, e pelo menos a princípio, diminuir os riscos de sua atuação a partir do incremento da proteção do titular.
De outro lado, existe a pseudonimização2. Da mesma forma, o agente de tratamento poderá pseudonimizar3 os dados pessoais, de modo a, num primeiro momento, ocultar a relação da informação à pessoa natural. Note-se que, aqui, os dados não deixam de escapar à conceituação de dados pessoais do art. 5º, II da LGDP. Ainda no que tange à conceituação, o §4º do art. 13 da LGPD estipula que a pseudonimização "é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Ou seja, com o dado pseudonimizado, o controlador dispõe dos meios para identificar o titular dos dados pessoais. No caso do dado anonimizado, e se bem realizada a anonimização, essa identificação já não se torna mais, em tese, possível4.
Ocorre que o tema anonimização e pseudonimização não se esgota nessa atividade do controlador de tratar dados pessoais em determinados contextos para proteger ainda mais a informação. Focando-se daqui para frente na pseudonimização, calha mencionar o pseudônimo e a utilização que dele pode ser feita para fins de autoproteção de dados.
Recorde-se que os pseudônimos apresentam um histórico de utilização até mesmo em nível mundial. Cuida-se de um nome suposto, imaginado, fictício, utilizado por alguém que tem o intuito de exercer o seu direito de liberdade de expressão ou de realizar transações, sem revelar a sua real identidade. São conhecidos diversos casos de utilização de pseudônimo ao longo da história: Chico Buarque compôs, durante o regime militar inaugurado em 1964, sob o pseudônimo de Julinho de Adelaide; Lutero traduziu a Bíblia em Wartburg, na cidade de Eisenach, na Turíngia, identificando-se como Junker Jörg.
O Código Civil Brasileiro trata do pseudônimo em capítulo específico da Parte Geral, que dispõe sobre os direitos da personalidade, estatuindo, no art. 19, que "o pseudônimo adotado para atividades lícitas goza da proteção que se dá ao nome".
Também a lei 9.610, de 19.02.1998 (Lei de Direitos Autorais) faz algumas menções ao pseudônimo, sempre no intuito de regular a proteção do autor que produz criação ocultando o seu verdadeiro nome. Neste contexto, o art. 5º, VIII, "c", da lei 6.910 conceitua a obra pseudônima como sendo aquela em que o autor se oculta sob nome suposto. Mais adiante, a referida lei faculta que o criador de obra literária, artística ou científica se identifique por meio de seu nome civil completo ou abreviado, por suas iniciais, por pseudônimo ou qualquer outro sinal convencional. Já no art. 24, II, a Lei de Direitos Autorais estabelece como direito moral do autor o de ter seu nome, pseudônimo ou sinal convencional indicado ou anunciado como sendo o do autor, na utilização de sua obra.
Traço comum das regras mencionadas, tanto do Código Civil quanto da Lei de Direitos Autorais é o da proteção da utilização do pseudônimo, seja no sentido de garantir o seu emprego para fins de reconhecimento do direito de autor, seja para proteger de quem o indevidamente utilize.
Ocorre que, na contemporaneidade, e especialmente após a disseminação da rede mundial de computadores e a sua utilização para relacionamentos e negócios, o pseudônimo já vem desempenhando uma função para a qual geralmente não se atenta. É que, por mais que o Estado preveja regras que visem a regular o tratamento de dados pessoais como o faz a LGPD, sempre haverá um limite na eficácia dos sistemas de proteção de dados.
Abre-se, assim, um espaço para que o próprio indivíduo tome medidas para preservar a sua autodeterminação informativa. Neste contexto, a doutrina alemã5 tem já há bastante tempo reconhecido a possibilidade de o pseudônimo atuar como instrumento de autoproteção de dados (Selbstdatenschutz), especialmente na área do comércio eletrônico.
Tome-se o exemplo da seguinte situação: numa plataforma de comércio eletrônico em que determinado indivíduo adquire com certa frequência produtos, não é necessário que, antes da conclusão de cada compra, o possível vendedor tome conhecimento da real identidade do adquirente. Isso porque este, ainda indeciso se finalizará ou não a compra, poderá estabelecer um diálogo visível para todos com o vendedor, perguntando sobre as características e especificações do produto.
Nestes casos, as perguntas e respostas podem ser úteis para outros interessados, mas a identidade de quem as fez não tem qualquer relevância. A identidade importará, na verdade, se o negócio for concluído, pois a partir desse momento o vendedor apenas terá condições de realizar a prestação que lhe cabe se tiver acesso aos dados pessoais do comprador6.
É de se notar que apesar de essa perspectiva de utilização do pseudônimo não estar expressamente contemplada no Regulamento Geral de Proteção de Dados da União Europeia, até mesmo a hoje revogada Diretiva de Assinaturas Eletrônicas 1999/93, bem como o texto legal que a substituiu, o vigente regulamento nº 910/2014 (Regulamento EIDAS), contemplam a previsão da possibilidade de que um titular de certificado eletrônico, como um certificado digital7 seja identificado, ao invés de por meio de seu nome, por um pseudônimo.
Voltando-se à doutrina alemã, ainda no início dos anos 2000, quando Alexander Roßnagel, Andreas Pfitzmann e Hansjürgen Garstka apresentaram parecer com sugestões de modernização da legislação de proteção de dados ao Ministério do Interior da Alemanha, chamaram a atenção para o papel que a utilização do pseudônimo poderia desempenhar8.
Indicaram ainda, os autores, que, diferentemente da pseudonimização empregada pelos agentes de tratamento, na qual, em muitos casos, o titular dos dados pode até mesmo ignorar que os dados relacionados a sua pessoa foram pseudonimizados, quando ele próprio adota o pseudônimo o faz no que pode ser denominado de modalidade ativa9de sua utilização.
Por haver uma associação entre o pseudônimo eleito e a pessoa oculta por ele, estabelece-se a necessidade de uma regra de associação (Zuordnungsregel)10, que deve ser estabelecida pelo agente de tratamento. Nas hipótese antiga de alguém que publica uma coluna de jornal sob pseudônimo, cabe ao editor da publicação determinar a regra, bem como um procedimento para eventual revelação da identidade da pessoa (Aufdeckungsverfahren).
Na contemporaneidade, são os sistemas oferecidos pelos desenvolvedores de modelos de negócios que poderão ser concebidos para contemplar a faculdade disponibilizada ao usuário, de, em certas e determinadas ocasiões, apresentar-se mediante a utilização de pseudônimo.
Portanto, além de o indivíduo tomar a iniciativa de emprego do pseudônimo, não se pode olvidar que também os desenvolvedores de aplicações e de modelos de negócios ficarão incumbidos de criar as condições para que o titular de dados escolha essa alternativa de identificação.
Trata-se, assim, a toda evidência, de uma boa prática que pode ser seguida por agentes de tratamento efetivamente preocupados em implementar medidas de privacy by design.
A questão não pode ser confundida com o emprego de perfis falsos em redes sociais e até mesmo em transações eletrônicas. Se está a cuidar aqui de proteção de pessoas bem intencionadas que desejam, por iniciativa própria, e valendo-se das condições oferecidas pelos agentes de mercado, implementar medidas de autoproteção de dados para o fim de preservar a sua autodeterminação informativa.
Em síntese, é possível afirmar que o fomento ao correto emprego de pseudônimos para essa finalidade consiste em importante mecanismo para buscar uma maior conscientização dos usuários acerca da relevância de protegerem as informações a si relacionadas.
__________
1 De acordo com o art. 5º, III, da Lei Geral de Proteção de Dados, dado anonimizado é o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Não se entrará aqui no debate acerca da reversibilidade ou não do processo de anonimização e da própria discussão acerca do conceito de dados anonimizados.
2 No que diz respeito à pseudonimização, a LGPD a menciona no art. 13, caput, e § 3º do mesmo art. 13: "Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas."
3 Aproveita-se o ensejo para observar que, em nosso entendimento, não há que se falar em "pseudoanonimização", como em alguns debates sobre proteção de dados chega-se a ventilar. Ou bem se tem anonimização ou pseudonimização, mas "pseudoanonimização" soa como uma referência depreciativa a uma tentativa de anonimização mal realizada.
4 Inclusive na linha do que determina o art. 5º, I, da LGPD: "anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo".
5 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001.
6 Recorde-se, neste ponto, da base legal da LGPD que fundamenta o cumprimento do contrato, art. 7º, V: "quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados."
7 O termo "certificado eletrônico" corresponde ao que a legislação brasileira reconhece como certificado digital (MP 2.200-2/2001, art. 6º e lei 14.063/2020, art. 3º,III. A utilização do termo "eletrônico", ao invés de "digital" marca a opção "neutra tecnologicamente" da Diretiva Europeia 1999/93, bem como do Regulamento EIDAS de 2014.
8 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 102-111.
9 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103.
10 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103.