Migalhas de IA e Proteção de Dados

O pseudônimo na contemporaneidade: instrumento de autoproteção de dados

A coluna trata da figura do pseudônimo como instrumento de autoproteção de dados. Assim, o professor Fabiano Menke lança pontos de reflexão para um possível incremento de sua utilização no âmbito da proteção de dados pessoais no Brasil.

5/5/2023

Tema de relevância no âmbito da Lei Geral de Proteção de Dados (LGPD) é o relacionado à pseudonimização e à anonimização dos dados pessoais. Como se sabe, a anonimização dos dados pessoais faz com que o titular não possa ser identificado1. A anonimização é uma medida a ser tomada pelo agente de tratamento de dados pessoais, de modo a retirar do dado o atributo de “pessoal”, e, por conseguinte, e pelo menos a princípio, diminuir os riscos de sua atuação a partir do incremento da proteção do titular.  

De outro lado, existe a pseudonimização2. Da mesma forma, o agente de tratamento poderá pseudonimizar3 os dados pessoais, de modo a, num primeiro momento, ocultar a relação da informação à pessoa natural. Note-se que, aqui, os dados não deixam de escapar à conceituação de dados pessoais do art. 5º, II da LGDP. Ainda no que tange à conceituação, o §4º do art. 13 da LGPD estipula que a pseudonimização "é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Ou seja, com o dado pseudonimizado, o controlador dispõe dos meios para identificar o titular dos dados pessoais. No caso do dado anonimizado, e se bem realizada a anonimização, essa identificação já não se torna mais, em tese, possível4.

Ocorre que o tema anonimização e pseudonimização não se esgota nessa atividade do controlador de tratar dados pessoais em determinados contextos para proteger ainda mais a informação. Focando-se daqui para frente na pseudonimização, calha mencionar o pseudônimo e a utilização que dele pode ser feita para fins de autoproteção de dados.

Recorde-se que os pseudônimos apresentam um histórico de utilização até mesmo em nível mundial. Cuida-se de um nome suposto, imaginado, fictício, utilizado por alguém que tem o intuito de exercer o seu direito de liberdade de expressão ou de realizar transações, sem revelar a sua real identidade. São conhecidos diversos casos de utilização de pseudônimo ao longo da história: Chico Buarque compôs, durante o regime militar inaugurado em 1964, sob o pseudônimo de Julinho de Adelaide; Lutero traduziu a Bíblia em Wartburg, na cidade de Eisenach, na Turíngia, identificando-se como Junker Jörg.

O Código Civil Brasileiro trata do pseudônimo em capítulo específico da Parte Geral, que dispõe sobre os direitos da personalidade, estatuindo, no art. 19, que "o pseudônimo adotado para atividades lícitas goza da proteção que se dá ao nome".

Também a lei 9.610, de 19.02.1998 (Lei de Direitos Autorais) faz algumas menções ao pseudônimo, sempre no intuito de regular a proteção do autor que produz criação ocultando o seu verdadeiro nome. Neste contexto, o art. 5º, VIII, "c", da lei 6.910 conceitua a obra pseudônima como sendo aquela em que o autor se oculta sob nome suposto. Mais adiante, a referida lei faculta que o criador de obra literária, artística ou científica se identifique por meio de seu nome civil completo ou abreviado, por suas iniciais, por pseudônimo ou qualquer outro sinal convencional. Já no art. 24, II, a Lei de Direitos Autorais estabelece como direito moral do autor o de ter seu nome, pseudônimo ou sinal convencional indicado ou anunciado como sendo o do autor, na utilização de sua obra.

Traço comum das regras mencionadas, tanto do Código Civil quanto da Lei de Direitos Autorais é o da proteção da utilização do pseudônimo, seja no sentido de garantir o seu emprego para fins de reconhecimento do direito de autor, seja para proteger de quem o indevidamente utilize.

Ocorre que, na contemporaneidade, e especialmente após a disseminação da rede mundial de computadores e a sua utilização para relacionamentos e negócios, o pseudônimo já vem desempenhando uma função para a qual geralmente não se atenta. É que, por mais que o Estado preveja regras que visem a regular o tratamento de dados pessoais como o faz a LGPD, sempre haverá um limite na eficácia dos sistemas de proteção de dados.

Abre-se, assim, um espaço para que o próprio indivíduo tome medidas para preservar a sua autodeterminação informativa. Neste contexto, a doutrina alemã5 tem já há bastante tempo reconhecido a possibilidade de o pseudônimo atuar como instrumento de autoproteção de dados (Selbstdatenschutz), especialmente na área do comércio eletrônico.

Tome-se o exemplo da seguinte situação: numa plataforma de comércio eletrônico em que determinado indivíduo adquire com certa frequência produtos, não é necessário que, antes da conclusão de cada compra, o possível vendedor tome conhecimento da real identidade do adquirente. Isso porque este, ainda indeciso se finalizará ou não a compra, poderá estabelecer um diálogo visível para todos com o vendedor, perguntando sobre as características e especificações do produto.

Nestes casos, as perguntas e respostas podem ser úteis para outros interessados, mas a identidade de quem as fez não tem qualquer relevância. A identidade importará, na verdade, se o negócio for concluído, pois a partir desse momento o vendedor apenas terá condições de realizar a prestação que lhe cabe se tiver acesso aos dados pessoais do comprador6.

É de se notar que apesar de essa perspectiva de utilização do pseudônimo não estar expressamente contemplada no Regulamento Geral de Proteção de Dados da União Europeia, até mesmo a hoje revogada Diretiva de Assinaturas Eletrônicas 1999/93, bem como o texto legal que a substituiu, o vigente regulamento nº 910/2014 (Regulamento EIDAS), contemplam a previsão da possibilidade de que um titular de certificado eletrônico, como um certificado digital7 seja identificado, ao invés de por meio de seu nome, por um pseudônimo.

Voltando-se à doutrina alemã, ainda no início dos anos 2000, quando Alexander Roßnagel, Andreas Pfitzmann e Hansjürgen Garstka apresentaram parecer com sugestões de modernização da legislação de proteção de dados ao Ministério do Interior da Alemanha, chamaram a atenção para o papel que a utilização do pseudônimo poderia desempenhar8.

Indicaram ainda, os autores, que, diferentemente da pseudonimização empregada pelos agentes de tratamento, na qual, em muitos casos, o titular dos dados pode até mesmo ignorar que os dados relacionados a sua pessoa foram pseudonimizados, quando ele próprio adota o pseudônimo o faz no que pode ser denominado de modalidade ativa9de sua utilização.

Por haver uma associação entre o pseudônimo eleito e a pessoa oculta por ele, estabelece-se a necessidade de uma regra de associação (Zuordnungsregel)10, que deve ser estabelecida pelo agente de tratamento. Nas hipótese antiga de alguém que publica uma coluna de jornal sob pseudônimo, cabe ao editor da publicação determinar a regra, bem como um procedimento para eventual revelação da identidade da pessoa (Aufdeckungsverfahren). 

Na contemporaneidade, são os sistemas oferecidos pelos desenvolvedores de modelos de negócios que poderão ser concebidos para contemplar a faculdade disponibilizada ao usuário, de, em certas e determinadas ocasiões, apresentar-se mediante a utilização de pseudônimo.

Portanto, além de o indivíduo tomar a iniciativa de emprego do pseudônimo, não se pode olvidar que também os desenvolvedores de aplicações e de modelos de negócios ficarão incumbidos de criar as condições para que o titular de dados escolha essa alternativa de identificação.

Trata-se, assim, a toda evidência, de uma boa prática que pode ser seguida por agentes de tratamento efetivamente preocupados em implementar medidas de privacy by design.

A questão não pode ser confundida com o emprego de perfis falsos em redes sociais e até mesmo em transações eletrônicas. Se está a cuidar aqui de proteção de pessoas bem intencionadas que desejam, por iniciativa própria, e valendo-se das condições oferecidas pelos agentes de mercado, implementar medidas de autoproteção de dados para o fim de preservar a sua autodeterminação informativa.

Em síntese, é possível afirmar que o fomento ao correto emprego de pseudônimos para essa finalidade consiste em importante mecanismo para buscar uma maior conscientização dos usuários acerca da relevância de protegerem as informações a si relacionadas.

__________

1 De acordo com o art. 5º, III, da Lei Geral de Proteção de Dados, dado anonimizado é o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Não se entrará aqui no debate acerca da reversibilidade ou não do processo de anonimização e da própria discussão acerca do conceito de dados anonimizados.

2 No que diz respeito à pseudonimização, a LGPD a menciona no art. 13, caput, e § 3º do mesmo art. 13:  "Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas."

3 Aproveita-se o ensejo para observar que, em nosso entendimento, não há que se falar em "pseudoanonimização", como em alguns debates sobre proteção de dados chega-se a ventilar. Ou bem se tem anonimização ou pseudonimização, mas "pseudoanonimização" soa como uma referência depreciativa a uma tentativa de anonimização mal realizada.

4 Inclusive na linha do que determina o art. 5º, I, da LGPD: "anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". 

5 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001.

6 Recorde-se, neste ponto, da base legal da LGPD que fundamenta o cumprimento do contrato, art. 7º, V: "quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados." 

7 O termo "certificado eletrônico" corresponde ao que a legislação brasileira reconhece como certificado digital (MP 2.200-2/2001, art. 6º e lei 14.063/2020, art. 3º,III. A utilização do termo "eletrônico", ao invés de "digital" marca a opção "neutra tecnologicamente" da Diretiva Europeia 1999/93, bem como do Regulamento EIDAS de 2014.

8 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 102-111.

9 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103.

10 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.