Em geral, plataformas operadoras de dados são empresas desenvolvedoras de sistemas de tecnologia da informação que captam e realizam o tratamento de dados pessoais de usuários, em nome e no interesse de outra empresa (controladora), que contrata a tecnologia e a quem compete tomar as decisões referentes ao tratamento de dados pessoais dos usuários da plataforma fornecida pela operadora.
Nas relações comerciais entre controlador e operador, o tratamento de dados pessoais na maioria das vezes está lastreado no consentimento dos usuários dos serviços digitais. Entretanto, considerando a natureza dos dados e as finalidades de uso, é possível que outras bases legais sejam utilizadas pelo controlador, como as hipóteses de cumprimento de obrigação legal ou regulatória; uso compartilhado de dados pela administração pública; realização de estudos por órgãos de pesquisa; execução de contratos; interesses legítimos do controlador ou de terceiro, entre outras (cf. art. 7º da LGPD).
No setor de saúde, por exemplo, a base legal da tutela da saúde pode ser empregada em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias, admitindo-se também as hipóteses de uso das informações coletadas para a proteção da vida ou da sua incolumidade física, ou ainda para realização de estudos por órgão de pesquisa, garantida neste caso, sempre que possível, a anonimização dos dados pessoais.
Em suma, o tratamento de dados pessoais pode vir a apresentar bases legais distintas a depender do tipo de tratamento, dentre aquelas elencadas nos arts. 7º e 11 da LGPD, considerando a plataforma e suas macrofunções, os dados pessoais (se sensíveis ou não) e as finalidades específicas de uso.
No que toca especificamente ao uso para fins comerciais ou econômicos, essa prática requer o consentimento prévio dos titulares, o qual deve ser reforçado, de forma específica e destacada, no caso de utilização de dados sensíveis. Significa que os dados pessoais não podem ser compartilhados ou transferidos a terceiros, sob qualquer hipótese, sem prévia autorização dos titulares, a qual deve ser expressa e inequívoca.
A este respeito, cabe ao controlador decidir acerca do uso para fins econômicos. O operador, por si só, não pode compartilhar, transferir ou divulgar quaisquer dados pessoais para terceiros que não estejam ligados direta ou indiretamente às finalidades determinadas pelo controlador.
Qualquer utilização para fins econômicos está, portanto, condicionada à prévia determinação do controlador, à existência de uma base legal e ao consentimento prévio dos titulares de dados, o qual pode se dar no momento da coleta (segundo os termos de uso e política de privacidade da plataforma) ou mediante consentimento específico por ocasião do tratamento, se for o caso.
Não é descartada, por exemplo, a viabilidade – em tese – da previsão expressa na política de privacidade e nos termos de consentimento dos usuários, este último expresso e específico, da possibilidade de a operadora – em nome do controlador – tratar dados anonimizados com o objetivo de desenvolver novos produtos e serviços ou mesmo conduzir pesquisas a partir da coleta de dados pessoais de pacientes, ou ainda utilizá-los de forma anonimizada para fins estatísticos.
É possível imaginar, inclusive, desde que haja autorização específica para tanto, o acesso pela operadora às informações inseridas na plataforma de forma anonimizada para análise (dados qualitativos e quantitativos de população e suas características), ou até mesmo o uso compartilhado com anunciantes ou agências (sempre que possível de forma anonimizada) para fins de ofertas de anúncios e conteúdo de forma personalizada, de acordo com os interesses dos titulares.
Em qualquer caso, porém, se o uso não estiver fundamentado em uma das hipóteses legais de dispensa do consentimento, os dados pessoais somente poderão ser tratados, compartilhados ou transferidos a terceiros – por ordem do controlador – após o consentimento e autorização expressa do titular, exclusivamente para quem for do seu interesse ligado ao contexto de tratamento, desde que aquele uso não seja vedado pela legislação, mediante identificação das pessoas que terão acesso às informações.
Além disso, vale atentar que o princípio da finalidade, previsto no primeiro inciso do art. 6º da LGPD, impõe limites à atividade de tratamento de dados para as situações em que ela vise atingir propósitos legítimos, específicos, explícitos e informados ao titular.
Pelo princípio da finalidade, todo dado coletado deverá ter, no momento de sua coleta, a indicação clara e completa que a justifique. Nesse sentido, as atividades de tratamento de dados pessoais deverão observar a boa-fé e deverão ficar limitadas à “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Ainda assim, a vinculação à finalidade não significa uma vedação absoluta a qualquer utilização ou reutilização posterior dos dados coletados para outras finalidades. Trata-se, isso sim, de uma restrição ao tratamento para novas finalidades incompatíveis com a finalidade original, admitidas ainda algumas situações excepcionais de tratamento posterior incompatível. Em qualquer caso, as novas finalidades de tratamento devem ser previamente justificadas e informadas ao titular, que, na maioria das vezes, tem a faculdade de se opor ao tratamento.
É que o princípio da adequação exige compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento, e a necessidade limita o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência limitada aos dados pertinentes, proporcionais e não excessivos em relação às finalidades declaradas (incisos II e III do art. 6º da LGPD).
Nesse contexto, uma alteração de finalidade exigiria ao menos um exercício de adequação para verificar se o tratamento posterior não seria incompatível com a finalidade inicialmente prevista. Para tanto, deve-se investigar elementos como a vinculação entre finalidades; contexto do tratamento; natureza dos dados; possíveis consequências para os titulares; e salvaguardas adequadas.
Lembre-se aqui que o controlador é o agente responsável por tomar as decisões relacionadas ao tratamento de dados pessoais. Ele determina as finalidades para as quais os dados são coletados e processados, bem como os meios utilizados para tal.
O operador, por outro lado, é o agente que efetivamente realiza o tratamento em nome do controlador e agirá sempre conforme as instruções fornecidas por ele. O operador não tem autonomia para alterar a finalidade ou os meios do tratamento. De acordo com o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado “o operador só pode agir no limite das finalidades determinadas pelo controlador.”1
Ainda segundo o Guia, alguns elementos decisórios devem permanecer sob o domínio do controlador. Dentre os elementos decisórios principais, destaca-se a definição da finalidade do tratamento, que será sempre estabelecida pelo controlador, a quem compete, em conformidade com as disposições da LGPD, estipular os objetivos que justificam a realização do tratamento, bem como a sua respectiva base legal.
Isso tudo porque o tratamento de dados pessoais só é legítimo quando observados os princípios da LGPD e quando lastreado em pelo menos uma base legal prevista no artigo 7º ou, quando se tratar de dados pessoais sensíveis, no artigo 11 da LGPD. A determinação da base legal está intrinsecamente ligada à finalidade do tratamento de dados. Em outras palavras, ao alterar a finalidade do tratamento, deve-se alterar ou renovar a base legal para fundamentar o tratamento para a nova finalidade, e isto deve ser determinado em cada caso pelo(s) controlador(es).
No que diz respeito à transferência de dados a terceiros, a LGPD, em seu art. 5º, enumera uma série de operações realizadas com dados pessoais que são consideradas “tratamento de dados”. Entre elas está a transferência, conceituada como a “mudança de dados de uma área de armazenamento para outra, ou para terceiro”.2
Enquanto operação de tratamento, a transferência pode ser realizada desde que respeitados os requisitos de tratamento de dados dispostos na LGPD. Partindo das premissas já traçadas, é normal que o controlador transfira ao operador os dados existentes em suas bases.
Em linhas gerais, existem ao menos três situações distintas para realizar conclusões a respeito da possibilidade de transferência de dados. São elas, a transferência: i) entre controladores; ii) entre controlador e operador; e iii) transferência do controlador ou operador para terceiros.
Em relação a dados pessoais sensíveis referentes à saúde, a legislação traz ainda alguns requisitos adicionais. A primeira situação é tratada pelo art. 11 da LGPD, restando expresso no §4º a vedação à comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de “obter vantagem econômica”, ressalvadas as exceções enumeradas no próprio parágrafo.3 O dispositivo trata de uma vedação aos controladores, consequentemente aplicável aos operados de dados que atuam sob suas ordens.
Note-se que a LGPD não proíbe a comunicação ou o uso compartilhado de todo e qualquer dado pessoal sensível entre controladores com objetivo de obter vantagem econômica, desde que haja o consentimento específico do titular. A vedação está direcionada aos dados sensíveis “referente à saúde”, embora estabeleça que uma restrição mais geral sobre qualquer “dado sensível” poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional (§3º do art. 11).
Em relação à segunda situação, a transferência de dados entre os agentes de tratamento (controlador e operador) se submete também às regras da LGPD. Ou seja, esse tipo de tratamento é permitido na medida em que a própria legislação adota posições para estabelecer responsabilidades e limites de atuação desses agentes.
Por fim, na terceira situação (transferência do controlador ou operador a terceiros), a análise dos elementos legais indica que a transferência de dados pessoais a terceiros, sensíveis ou não, dependeria em qualquer caso de uma base legal válida e, se pretendida pelo operador, dependeria ainda de ordem ou autorização do controlador.
Esta afirmação considera a posição do operador (mero executor das finalidades estabelecidas pelo contratador e por ele limitado)4, assim como eventuais disposições contratuais que, em geral, vedam essa prática sem autorização expressa do controlador e sem uma base legal específica para tanto.
A este respeito, aliás, vale trazer a redação do art. 16 da LGPD, segundo o qual os dados pessoais deverão ser eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
É de se perceber que há uma clara preocupação com a reutilização dos dados para fins não previstos entre as finalidades anunciadas, sendo que em todos os casos – expressamente descritos – a transferência deve ser previamente autorizada em uma base legal própria – um novo consentimento, por exemplo – e sob o poder de decisão do controlador.
Em qualquer caso, a transferência de dados a terceiros dependeria de determinação do controlador, a qual estaria ainda condicionada à prévia conformação em uma base legal específica e declarada de modo transparente aos titulares dos dados, especialmente quando implicar em alteração das finalidades de tratamento inicialmente informadas. Se o consentimento não puder ser dispensado com base em alguma hipótese legal, será imprescindível a autorização expressa dos titulares a este respeito.
Neste momento cabe a pergunta: mas se os dados forem anonimizados, é possível realizar a transferência livremente para terceiros?
A LGPD define a anonimização como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Ou seja, o conceito de anonimização de dados está relacionado ao ato de utilizar métodos e técnicas (como supressão, generalização ou criptografia) para desvincular os dados pessoais do seu titular, alterando ou apagando as informações de maneira a não permitir a sua identificação.
A LGPD ainda define no art. 5° que o dado anonimizado é um “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Dessa forma, um dado anonimizado é aquele que pertencia a um indivíduo, mas passa por processos de desvinculação e não tem mais relação com o titular. Portanto, a partir do momento em que um dado é anonimizado e deixa de ser um dado pessoal, torna-se impossível identificar ou vincular quem é a pessoa a ele relacionada.
É importante notar que, para a LGPD, o dado será considerado anonimizado quando o titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Sendo assim, por sua disposição expressa, a LGPD não incidirá sobre os dados anonimizados, conforme artigo 12 da lei:
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
Em outras palavras, é possível dizer, desde que o processo de anonimização não seja reversível ou exija esforços além do razoável para reversão, que os dados anonimizados não estão sujeitos às limitações e condicionantes legais e poderão ser tratados independentemente das disposições e restrições da LGPD.
Para apoiar-se na anonimização, no entanto, caberá ao agente de tratamento realizar estudos cuidadosos e periódicos que o tornem apto a afirmar que cumpre com todos os requisitos indicados acima, o que pode ser demorado e custoso. Se houver qualquer dúvida razoável sobre a eficácia ou ausência de recursos para cumprir com esse tipo de análise, a atitude prudente é tratar os dados como pseudomizados e não se furtar à aplicação da LGPD.
É preciso ressaltar que há riscos envolvendo a anonimização de dados para efeitos de incidência da LGPD. Ao manter a base de dados original em sua posse, por exemplo, o agente de tratamento pode, a qualquer momento, reverter o processo de anonimização e restaurar o caráter identificável dos dados.
Em casos muito específicos, seria possível identificar a pessoa natural via dado anonimizado. Por exemplo quando se tratar de dados envolvendo doenças raras ou ultrarraras. A prevalência dessas doenças e a quantidade de médicos especializados no assunto é particularmente baixa. Logo, a depender da doença e da localidade, seria possível cogitar a possibilidade de identificar um paciente através de seu médico.
Nesse sentido, vale apontar que, ao operar um processo de anonimização e manter a base de dados com todas as informações originais, o controlador não estaria anonimizando os dados em questão, mas adotando uma técnica de pseudonomização.
A LGPD adota, aliás, uma abordagem baseada no risco (risk based approach), ou seja, reconhece que qualquer dado anonimizado detém o risco residual inerente de se transmudar em um dado pessoal. O entendimento majoritário é no sentido de que o processo de anonimização gerencia circunstancialmente a identificabilidade de uma base de dados, de modo que para determinar se a reidentificação foi suficientemente afastada, deve-se realizar uma análise contextual, ou seja, a depender do tipo de dado pessoal, o regime de proteção demandado pode variar.5
É preciso considerar que não há um único método ou uma combinação perfeita e pré-formatada para determinar se o processo de anonimização será adequado ou não. Dito isto, enuncia-se o risco da utilização de dados pessoais sensíveis ou não, mesmo que anonimizados, em quaisquer fins. Tal risco só será minimizado desde que se realize uma análise contextual como este deve ser empreendido para que os titulares dos dados anonimizados não sejam reidentificados, nem mesmo por quem procedeu à sua anonimização.
Diante desse contexto, mesmo a decisão de anonimização pelo controlador e a posterior utilização de dados anonimizados pelo controlador, operador ou terceiro, não são isentas da incidência de algumas regras estabelecidas na LGPD ante o apontado risco de reversão.
De maneira geral, a LGPD recomenda a anonimização de dados em determinados casos, como a realização de estudos por órgão de pesquisa quando se deve garantir, sempre que possível, a anonimização dos dados pessoais; e na realização de estudos em saúde pública que também devem incluir, sempre que possível, a anonimização ou pseudonimização dos dados (arts. 7º, IV e 11 c da LGPD).
Além disso, a LGPD também menciona a anonimização ao abordar a eliminação de dados (art. 16), quando estabelece que eles podem ser conservados para determinadas finalidades após o término de seu tratamento, incluindo: estudo por órgão de pesquisa, novamente garantida, sempre que possível, a anonimização dos dados pessoais, e para o uso exclusivo do controlador, vedado seu acesso por terceiro, e desde anonimizados os dados.6
Isto é, para que seja realizado um processo de anonimização, a decisão a respeito disso deve ser tomada pelo controlador de dados, tendo em vista o risco de reversão, acima citado, que poderia implicar em tratamento de dados pessoais, razão pela qual não é facultada livremente ao operador essa decisão. Ou seja, a LGPD não confere ao operador a liberdade de anonimizar as bases de dados recebidos do controlador e dispor delas além dos limites impostos pelo próprio controlador.
O controlador, ainda assim, não poderia livremente decidir pela anonimização e transferir os dados anonimizados a terceiros. A anonimização requer a conformação à legislação e, neste sentido, quando realizada após o término do tratamento vinculado à finalidade que motivou a coleta, a utilização dos dados anonimizados deve ficar restrita ao uso exclusivo do controlador, vedado seu acesso por terceiros.
Em raciocínio inverso, implica dizer que, caso seja do interesse do controlador realizar a transferência a terceiros dos dados anonimizados, a decisão de anonimização e transferência deve ser sido informada como parte integrante do termo de consentimento para tratamento de dados pessoais, a fim de evidenciar a ciência inequívoca quanto ao processo de anonimização, transferência e riscos envolvidos, em atenção aos princípios da transparência, segurança e prevenção, entre outros princípios da LGPD.
Aqui é o momento de apontar uma notável discussão em torno do dispositivo legal em comento. Há uma aparente contradição em seus termos, na medida em que, sendo os dados de fato anonimizados, seria possível sustentar a possibilidade de sua divulgação ou compartilhamento, pois não mais estariam diretamente protegidos pela lei, desde que todos os demais dispositivos sejam atendidos, especialmente os que tratam sobre as restrições ao uso dos dados, mesmo anonimizados.
Quando se analisa o art. 16, retorna-se ao escopo de tratamento definido pela própria lei, considerando que os dados passam, novamente, a ser transferidos ou armazenados - isto é, não são eliminados, continuam sendo tratados sob o escopo da LGPD. Por isso, há quem sustente ter havido um equívoco por parte do legislador nesse dispositivo – em especial o inciso IV do art. 16 –, pois se os dados são anônimos, a LGPD não possui eficácia sobre eles, não fazendo sentido a proibição.
Ainda assim, como o dispositivo em questão permanece vigente na lei federal, é necessário adotar postura de cautela a recomendar a restrição de uso de dados por terceiros, ainda que anonimizados, sem a prévia conformação em uma base legal para a transferência que o controlador pretenda realizar.
Então, pode-se resumir um conjunto de recomendações mínimas e condicionantes para possibilitar a eventual transferência a terceiros de dados anonimizados pelo operador, a pedido do controlador, conforme apresentado a seguir.
§ Em primeiro lugar, a transferência de dados pessoais do controlador ou operador a terceiros depende sempre de decisão do controlador e de base legal específica.
§ A transferência é uma operação de tratamento de dados e, portanto, requer uma base legal legítima, específica e explícita, dentre aquelas enumeradas nos arts. 7º e 11 da LGPD.
§ Se o dado pessoal foi inicialmente coletado para uma determinada finalidade, esta finalidade não pode ser alterada ou desvirtuada para usos secundários ou derivados pelo controlador ou operador de dados, sem que uma nova base legal lhe dê suporte, exceto nas situações expressamente admitidas pela legislação.
§ Se a finalidade do tratamento (transferência) for a exploração meramente econômica, a base legal, em regra, é o consentimento, e ainda, tratando-se de dados sensíveis, o consentimento deve ser específico e destacado.
§ Em alguns casos, como a hipótese de comunicação ou uso compartilhado de dados pessoais sensíveis referentes a saúde entre controladores com o objetivo de obter vantagem econômica, a LGPD restringe esta prática a algumas hipóteses bastante limitadas.
§ A anonimização é uma operação regulada e dependente de uma decisão fundamentada do controlador de dados. Não compete ao operador, sem autorização ou ordem expressa do controlador, proceder à anonimização por sua própria vontade ou interesse, ante o risco de reversibilidade da medida técnica e os perigos que lhe são inerentes.
§ A anonimização de dados, por si só, não depende de nova base legal, pois dados anonimizados não são considerados dados pessoais. No entanto, o processo de anonimização depende de decisão do controlador, assim como o uso de dados anonimizados depende de diretrizes do controlador, ante o risco de reversão.
§ O controlador pode decidir anonimizar os dados constantes de suas bases, porém nesse caso eventual utilização dos dados anonimizados deve ficar restrita ao seu uso exclusivo, vedada a transferência a terceiros.
§ Caso haja interesse ou necessidade de transferir dados anonimizados a terceiros, o controlador deve informar explicitamente tais finalidades de uso e transferência de maneira integrada no termo de consentimento para uso de dados pessoais, a ser autorizado pelo titular, ante os riscos de reversão.
§ A transferência de dados anonimizados a terceiros pelo operador somente poderia ocorrer se houvesse o cumprimento de todos esses requisitos, especialmente a decisão fundamentada e a ordem explícita do controlador nesse sentido, dentro dos limites da autorização que lhe for concedida pelos titulares em caso de acesso por terceiros.
§ A eventual exploração econômica dessa base de dados anonimizada, se permitida e determinada pelo controlador, deverá ser regulada no contrato entre controlador e operador, onde poderá ser disciplinado eventual compartilhamento de receitas entre ambos na relação jurídica, se houver.
-------------------------
1 ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
2 Cf. GLOSSÁRIO LGPD. Disponível em: https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd
3 “Em regra geral, dados de saúde não poderão ser compartilhados entre controladores, caso haja o objetivo de vantagem econômica, conceito que deve ser entendido de forma ampla, contemplando vantagens diretas ou indiretas, inclusive aquelas de caráter não estritamente monetário.” MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coords). LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Editora Revista dos Tribunais, 2019. Pag. 201.
4 Há ainda a discussão sobre a possibilidade de compartilhamento de dados pelo operador com suboperadores. Entretanto, como o tema não se relaciona diretamente com o objeto deste artigo, optou-se por não estender o assunto.
5 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 1. ed. Rio de Janeiro: Forense, 2019. p. 75
6 Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: (...) IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.