Dados pessoais sensíveis e inferências

Autor: Pedro Bastos Lobo Martins

O “Caso Target” já é conhecido por muitos e citado em quase todo texto que trata de Big Data e proteção de dados. Para os que não conhecem, em resumo, o pai de uma adolescente entrou em uma das lojas Target, uma empresa de varejo norte-americana, e ficou furioso ao descobrir que a companhia estava oferecendo cupons de desconto em produtos de bebê para sua filha. A reviravolta se dá quando, depois de um tempo, o pai liga para o gerente da loja e pede desculpas porque havia descoberto que sua filha de fato estava grávida. Esse caso foi relatado no ano de 2012, quando o conhecimento das possibilidades de uso de “Big Data” não era tão disseminado quanto hoje.

Embora já seja um caso bastante conhecido, ele continua sendo útil para introduzir a temática de proteção de dados. Um ano antes, a Target havia desenvolvido um modelo que era capaz de atribuir uma nota a consumidores relativas à probabilidade daquela consumidora estar grávida a partir de seu histórico de compras. Com esse modelo era possível inferir não só a probabilidade de gravidez, mas, com uma boa precisão, quando o bebê iria nascer. Isso permitia que a empresa enviasse cupons de desconto em estágios específicos da gravidez.

Esse é um ótimo exemplo de como a partir do processamento de dados que à primeira vista parecem triviais é possível se chegar a informações sensíveis e relevantes sobre alguém através de inferências.

Anos depois do “Caso Target”, a proteção de dados ganhou muito mais notoriedade e relevância, mas ainda estamos dando os primeiros passos em direção a uma regulação efetiva. Nesse texto, iremos analisar como a Lei Geral de Proteção de Dados (Lei 13.709/18) cria uma categoria especial de dados pessoais — dados pessoais sensíveis — e qual sua relação com as inferências. Ao final, buscaremos elucidar algumas controvérsias ligadas a essa categorização e fazer uma crítica a uma das escolhas adotada pela lei, apresentando uma alternativa que acreditamos ser mais efetiva.

A Lei Geral de Proteção de Dados (LGPD) traz diversos direitos aos titulares e deveres aos controladores relacionados ao tratamento de dados pessoais. No entanto, não é claro se esses direitos e obrigações se estendem para abranger as inferências.

Por sua própria natureza, as inferências podem dizer respeito a informações que o titular não sabe que são de conhecimento do controlador e, em alguns casos, que ele não sabe sobre si mesmo. Justamente pelo controle individual desses dados ser ainda mais difícil (ou até mesmo impossível), é preciso de uma atenção especial quanto a estrutura de regulamentação prevista pela Lei Geral de Proteção de Dados. O grande perigo de não se regular satisfatoriamente as informações sensíveis obtidas através de inferências é, de um lado, inviabilizar o tratamento de dados e, do outro, abrir margem para uma perpetuação subjacente de desigualdades.

A LGPD traz em seu art. 5º, II o conceito de dado pessoal sensível como:

A seguir, em seu art. 11, estabelece as bases legais para o tratamento de dados sensíveis. Pode-se dizer que o consentimento do titular, fornecido de “forma específica e destacada, para finalidades específicas” é o principal fundamento para o tratamento nesse caso, ao contrário das hipóteses adotadas para o tratamento de dados pessoais não sensíveis. Isso porque a base legal do legítimo interesse não figura entre as hipóteses legais de tratamento de dados sensíveis, assim como a de proteção ao crédito também está excluída. As demais bases legais previstas pelo art. 11, II, dizem respeito majoritariamente ao cumprimento de obrigações legais e realização de pesquisa científica. Voltaremos a esse ponto ao final do texto, apontando alguns problemas na escolha feita pela lei.

À primeira vista, embora existam essas limitações, pode parecer que a categoria de dados pessoais sensíveis é muito específica e, portanto, não apresenta grande relevância para a maioria dos controladores. Entretanto, na matéria de proteção de dados as relações são sempre dinâmicas e contextuais. Isso significa que é preciso fazer uma análise concreta de determinada atividade de tratamento para se concluir se um dado pessoal será considerado sensível ou não.

Em um breve exemplo: ao informar seu nome para reserva de um restaurante, provavelmente esse dado não será considerado sensível. Por outro lado, se um imigrante, ao contratar um plano de saúde, preenche um formulário com seu nome, que facilmente identifica sua origem étnica e isso afeta o preço do serviço oferecido, seu nome pode ser considerado um dado sensível.

Há inclusive fundamento legal, conforme previsto pelo art. 11 §1º, para que as mesmas obrigações sejam aplicáveis ao “tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular”. Além do reconhecimento pela lei da necessidade de se analisar contextualmente a atividade de tratamento, esse dispositivo dá reconhecimento legal às inferências traçadas através do processamento que podem revelar informações sensíveis.

Mas afinal, o que de fato são inferências e qual sua relevância para a regulação da proteção de dados pessoais sensíveis?

Por que proteger dados sensíveis?

A proteção especial conferida aos dados considerados sensíveis pela LGPD tem como fundamento a proteção da privacidade e a observância dos princípios da finalidade e não discriminação.

Dados que revelem origem étnica, orientação sexual, religiosa, dados referentes à saúde, entre outros, são merecedores de uma maior proteção não por seu caráter intrinsecamente privado, uma vez que o exercício da privacidade não é determinado pelo conteúdo da informação, mas sim pelo contexto informacional como um todo, abrangendo a informação, a finalidade para qual está sendo usada e como foi obtida (NUSSENBAUM, 2004). 

Exemplificando: A filiação partidária de um candidato à presidência da república não é uma informação privada em um debate televisivo. Entretanto, essa mesma informação merece a salvaguarda jurídica da privacidade quando seu titular solicitar um empréstimo para fins particulares.

Portanto, pode-se concluir que a proteção especial a dados sensíveis advém do fato de a lei atribuir a eles uma presunção de potencial discriminatório que cause dano ao titular, levando em conta também a finalidade daquele tratamento.

O que são inferências e qual sua relevância para a proteção de dados?

A pesquisadora Sandra Wachter propõe a seguinte conceituação para inferências, no âmbito da proteção de dados pessoais:

Em termos práticos: ao se cadastrar em uma rede social o sujeito informa ao menos seu nome e email. Esses são dados pessoais fornecidos pelo titular. Esse sujeito usa essa rede social através de um aplicativo em um iPhone. O modelo do celular do titular é um dado pessoal obtido através da observação. Se, a partir desse dado, a rede social determinar que aquele titular possui uma condição financeira abastada, caracteriza-se uma inferência.

Esse conceito ganha relevância à medida que a atividade de tratamentos de dados pessoais se torna presente em cada vez mais áreas da atividade comercial e empresas conseguem, através disso, prever e manipular o comportamento de consumidores.

Não é preciso de muito para que a partir do processamento de dados se obtenha informações sensíveis sobre titulares. Como demonstrado por um estudo, a partir de uma única variável — likes no Facebook — os pesquisadores foram capazes de inferir com 93% de acurácia o gênero dos participantes (parâmetros considerados foram homem e mulher). A taxa de acerto foi ainda mais alta para a raça, 95% (os parâmetros considerados foram caucasiano e afro-americano). Orientação sexual, religiosa e política também foram inferidas com altas taxas de acerto (KOSINSKI et. al., 2013). Outros estudos também encontram correlações inusitadas, como a de que pessoas inteligentes gostam de “Curly Fries” no Facebook.

A partir dessas inferências o titular pode ser avaliado e ter conteúdo específico direcionado para ele, sendo assim elementos que constituem a identidade digital daquele sujeito. Com isso fica claro que, para serem efetivas na garantia da autodeterminação informativa e no livre desenvolvimento da personalidade, as regras impostas para o tratamento de dados pessoais sensíveis não podem se limitar aos dados cedidos diretamente pelo titular (voluntariamente ou não). Desta forma, o artigo 11 §1º da LGPD é de enorme relevância para a matéria, estendendo o conceito de dado pessoal sensível e, portanto, as aplicações das regras do art. 11.

É possível que nesse momento tenha soado uma alerta no leitor: Isso significa que em virtude do aumento e difusão da capacidade de inferir informações sobre titulares, todo e qualquer dado pessoal poderá ser categorizado como um dado sensível?

A parte final do texto será dividida em dois pontos. Primeiro, iremos buscar uma resposta para essa pergunta e traçar parâmetros para identificar quando um tratamento de dados poderá ser considerado tratamento de dado pessoal sensível. A segunda parte consistirá em uma análise crítica da proteção legal adotada pela lei para dados pessoais sensíveis e uma possível alternativa regulatória.

Designed by vectorpouch / Freepik

Conforme dito anteriormente, a LGPD trouxe restrições para o tratamento de dados sensíveis, sendo a mais significativa delas a ausência do legítimo interesse como base legal. A extensão disso para as inferências pode gerar uma insegurança jurídica grande para os controladores. No entanto, com uma interpretação sistemática é possível buscar uma resposta que dê efetividade ao objetivo da lei, evitando a inviabilização do tratamento e ao mesmo tempo dando proteção aos titulares.

O art. 11 §1º faz a ressalva de que para sua incidência em tratamentos que revelem dados e inferências sensíveis é preciso que essa atividade possa causar dano ao titular. Dano aqui deve ser entendido de maneira ampla, ou seja, qualquer inviabilização de direito, indisponibilização de serviço ou violação de interesse do titular já é considerado um dano. No entanto, nem todo tratamento que revele dado sensível irá causar isso.

É preciso considerar o tratamento de dados efetivamente realizado pelo controlador de acordo com a atividade que realiza, e não a possibilidade abstrata de se inferir informações. Nesse mesmo sentido, o Considerando 51 da Regulamento Geral Europeu sobre a Proteção de Dados (GDPR) destaca que:

Portanto, a possibilidade de se inferir dados sensíveis não enseja automaticamente a mesma proteção. É preciso demonstrar que com aquele tratamento específico são descobertas e utilizadas informações sensíveis para atividades como categorizar, direcionar conteúdo ou avaliar o titular. Nesse caso seria necessário, de acordo com a legislação, o consentimento do titular para essa finalidade e fornecido de “forma específica e destacada”. 

Mas será que o consentimento do titular é uma boa maneira de resguardá-lo?

No início do texto, ao analisar o artigo 11 da LGDP e as bases legais para o tratamento de dados sensíveis foi apontado que o consentimento pode ser considerada a principal base legal para essa categoria de dados. Ainda, ao longo da análise foi defendido que inferências que revelem dados pessoais sensíveis são o principal desafio regulatório e merecem atenção especial pelo potencial discriminatório que apresentam. Essas duas afirmações revelam um retrocesso da lei.

Embora a princípio pareça contraintuitivo, confiar no consentimento como ferramenta de proteção do titular leva a uma menor proteção legal (SCHERMER et. al. 2014, LAZARO e MÉTAYER, 2015). Devido a enorme assimetria informacional entre controlador e titular (principalmente se tratando de inferências), no momento do consentimento o titular não tem como saber quais informações serão obtidas sobre ele, de forma que nenhuma escolha significativa e proteção efetiva seriam garantidas.

Uma alternativa à confiar ao indivíduo toda a responsabilidade pelo controle e coleta de dados sensíveis relativos a ele seria uma regulação que impusesse obrigações aos controladores para que adotem medidas para evitar que inferências e dados sensíveis sejam usados para discriminações injustificadas.

Justamente por isso o legítimo interesse seria uma melhor base legal para esse tratamento, uma vez que seria possível impor ao controlador que para realizar tratamento de dados que revele dados e inferências sensíveis seria necessário constar no relatório de impacto os objetivos e consequências desse tratamento. Fazer uma análise de como funciona os relatórios de impacto à proteção dados pessoais foge do escopo do texto, mas destaca-se a sua previsão nos arts. 5º, XVII, art. 10 §3º e art. 38 da LGPD.

Nesse mesmo sentido, Sandra Wachter propõe um “direito a inferências razoáveis”. A autora defende que o controlador deve justificar, antes do tratamento: (i) quais dados estão sendo usados para traçar inferências e porque são relevantes para descobrir aquela informação. (ii) porque essas inferências são relevantes para o propósito da atividade de tratamento de dados que o controlador realiza. (iii) se os dados e métodos utilizados são validos e estatisticamente precisos. (WACHTER, 2018, p. 80)

Essas soluções garantiriam efetivamente um maior controle de dados pessoais, uma vez que tira todo o peso da decisão do sujeito, dá mais transparência ao titular de quais dados e quais inferências sobre ele estão sendo coletadas e permite uma fiscalização pela Autoridade Nacional de Proteção de Dados através da exigência de relatórios de impacto, por exemplo. 

Referências:

WACHTER, Sandra; MITTELSTADT, Brent. A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI. Columbia Business Law Review, a sair. Disponível em: <https://ssrn.com/abstract=3248829>. Acesso em: 19 nov. 2018.

DURANTE, Massimo. The Online Construction of Personal Identity Through Trust and Privacy. Information, v. 2, n. 4, p. 594–620, 11 out. 2011.

Nissenbaum, Helen. Privacy as contextual integrity Washington Law Review, v. 79, n. 1, p. 119–157, 2004.

KOSINSKI, M.; STILLWELL, D.; GRAEPEL, T. Private Traits and Attributes Are Predictable from Digital Records of Human Behavior. Proceedings of the National Academy of Sciences, 2013, v. 110, n. 15, p. 5802–5805.

SCHERMER, Bart W.; CUSTERS, Bart; VAN DER HOF, Simone. The Crisis of Consent: How Stronger Legal Protection May Lead to Weaker Consent in Data Protection. Ethics and Information Technology, v. 16. n. 2. p. 171–182. Junho, 2014

LAZARO, Christophe; MÉTAYER, Daniel Le. Control Over Personal Data: True Remedy or Fairy Tale? SCRIPTed — Journal of Law, Technology & Society. Edinburgh: University of Edinburgh School of Law. v. 12, n. 01, p. 03–34, Junho, 2015.