Da anonimização
uma perspetiva desde o Direito da União Europeia
Manuel David Masseno
1
Da anonimização
1 – um ponto de partida: a identificabilidade
conforme ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho,
de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados e que
revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) –
RGPD, o critério pessoal de aplicação consiste na associação, originária ou
provocada, a identificadores:
pois, “é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente, em especial por referência a um identificador, como por exemplo um nome,
um número de identificação, dados de localização, identificadores por via eletrónica ou a um
ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica,
cultural ou social dessa pessoa singular” (Art.º 4.º 1), o que inclui o quase-identificadores e os
metadados
2
Da anonimização
por isso, o RGPD não considera a anonimização como uma técnica destinada a
garantir a segurança no tratamento dos dados pessoais, antes para distinguir
os dados pessoais dos dados não pessoais
consequentemente, “[…] Os princípios da proteção de dados não deverão, pois, aplicar-se
às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa
singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que
o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por
isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos
ou de investigação.” (Considerando (26) in fine)
que foi confirmado pelo Regulamento (UE) 2018/1807 Parlamento Europeu e do
Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo
de dados não pessoais na União Europeia – Regulamento LFD
o qual, além de distinguir “dados pessoais” de “dados não pessoais” e de restringir a sua
aplicação a estes, incluindo as situações em que ambos “estejam indissociavelmente ligados”,
reitera a imperatividade dos regimes de proteção dos dados pessoais (Art.ºs 2.º n.º 2 e 3.º
1)
3
Da anonimização
2 – com riscos
sendo o critério de identificabilidade, não de identificação…
até porque “As pessoas singulares podem ser associadas a identificadores por via
eletrónica [e] Estes identificadores podem deixar vestígios que, em especial quando
combinados com identificadores únicos e outras informações recebidas pelos servidores,
podem ser utilizados para a definição de perfis e [consequentemente] a identificação das
pessoas singulares.” (Considerando (30) do RGPD)
como também ficou claro com o Acórdão de 19 de outubro de 2016, Processo C-582-14,
Patrick Breyer, do TJUE – Tribunal de Justiça da União Europeia
enquanto o Regulamento LFD, a propósito dos “conjuntos de dados agregados
e anonimizados utilizados para a análise de grandes volumes de dados
[explicita que] Se os progressos tecnológicos permitirem transformar dados
anonimizados em dados pessoais, esses dados devem ser tratados como
dados pessoais, e o Regulamento (UE) 2016/679 [o RGPD] deve ser aplicado
em conformidade.” (Considerando (9))
4
Da anonimização
enquanto, a Comissão Europeia, nas suas Orientações sobre o regulamento relativo a um
quadro para o livre fluxo de dados não pessoais na União Europeia (COM(2019) 250 final,
de 29 de maio), reiterou que “se determinados dados não pessoais puderem ser
associados a uma pessoa de qualquer forma, tornando-os direta ou indiretamente
identificáveis, devem ser considerados dados pessoais [designadamente] quando a
evolução da tecnologia e da análise de dados torna possível a conversão de dados
anonimizados em dados pessoais”, dando seguimento ao Considerando (26) do RGPD
“Para determinar se há uma probabilidade razoável de os meios serem utilizados para
identificar [direta ou indiretamente] a pessoa singular [quer pelo responsável pelo tratamento
quer por outra pessoa], importa considerar todos os fatores objetivos, como os custos e o
tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do
tratamento dos dados e a evolução tecnológica” (embora este excerto do Considerado se
refira à pseudonimização, a regra é também pertinente para a anonimização)
incluindo os meios à disposição de «terceiros» (Art.º 4.º 10) do RGPD, nos termos do
Acórdão no Processo T-557/20 - CUR/AEPD do TJUE, de 26 de abril de 2023)
o que exige usar técnicas de anonimização forte, como explicitou o Grupo de Trabalho do
Artigo 29.º – GT 29 (Atual CEPD – Comité Europeu para a Proteção de Dados) no seu Parecer
n.º 5/2014, de 10 de abril, sobre as técnicas de anonimização
5
Da anonimização
neste sentido, várias Autoridades nacionais publicaram orientações, não vinculativas, sobre
as medidas técnicas disponíveis e mais eficazes para tanto, começando pela Information
Commissioner’s Office, britânica, em 20 de novembro de 2012, seguida, logo depois da
publicação do RGPD, pela Data Protection Commission, irlandesa, em 7 de outubro de 2016,
a Agencia Española de Protección de Datos, em 11 de outubro de 2016, e a Commission
nationale de l'informatique et des libertés, francesa, em 19 de maio de 2020, embora com
níveis muito diversos de aprofundamento
mais recentemente, a 27 de abril de 2021, a AEPD - Autoridade Europeia para a Proteção de
Dados e a Agencia Española de Protección de Datos produziram um documento conjunto
sobre os “10 misunderstandings related to anonymisation”
em síntese, o limite entre os dados pessoais e os dados não pessoais é móvel,
dependendo da evolução das tecnologias
assim, sempre que passar a ser viável a (re)identificação, ainda que potencial, já que o
critério é de ser uma pessoa “identificável” (Art.º 4.º 1), aplicar-se-ão os regimes constantes
do RGPD e o “responsável pelo tratamento é responsável pelo cumprimento do disposto
no n.º 1 e tem de poder comprová-lo ([Princípio da] «responsabilidade) [proativa ou
accountability]»” (Art.º 5.º n.º 2, também 24.º n.º 1), cabendo-lhe os riscos de
desenvolvimento que resultem de tais tratamentos … salvo eventuais disrupções
6
Da anonimização
v.g., avanços qualitativos imprevisíveis na Inteligência Artificial ou na computação quântica
o que impõe reavaliações cíclicas dos riscos inerentes, por parte dos responsável pelo
tratamento, inclusive com sucessivas avaliações de impacto, sobretudo, quando estiverem
em causa “novas tecnologias” (Art.ºs 24.º, 25.º e 35.º n.ºs 1 e 3 a) do RGPD)
e sendo certo que o acatamento de esquemas autorregulatórios, como os códigos de
conduta (Art.ºs 40.º e 41.º) ou a certificação (Art.ºs 42.º e 43.º) [v.g., a nova norma ISO/IEC
27559:2022 – Information security, cybersecurity and privacy protection – Privacy enhancing
data de-identification framework, de novembro], “pode ser utilizado como elemento para
demonstrar o cumprimento das obrigações” (Art.º 32.º n.º 3), não exime de eventuais
responsabilidades [civil (Art.º 82.º), contraordenacional (Art.º 83.º) e penal (Art.º 84.º e Art.ºs
46.º a 54.º da Lei n.º 58/2019, de 8 de agosto)] só as graduando (V.g., Art.º 83.º n.º 1 d) do
RGPD para as contraordenacionais)
sem esquecer que a própria anonimização é uma das “operações tratamento”, sendo
apenas lícita se estiver presente algum dos fundamentos previstos e for realizada através das
“medidas técnicas adequadas […] destinadas a aplicar com eficácia os princípios da
proteção de dados, tais como a minimização, e a incluir as garantias necessárias no
tratamento”, no contexto da proteção de dados desde a conceção, incluindo avaliações de
impacto prévias (Art.ºs 4.º 2), 6.º, 9.º, 25.º n.º 1 e 35.º n.º 1 do RGPD)
7
Da anonimização
3 – em especial, nos dados abertos e na reutilização de
informações do setor público
sendo o tratamento de dados pessoais pelo Setor público tipicamente realizado
no “exercício de funções de interesse público”, tal como definido pelo Direito
(Art.º 6.º n.ºs 1 e) e 3 do RGPD), o acesso e a reutilização dos mesmos por
terceiros está sujeito a garantias próprias
aliás, o GT 29 foi-se pronunciando, com assertividade crescente, quanto aos
riscos de (re)identificação dos dados pessoais facultados a terceiros
no Parecer n.º 7/2003, de 12 de dezembro, sobre a reutilização de informações do setor
público e a proteção dos dados pessoais, a propósito da Diretiva 2003/98/CE do Parlamento
Europeu e do Conselho, de 17 de Novembro de 2003, relativa à reutilização de informações do
sector público [a qual foi transposta para o Direito português, pela Lei n.º 46/2007, de 24 de
agosto] e
8
A Segurança na Proteção de Dados
no Parecer n.º 6/2013, de 5 de junho, sobre dados abertos e reutilização de informações
do setor público (ISP), a propósito da que veio a ser a Diretiva 2013/37/UE do Parlamento
Europeu e do Conselho, de 26 de junho de 2013, alterando a Diretiva 2003/98/CE [transposta
pela Lei n.º 26/2016, de 22 de agosto, a qual foi inclusive mais longe que a Diretiva, ao
estabelecer que “Não podem ser objeto de reutilização: c) Documentos nominativos, salvo
autorização do titular, disposição legal que a preveja expressamente ou quando os dados
pessoais possam ser anonimizados sem possibilidade de reversão [...];” (Art.º 20.º c)]
entretanto, a nova Diretiva (UE) 2019/1024 do Parlamento Europeu e do
Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização
de informações do setor público, passou a considerar a anonimização em si
assim, define-a como “o processo de transformar documentos em documentos anónimos que
não digam respeito a uma pessoa singular identificada ou identificável, ou o processo de tornar
anónimos os dados pessoais, por forma a que a pessoa em causa não seja ou deixe de ser
identificável.” (Art.º 2.º 7) e trata-a sobretudo a propósito emolumentos a pagar (Art.º 6.º), na
sequência do Parecer n.º 5/2018, da AEPD, de 10 de julho, o qual voltou a enfatizar a função
da anonimização [enquanto a Lei n.º 68/2021, de 26 de agosto, Art.ºs 3.º n.º 1 a) e h) (!), 14.º
n.º 1 c), 19.º n.º 11, 20.º c) e 23.º-A n.º 1, reforça igualmente o papel da anonimização e
também disciplina os emolumentos a serem pagos pelos solicitantes]
9
A Segurança na Proteção de Dados
finalmente, o Regulamento (UE) 2022/868 do Parlamento Europeu e do
Conselho de 30 de maio de 2022 relativo à governação europeia de dados e que
altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados),
reforça o papel da anonimização, a propósito da “reutilização de determinadas
categorias de dados protegidos detidos por organismos do setor público”,
para lá dos abrangidos pela Diretiva (UE) 2019/1024 (Art.º 3.º n.º 1 d) e
Considerandos (6), (9) e (32))
para o que, enuncia os riscos envolvidos (Considerandos (15) e (19)), requerendo a
anonimização dos dados pessoais a serem disponibilizados (Art.º 5.º n.º 3 a) (i)) e
determina que “Os reutilizadores ficam proibidos de reidentificar qualquer titular dos
dados a quem os dados digam respeito e devem tomar medidas técnicas e operacionais para
prevenir a reidentificação e para notificar ao organismo do setor público qualquer violação de
dados que resulte na reidentificação dos titulares dos dados em causa.” (Art.º 5.º n.º 5)
aliás, aquando do processo legislativo, estas questões estiveram no cerne do Parecer
conjunto 3/2021 do CEPD e da AEPD sobre a proposta de Regulamento, de 10 de março / 9
de junho
10