Da anonimização uma perspetiva desde o Direito da União Europeia Manuel David Masseno 1 Da anonimização 1 – um ponto de partida: a identificabilidade  conforme ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) – RGPD, o critério pessoal de aplicação consiste na associação, originária ou provocada, a identificadores:  pois, “é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular” (Art.º 4.º 1), o que inclui o quase-identificadores e os metadados 2 Da anonimização  por isso, o RGPD não considera a anonimização como uma técnica destinada a garantir a segurança no tratamento dos dados pessoais, antes para distinguir os dados pessoais dos dados não pessoais   consequentemente, “[…] Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.” (Considerando (26) in fine) que foi confirmado pelo Regulamento (UE) 2018/1807 Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia – Regulamento LFD  o qual, além de distinguir “dados pessoais” de “dados não pessoais” e de restringir a sua aplicação a estes, incluindo as situações em que ambos “estejam indissociavelmente ligados”, reitera a imperatividade dos regimes de proteção dos dados pessoais (Art.ºs 2.º n.º 2 e 3.º 1) 3 Da anonimização 2 – com riscos  sendo o critério de identificabilidade, não de identificação…    até porque “As pessoas singulares podem ser associadas a identificadores por via eletrónica [e] Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e [consequentemente] a identificação das pessoas singulares.” (Considerando (30) do RGPD) como também ficou claro com o Acórdão de 19 de outubro de 2016, Processo C-582-14, Patrick Breyer, do TJUE – Tribunal de Justiça da União Europeia enquanto o Regulamento LFD, a propósito dos “conjuntos de dados agregados e anonimizados utilizados para a análise de grandes volumes de dados [explicita que] Se os progressos tecnológicos permitirem transformar dados anonimizados em dados pessoais, esses dados devem ser tratados como dados pessoais, e o Regulamento (UE) 2016/679 [o RGPD] deve ser aplicado em conformidade.” (Considerando (9)) 4 Da anonimização     enquanto, a Comissão Europeia, nas suas Orientações sobre o regulamento relativo a um quadro para o livre fluxo de dados não pessoais na União Europeia (COM(2019) 250 final, de 29 de maio), reiterou que “se determinados dados não pessoais puderem ser associados a uma pessoa de qualquer forma, tornando-os direta ou indiretamente identificáveis, devem ser considerados dados pessoais [designadamente] quando a evolução da tecnologia e da análise de dados torna possível a conversão de dados anonimizados em dados pessoais”, dando seguimento ao Considerando (26) do RGPD “Para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar [direta ou indiretamente] a pessoa singular [quer pelo responsável pelo tratamento quer por outra pessoa], importa considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica” (embora este excerto do Considerado se refira à pseudonimização, a regra é também pertinente para a anonimização) incluindo os meios à disposição de «terceiros» (Art.º 4.º 10) do RGPD, nos termos do Acórdão no Processo T-557/20 - CUR/AEPD do TJUE, de 26 de abril de 2023) o que exige usar técnicas de anonimização forte, como explicitou o Grupo de Trabalho do Artigo 29.º – GT 29 (Atual CEPD – Comité Europeu para a Proteção de Dados) no seu Parecer n.º 5/2014, de 10 de abril, sobre as técnicas de anonimização 5 Da anonimização    neste sentido, várias Autoridades nacionais publicaram orientações, não vinculativas, sobre as medidas técnicas disponíveis e mais eficazes para tanto, começando pela Information Commissioner’s Office, britânica, em 20 de novembro de 2012, seguida, logo depois da publicação do RGPD, pela Data Protection Commission, irlandesa, em 7 de outubro de 2016, a Agencia Española de Protección de Datos, em 11 de outubro de 2016, e a Commission nationale de l'informatique et des libertés, francesa, em 19 de maio de 2020, embora com níveis muito diversos de aprofundamento mais recentemente, a 27 de abril de 2021, a AEPD - Autoridade Europeia para a Proteção de Dados e a Agencia Española de Protección de Datos produziram um documento conjunto sobre os “10 misunderstandings related to anonymisation” em síntese, o limite entre os dados pessoais e os dados não pessoais é móvel, dependendo da evolução das tecnologias  assim, sempre que passar a ser viável a (re)identificação, ainda que potencial, já que o critério é de ser uma pessoa “identificável” (Art.º 4.º 1), aplicar-se-ão os regimes constantes do RGPD e o “responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo ([Princípio da] «responsabilidade) [proativa ou accountability]»” (Art.º 5.º n.º 2, também 24.º n.º 1), cabendo-lhe os riscos de desenvolvimento que resultem de tais tratamentos … salvo eventuais disrupções 6 Da anonimização     v.g., avanços qualitativos imprevisíveis na Inteligência Artificial ou na computação quântica o que impõe reavaliações cíclicas dos riscos inerentes, por parte dos responsável pelo tratamento, inclusive com sucessivas avaliações de impacto, sobretudo, quando estiverem em causa “novas tecnologias” (Art.ºs 24.º, 25.º e 35.º n.ºs 1 e 3 a) do RGPD) e sendo certo que o acatamento de esquemas autorregulatórios, como os códigos de conduta (Art.ºs 40.º e 41.º) ou a certificação (Art.ºs 42.º e 43.º) [v.g., a nova norma ISO/IEC 27559:2022 – Information security, cybersecurity and privacy protection – Privacy enhancing data de-identification framework, de novembro], “pode ser utilizado como elemento para demonstrar o cumprimento das obrigações” (Art.º 32.º n.º 3), não exime de eventuais responsabilidades [civil (Art.º 82.º), contraordenacional (Art.º 83.º) e penal (Art.º 84.º e Art.ºs 46.º a 54.º da Lei n.º 58/2019, de 8 de agosto)] só as graduando (V.g., Art.º 83.º n.º 1 d) do RGPD para as contraordenacionais) sem esquecer que a própria anonimização é uma das “operações tratamento”, sendo apenas lícita se estiver presente algum dos fundamentos previstos e for realizada através das “medidas técnicas adequadas […] destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento”, no contexto da proteção de dados desde a conceção, incluindo avaliações de impacto prévias (Art.ºs 4.º 2), 6.º, 9.º, 25.º n.º 1 e 35.º n.º 1 do RGPD) 7 Da anonimização 3 – em especial, nos dados abertos e na reutilização de informações do setor público   sendo o tratamento de dados pessoais pelo Setor público tipicamente realizado no “exercício de funções de interesse público”, tal como definido pelo Direito (Art.º 6.º n.ºs 1 e) e 3 do RGPD), o acesso e a reutilização dos mesmos por terceiros está sujeito a garantias próprias aliás, o GT 29 foi-se pronunciando, com assertividade crescente, quanto aos riscos de (re)identificação dos dados pessoais facultados a terceiros  no Parecer n.º 7/2003, de 12 de dezembro, sobre a reutilização de informações do setor público e a proteção dos dados pessoais, a propósito da Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de Novembro de 2003, relativa à reutilização de informações do sector público [a qual foi transposta para o Direito português, pela Lei n.º 46/2007, de 24 de agosto] e 8 A Segurança na Proteção de Dados   no Parecer n.º 6/2013, de 5 de junho, sobre dados abertos e reutilização de informações do setor público (ISP), a propósito da que veio a ser a Diretiva 2013/37/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, alterando a Diretiva 2003/98/CE [transposta pela Lei n.º 26/2016, de 22 de agosto, a qual foi inclusive mais longe que a Diretiva, ao estabelecer que “Não podem ser objeto de reutilização: c) Documentos nominativos, salvo autorização do titular, disposição legal que a preveja expressamente ou quando os dados pessoais possam ser anonimizados sem possibilidade de reversão [...];” (Art.º 20.º c)] entretanto, a nova Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informações do setor público, passou a considerar a anonimização em si  assim, define-a como “o processo de transformar documentos em documentos anónimos que não digam respeito a uma pessoa singular identificada ou identificável, ou o processo de tornar anónimos os dados pessoais, por forma a que a pessoa em causa não seja ou deixe de ser identificável.” (Art.º 2.º 7) e trata-a sobretudo a propósito emolumentos a pagar (Art.º 6.º), na sequência do Parecer n.º 5/2018, da AEPD, de 10 de julho, o qual voltou a enfatizar a função da anonimização [enquanto a Lei n.º 68/2021, de 26 de agosto, Art.ºs 3.º n.º 1 a) e h) (!), 14.º n.º 1 c), 19.º n.º 11, 20.º c) e 23.º-A n.º 1, reforça igualmente o papel da anonimização e também disciplina os emolumentos a serem pagos pelos solicitantes] 9 A Segurança na Proteção de Dados  finalmente, o Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho de 30 de maio de 2022 relativo à governação europeia de dados e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados), reforça o papel da anonimização, a propósito da “reutilização de determinadas categorias de dados protegidos detidos por organismos do setor público”, para lá dos abrangidos pela Diretiva (UE) 2019/1024 (Art.º 3.º n.º 1 d) e Considerandos (6), (9) e (32))    para o que, enuncia os riscos envolvidos (Considerandos (15) e (19)), requerendo a anonimização dos dados pessoais a serem disponibilizados (Art.º 5.º n.º 3 a) (i)) e determina que “Os reutilizadores ficam proibidos de reidentificar qualquer titular dos dados a quem os dados digam respeito e devem tomar medidas técnicas e operacionais para prevenir a reidentificação e para notificar ao organismo do setor público qualquer violação de dados que resulte na reidentificação dos titulares dos dados em causa.” (Art.º 5.º n.º 5) aliás, aquando do processo legislativo, estas questões estiveram no cerne do Parecer conjunto 3/2021 do CEPD e da AEPD sobre a proposta de Regulamento, de 10 de março / 9 de junho 10