Dados pessoais: regulação da ANPD e autorregulação dos órgãos de pesquisa

Importante debate sobre a proteção dos dados pessoais no país se refere ao âmbito das atividades acadêmicas e desenvolvidas por órgãos de pesquisa. Diante do avanço da ciência de dados (data science), cada vez mais instituições de pesquisa desenvolvem bancos de dados para obter insights, muitas focadas na área da saúde pública e que se revelam fundamentais para a formulação de políticas públicas.

Subjacente ao exemplo os desafios envolvidos tanto para autoridade reguladora quanto para as instituições de pesquisa são diversos. Casos como o escândalo da Cambridge Analytica, que teve como origem a utilização de experimentos de análise de perfis comportamentais de usuários nas redes sociais pelo Centro de Pesquisa em Psicometria da Universidade de Cambridge, no Reino Unido, nos revelam a linha ténue entre o tratamento de dados pessoais para fins acadêmicos e a apropriação destes dados pelo ambiente corporativo ou pelo setor público.

A partir de levantamento de dúvidas apresentadas a Ouvidoria sobre o tema de proteção de dados no âmbito da pesquisa e fins acadêmicos, a Autoridade Nacional de Proteção de Dados (ANPD) apresentou um primeiro estudo técnico nº 01/2022: "A LGPD e o tratamento de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa", visando promover o debate público sobre o tema. O estudo se debruçou na interpretação jurídica de uma série de dispositivos legais da Lei n° 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD) sobre tratamento de dados pessoais na área da pesquisa (artigo 2º, III e V; artigo 4º, II, b; artigo 7º, IV; artigo 11, II, c; artigo 16, II e artigo 13) e concluiu pela apresentação de cinco preceitos que devem ser observados:

1) Interpretação da LGPD em atenção às garantias da liberdade de expressão acadêmica;

2) Adoção de regime de proteção de dados pessoais mais flexível no âmbito das atividades acadêmicas;

3) Legitimidade da utilização de dados pessoais para fins de realização de estudos e pesquisas;

4) Autorização para a conservação de dados pessoais por órgão de pesquisa para fins de atividade de pesquisa, assegurado, sempre que possível, o processo de anonimização;

5) Possibilidade de disponibilização de acesso ou de compartilhamento de dados pessoais no âmbito das atividades de pesquisa, asseguradas as salvaguardas técnicas e jurídicas apropriadas e proporcionais aos riscos inerentes das atividades.

Diante desses preceitos, relevante esclarecimento do estudo foi indicar os fundamentos jurídicos da derrogação parcial da LGPD no âmbito do tratamento de dados para fins exclusivamente acadêmicos. No entanto, diante da complexidade do assunto, alguns pontos merecem um maior esclarecimento e que sinalizam a necessária complementariedade entre os esforços autorregulatórios dos órgãos de pesquisa e a regulação da autoridade.

Ponto de destaque decorre da abrangência da definição do conceito de órgão de pesquisa para fins de aplicação da LGPD. Conforme o artigo 5º, XVIII, do diploma, o termo engloba órgão ou entidade da administração pública direta ou indireta e, ainda, pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com a previsão da atividade de pesquisa no objeto social ou estatutário. No caso de pessoas jurídicas de direito privado com fins lucrativos, a LGPD impôs requisitos mais estritos para o tratamento de dados pessoais para fins de realização de estudos e pesquisas, tais como as bases do consentimento do titular ou do legítimo interesse.

Considerando a abrangência do termo, cumpre ponderar a importância de diferenciar a particularidade de atuação de cada órgão ou pessoa jurídica que realize estudos para a implementação de um programa de governança em privacidade e de boas práticas específico para realização de atividades de pesquisa. Não basta apenas refletir sobre a natureza do agente de tratamento, mas, propriamente, discutir as possibilidades dos próprios agentes definir guias e protocolos de práticas, capaz de fornecer orientação adequada para os seus pesquisadores e colaboradores.

É o caso de observar o papel autorregulatório desses centros de pesquisa, por exemplo, incorporando nos respectivos fluxos e estruturas de trabalho o Encarregado de Proteção de Dados Pessoais, no compartilhamento e treinamento de boas práticas, no tratamento responsivo dos dados pessoais, sempre que possível anonimizados ou de apresentar as técnicas adequadas de anonimização de dados a depender do tipo de pesquisa. De forma similar, a delimitação da cooperação entre setores privado e público não é novidade no campo do Direito Digital, em especial diante da acessão das plataformas digitais na sociedade. No caso da LGPD, é possível observar a necessidade de orientar o setor para a autorregulação e desenvolver em conjunto com a ANPD conhecimento técnico suficiente para definir medidas de prevenção e repressão dos abusos dos dados pessoais adequadas a cada setor.

Questão adicional decorre da interpretação do artigo 13 da LGPD que define a necessidade de anonimização dos dados pessoais, sempre que possível, para a realização de estudos em saúde pública. O estudo em tela indicou que os parâmetros legais previstos neste dispositivo também devem ser aplicados às pesquisas realizadas em outras áreas de conhecimento. Desse modo, é possível inferir que o estudo técnico sinaliza sobre a possibilidade da interpretação extensiva do artigo 13 da LGPD, de forma a ampliar seu alcance para outros âmbitos de estudos não relacionados à saúde pública. No entanto, abre-se um debate sobre as possibilidades e critérios desta interpretação jurídica, seja considerando as distinções entre analogia e interpretação extensiva ou discutindo os limites para a extensão dos conceitos envolvidos no dispositivo.

Diante da complexa relação entre pesquisa e proteção de dados pessoais, no contexto de franco crescimento e aplicação de bancos de dados por órgãos de pesquisa, é fundamental observar a necessidade de uma atuação proativa da autoridade regulatória em adotar providências em parceria com o setor privado. Protocolos de órgãos de pesquisa necessitam ser revistos à luz da LGPD, sobretudo para promover uma adequação na era dos algoritmos, do machine learning e do big data no campo científico. Ao mesmo tempo, para mitigar possíveis danos envolvidos nas atividades de pesquisa, é imprescindível colocar os titulares dos dados, não apenas os códigos e as informações, no centro do ciclo de desenvolvimento. Isso significa adotar uma compreensão profunda sobre os dados pessoais e incorporá-la desde o início da execução dos projetos.

Estas preocupações são agravadas pela dinâmica do setor de pesquisa e desenvolvimento, dependente de financiamentos e acordos privados e que muitas vezes envolve atores externos que ofertam produtos sem um entendimento firme das necessidades dos titulares dos dados que se destinam a servir.