LGPD: fotos, inferências e a sensibilidade de dados pessoais

  • Brasil
  • 04/09/2019
  • Jota.info

A Lei 13.709 de 2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”) considera como dado pessoal, de acordo com seu art. 5º, I, qualquer informação relacionada a uma pessoa identificada ou identificável.

Nesse sentido, uma fotografia, desde que permita a identificação de uma pessoa, pode ser considerada um dado pessoal, de forma que o seu tratamento (operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração) somente poderá ser realizado observando-se os princípios e regras das legislações envolvendo proteção de dados pessoais.

A LGPD criou uma categoria de dados pessoais sensíveis, isto é, dados que, de acordo com o entendimento do legislador, merecem uma proteção específica, em especial pelo seu maior potencial de dado ao titular. Especificamente, considera-se sensível qualquer “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Considerando que uma fotografia (ou até mesmo uma filmagem) podem revelar dados de origem étnica ou racial, de saúde ou deficiências e até filiações ou questões religiosas de determinada pessoa, seria possível defender seu enquadramento como um dado pessoal sensível, mesmo que indiretamente.

Nesse contexto, uma pesquisa1 concluiu que é possível prever a orientação sexual de pessoas por fotografias com um índice de acerto de 81%. Outro estudo2 evidenciou situação parecida, possível através da análise de um vídeo, usado para verificar a pulsação da pessoa e inferir questões de saúde. Seria inclusive possível considerar uma fotografia como um dado biométrico, se processado por um meio técnico específico que permita a autenticação de uma pessoa.

Isso significa dizer que dados que, inicialmente, eram considerados puramente dados pessoais, podem se tornar dados pessoais de categoria sensíveis no futuro, a depender do seu tratamento. Um exemplo hipotético poderia abranger até o consumo de energia elétrica, já que, analisando este consumo, pode ser possível prever questões inclusive religiosas (por exemplo, a análise poderia levar à inferência de que determinada pessoa é judia, de acordo com um padrão de consumo de energia menor durante o Sabbath).

Uma decisão da ECJ no caso Lindqvist, em que uma foto de uma mulher com uma nota de que ela tinha problemas de saúde foi considerado dado sensível, trouxe grande receio na União Europeia de que qualquer foto pessoal poderia ser considerada sensível até pelo seu potencial de percepção de cor de pele e raça.

Esse receio existiu, por que, como se sabe, encontrar a base legal para processamento de dados sensíveis pode ser desafiador e o nível de proteção exigido para esses dados pode ser difícil de atender ou até de se justificar.

Em estudo de benchmark sobre o tema, é possível verificar que, mesmo em países com um histórico de privacidade mais avançado, há inconsistência quanto à abordagem das fotografias como um dado pessoal comum ou dado pessoal sensível.

Inicialmente, percebe-se que não existem grandes discussões sobre o enquadramento de uma fotografia como um dado pessoal – desde que revele uma pessoa identificada ou identificável, todos concordam que se trata de um dado pessoal. A situação fica mais complexa quando se trata da sensibilidade desse dado.

A GDPR explicitamente trata uma foto automaticamente como uma categoria especial de dados (dado biométrico) quando for “processada por meio de um meio técnico específico, permitindo a identificação ou autenticação exclusiva de uma pessoa”. Com isso, o Grupo de Trabalho do Artigo 29 (WP29), órgão consultivo composto por representantes das autoridades de proteção de dados dos países membros da União Europeia, concluiu que apenas fotos digitais poderiam ser consideradas dados pessoais biométricos.

Na Alemanha, por exemplo, há uma tendência maior em considerar uma fotografia como dado pessoal sensível considerando as informações sensíveis que de lá se pode depreender.

É importante notar, no entanto, que as diversas Autoridades de proteção de dados pelo mundo ainda não emitiram diretrizes relevantes desmistificando de forma efetiva o tema.

Na Bélgica e na Espanha, especificamente, uma foto é tratada como informação pessoal se for processada para fins de identificação (por exemplo, no local de trabalho ou na escola), mesmo que ela revele informações confidenciais, como raça, etnia, religião ou deficiência da pessoa. No entanto, se a finalidade do processamento se relacionar com a informação sensível (por exemplo, triagem étnica, perfil de imigrantes, investigação de má conduta do aluno, etc.), a foto pode ser classificada como informação pessoal sensível. Enquanto isso, no Reino Unido, reconhece-se que, embora uma foto seja uma informação pessoal, nem sempre ela pode determinar com precisão um traço sensível de um indivíduo. Assim, só pode ser considerado como informação pessoal sensível quando a organização que o processa possui outros dados que confirmam a referida característica sensível. Em última análise, é a foto, juntamente com os outros dados, que seria categorizada como dado pessoal sensível.

No passado, em um caso envolvendo a modelo Naomi Campbel, no Reino Unido, um dos advogados da modelo alegou, dentre outras questões, que a foto continha dados pessoais sensíveis, porque mostrava sua raça. No entanto, nesse quesito, a decisão inicial sustentou que isso era irrelevante, pois Campbell se orgulhava publicamente de seu status de modelo negra e não sofreu qualquer dano ou angústia pelo processamento de uma foto que confirmou sua identidade racial. Em outras palavras, mesmo que tecnicamente os dados pudessem revelar origens raciais, não foi reconhecido qualquer impacto negativo à titular em razão de suas fotos revelaram sua identidade racial.

Isso reforça como, na prática, o impacto e risco ao titular para definir a sensibilidade do dado deveriam ser levados em consideração.

Quando se pensa em impactos e riscos aos titulares, é necessário pensar nos aspectos culturais locais, já que o que é normal e aceitável em algumas jurisdições pode ser um verdadeiro tabu em outras: uma foto mostrando um homem praticando sua fé ou sexualidade pode não ter consequências em um país, mas pode desencadear uma controvérsia (ou pior) em outro.

Uma análise mais aprofundada do tema traz a reflexão: as exigências adicionais e até restrições da LGPD para dados sensíveis tem sentido prático ou trazem o resultado esperado pelo legislador ao estabelecer taxativamente os dados pessoais considerados sensíveis?

Afinal, existem dados pessoais atualmente classificados como comuns (ou seja, não-sensíveis) que podem ser usados de forma discriminatória ou causar danos ainda maiores aos titulares do que aqueles enquadrados taxativamente como sensíveis pela lei.

Da mesma forma, existem dados que, pela LGPD, seriam sensíveis, mas que não trazem danos maiores aos titulares e – mesmo assim – deverão ser tratados com o zelo adicional exigido pelo artigo 11 da lei.

Para fotografias tratadas com a finalidade de processamento de informações pessoais sensíveis, essas deverão atender as regras muito mais restritivas e, portanto, mais difíceis de atender, do tratamento de dados sensíveis, que sequer incluem a possibilidade do uso da base legal de interesse legítimo. A solução mais simples pode ser obter o consentimento dessa pessoa, mas, e quanto aos casos em que imagens de centenas ou até milhares de pessoas claramente identificáveis são capturadas?

Em linhas gerais, a interpretação que tem se visto na Europa é que fotografias podem não atingir o nível dos dados pessoais “sensíveis”, desde que o objetivo do processamento não esteja relacionado ao caráter potencialmente sensível dos dados. Ou seja, se a finalidade do tratamento das fotografias for relacionada à uma categoria de dado sensível (ex. triagem étnica, análise de saúde), essas fotografias serão consideradas dados pessoais sensíveis e exigirão o cumprimento do artigo 11 da LGPD. Em contrapartida, o tratamento de tais fotografias não precisaria ser tratado de acordo com o artigo 11 se não fosse processado para fins sensíveis.

Um aspecto problemático que essa questão traz é que algoritmos e inteligência artificial têm a capacidade de processar dados comuns e produzir inferências que podem ser sensíveis. Um caso famoso referente a esse tema foi o caso do supermercado Target nos Estados Unidos, que, a partir da análise de dados de compras de consumidores, pôde inferir um caso de gravidez – o que gerou envio de cupons de descontos para a casa da consumidora para produtos de cuidados para grávidas. Dizem as “más línguas” que isso causou um problema, já que, embora o algoritmo da Target soubesse que ela estava grávida, seu pai não sabia.

Deveria se aplicar aspectos de dados sensíveis para esse dado, que inicialmente era um dado pessoal comum? Se sim, desde a coleta ou em posterior momento? Quando o controlador sabe que está lidando com dados sensíveis? É necessário ter a intenção de tratar o dado sensível para que ele seja sensível? E se for uma inferência completamente equivocada do algoritmo, mesmo assim, deve ser tratado como um dado sensível?

Diversas empresas, através de cookies e tecnologias similares, direcionam publicidade para usuários potencialmente que tenham “interesses em assuntos homossexuais”, para determinada doença ou para determinada religião ou assunto político.

Esse seria um argumento forte para discutir a forma como a legislação brasileira, inspirada pela GDPR, dividiu dados pessoais comuns de dados pessoais sensíveis.

A GDPR não resolveu esse ponto e discussões existem sobre o tema na Europa. Mesmo que tenha sido construída a partir de aprendizados da legislação europeia, a LGPD não trouxe clareza sobre o assunto.

Uma vez que o Brasil decidiu manter o status de categoria sensível de certos tipos de dados de forma taxativa e automática, as empresas precisam ter clareza para entender adequadamente os riscos envolvidos e para que possam estar em conformidade com lei.

Uma solução para essa questão poderia ter sido o reconhecimento ou criação de uma forma de verificação ou teste de balanceamento a ser realizado com base no potencial dano para dados pessoais que se concentram nos tipos de processamento com maior probabilidade de afetar indivíduos, para, somente então, serem considerados dados pessoais sensíveis.

Em vez disso, de acordo com atual redação da lei, é necessária uma abordagem geral para qualquer tipo de processamento de dados de categorias classificadas como sensíveis pela lei (mesmo se esse dado não traz qualquer dado ou ofensa à determinado indivíduo).

Como se percebe, ainda não há uma definição sobre o tema sequer na Europa, de forma que ainda precisamos aguardar para verificar como a questão será interpretada na prática. No entanto, dada a abordagem mais abrangente exigida pela LGPD e as penalidades e riscos reputacionais associados à não conformidade, as empresas precisam da maior segurança possível.

Assim, além de minimizar o uso de fotografias para inferências relativas aos dados que são expressamente sensíveis, exceto se legitimado por uma base legal aplicável, é mais adequado que se faça uma análise caso a caso para definir se o dado deve ser tratado como sensível e, por fim, avaliar se o tratamento desse dado sensível compensa a necessidade de cumprir com as exigências adicionais previstas na lei para esses casos.

Essa discussão, mais uma vez, deixa clara a necessidade de a ANPD atuar não só com o intuito de zelar pelo cumprimento da lei, mas sim de, primordialmente, nortear a sociedade no que tange à LGPD e sua interpretação.