Por Leonardo Peres *
A definição do esquema de controle dos dados pessoais em operações de tratamento sob a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei Federal n. 13.709/2018) é essencial para estabelecer os deveres e responsabilidades de cada agente envolvido em uma operação de tratamento de dados pessoais. A legislação brasileira, portanto, busca dar uma definição clara de “controlador” e “operador” logo no artigo 5º, incisos VI e VII, respectivamente, da LGPD. Nessas definições, o conceito do poder de tomada de decisão é essencial: manda quem controla, opera quem tem juízo.
A criatividade do mundo real, porém, nunca é páreo para a abstração legal e, na prática, a definição desses papéis pode não ser tão simples.
Uma dessas situações é o federated learning, técnica de aprendizado de máquina que permite que vários agentes, como hospitais, laboratórios ou empresas farmacêuticas, colaborem para treinar um modelo comum de inteligência artificial sem compartilhar os dados pessoais de pacientes individuais. Dessa forma, cada agente mantém o controle sobre seus dados, armazenando os dados locais em seus respectivos dispositivos e participando de um processo colaborativo de treinamento de um modelo global: cada agente treina um modelo local com seus próprios dados e envia apenas os parâmetros atualizados do modelo ao servidor central. O servidor, por sua vez, combina os parâmetros de todos os agentes para obter um modelo global, que é devolvido aos agentes individuais. Esse processo se repete até que o modelo global atinja um nível satisfatório de desempenho. O federated learning permite que os usuários se beneficiem de modelos de inteligência artificial mais robustos e personalizados, sem expor dados pessoais, e tem sido usado em pesquisas de saúde para melhorar o diagnóstico e o tratamento de doenças, aproveitando os dados distribuídos em diferentes hospitais, clínicas ou dispositivos médicos.
Se, por um lado, essa técnica pode facilitar a colaboração entre diferentes instituições de saúde para desenvolver modelos de inteligência artificial mais eficientes e confiáveis, a complexidade do compartilhamento dos dados e o número de agentes envolvidos dificulta a identificação do esquema de controle dos dados tratados.
Também pode-se imaginar, por exemplo, que três empresas decidam realizar um projeto em que cada uma delas disponibiliza um funcionário para determinada equipe, gerenciada pelo funcionário da empresa A. Para finalidades de recursos humanos, cada empresa ainda trata dados de seus próprios funcionários para avaliar seu desempenho, aplicar sanções disciplinares etc. – mas a empresa A, como líder do projeto, também trata dados pessoais dos funcionários das companhias B e C para avaliar seu desempenho. B e C, por sua vez, também tratam dados dos funcionários das duas outras empresas quando identificam a composição da equipe em que seu colaborador atua, dentre outras finalidades.
O nível de complexidade do compartilhamento e do tratamento cruzado de dados pessoais pode, pois, dificultar a identificação clara de quem tem o poder de controle em uma relação entre titulares e os diversos agentes que tratam seus dados. Para tentar esclarecer as dúvidas relacionadas aos agentes de tratamento, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 2021 (e atualizou em 2022) o “Guia orientativo para definições dos agentes de tratamento de dados pessoais e do Encarregado”.
Um dos primeiros esclarecimentos que o Guia presta é o de que controlador e operador devem ser identificados a partir de seu caráter institucional, ou seja, enquanto empresas – independentemente dos indivíduos que tomam as decisões ou que tratam os dados na prática. Assim, o agente de tratamento do exemplo acima não é o gerente com vínculo empregatício com a Bardo, mas a própria Bardo.
Além disso, o Guia faz diversas referências à legislação europeia – o que se revela por meio não só das citações diretas à hard e à soft law da Europa, mas também pelo embasamento em conceitos como o de “elementos essenciais”. Por isso, cabe olhar para o ordenamento europeu a fim de esclarecê-los – e de esclarecer a lógica da ANPD ao identificar controladores, controladores conjuntos e operadores.
Em 2020, o European Data Protection Board publicou as suas diretrizes de identificação de controladores e operadores, em que esclarece que os “elementos essenciais”, sempre decididos pelo controlador, são aqueles “que estão estreitamente ligados à finalidade e ao âmbito do tratamento”. Segue-se, então, uma lista exemplificativa dessas decisões: tipos de dados pessoais tratados, duração do tratamento, quem recebe os dados e categorias dos titulares.
O conceito de “elementos essenciais”, assim, é fundamental na determinação do controlador. Não é, porém, o único. No sistema europeu pode haver, por exemplo, disposições legais que determinem o papel de determinado agente em certas operações de tratamento de dados, conforme disposto no artigo 28 do Regulamento (UE) 2018/1725, que determina que as responsabilidades de controladores conjuntos sejam definidas entre eles de forma transparente, a não ser nos casos em que as responsabilidades “sejam determinadas pelo direito da União ou pelo direito do Estado-Membro a que estão sujeitos”.
Entretanto, a regra geral é a de que o papel do agente seja determinado caso a caso, conforme a operação de tratamento – e independentemente do poder de barganha de cada parte: uma rede social gigante com valor de mercado de bilhões não pode determinar seu papel só porque impõe seus termos de uso a anunciantes, parceiros, usuários etc.
Em cada operação, o conceito-chave para determinar quem é o controlador é a finalidade do tratamento: a finalidade sempre supera os meios. Apenas nas situações em que não fique claro o agente que determina a finalidade é que se apela aos “elementos” do tratamento, distinguindo-se entre os elementos essenciais e os não essenciais. A determinação dos elementos essenciais é, portanto, apenas indício de controle. Um operador pode, pois, determinar alguns elementos essenciais da operação, e um controlador pode determinar alguns de seus elementos não essenciais, como hardware ou software a ser utilizado, as medidas de segurança a serem implementadas etc.
Além das circunstâncias fáticas da operação, alguns critérios adicionais também podem ser empregados, no sistema europeu, a fim de se identificar o controlador: a impressão causada nos titulares e suas expectativas razoáveis; a quantidade de instruções anteriores ao tratamento e a capacidade de monitoramento de tais instruções; o nível de expertise de cada um dos agentes na operação. O acesso aos dados, por sua vez, não constitui um elemento de caracterização dos agentes – logo, uma das partes pode ser controladora sem nem mesmo ter acesso aos dados pessoais, tratados integralmente pelo operador.
Um dos casos fulcrais de identificação de controlador julgado pela Corte de Justiça da União Europeia (CJEU) é o caso Google Espanha (C-131/12). Nele, um cidadão espanhol solicitou a remoção de links para dados pessoais desatualizados sobre ele dos resultados de pesquisa do Google. A CJEU decidiu que o Google é um controlador de dados pessoais, visto que determina as finalidades e os meios do tratamento dos dados pessoais dos usuários do serviço de busca. Assim, a empresa tem a obrigação de respeitar os direitos fundamentais à privacidade e à proteção de dados dos indivíduos. O Google, portanto, foi obrigado a apagar os links para informações irrelevantes, inadequadas ou excessivas devido à solicitação do titular.
Além da situação de controlador individual, o Regulamento Geral de Proteção de Dados (RGPD) europeu, em seu Artigo 4, no parágrafo 7, ao definir “controlador”, estabelece que o agente que controla dados pessoais pode fazê-lo “sozinho ou em conjunto com outros”. Essa definição possibilita a identificação de outras situações além do controle individual, em que um único agente determina as finalidades e os meios do tratamento: a de controle independente, por exemplo, em que agentes compartilham dados, mas não as finalidades ou meios de tratamento – ou seja, tratam dados com propósitos distintos; ou a de controladores conjuntos, em que dois ou mais agentes determinam juntos as finalidades e meios do tratamento, em diferentes graus.
A identificação de agentes como controladores conjuntos ocorre em duas situações: primeiramente, quando uma decisão comum é tomada por dois ou mais agentes em conjunto; em segundo lugar, quando decisões convergentes de dois ou mais agentes se complementam e são necessárias para que o tratamento ocorra de forma a influenciar na determinação de suas finalidades e meios. Essas decisões convergentes estão relacionadas ao tratamento dos dados, não a aspectos comerciais. Para identificar decisões convergentes, deve-se observar que o tratamento não seria possível sem o outro agente, ou seja, os agentes estão “inextricavelmente ligados”.
Alguns casos julgados pela Corte de Justiça da União Europeia estabeleceram os parâmetros de identificação do controle conjunto de dados pessoais.
No caso C-25/17, por exemplo, a Corte decidiu que as Testemunhas de Jeová e cada um de seus membros eram controladores conjuntos de dados pessoais, pois, enquanto a comunidade tinha uma influência decisiva sobre os seus membros, definindo as regras e os objetivos do tratamento dos dados – ou seja, como a pregação porta-a-porta deveria ser realizada –, os indivíduos controlavam os dados recolhidos durante essas atividades.
Já no caso Fashion ID (C-40/17), o julgamento centrou-se na responsabilidade conjunta de agentes cujos sites incorporam o plugin social “Curtir”, do Facebook, que permite a transferência de dados pessoais dos visitantes do site à rede social. A CJEU decidiu que o agente que mantém o site é controlador conjunto, juntamente com o Facebook, dos dados pessoais coletados e transmitidos por meio do plugin, mas apenas em relação às operações para as quais determinam conjuntamente os meios e finalidades do tratamento. Assim, cabe ao agente que mantém o plugin no site obter o consentimento prévio dos visitantes e fornecer-lhes informações sobre o tratamento de seus dados.
Um outro exemplo de identificação de controle conjunto pela Corte é o caso Wirtschaftsakademie (C-210/16), que envolveu uma empresa que administrava uma página de fãs no Facebook e o próprio Facebook. Segundo o julgamento, tanto a empresa quanto o Facebook são conjuntamente responsáveis pelo tratamento dos dados dos visitantes da página de fãs, visto que ambos determinam os propósitos e os meios desse tratamento. A empresa tinha acesso a estatísticas personalizadas fornecidas pelo Facebook, que lhe permitiam conhecer o perfil dos visitantes e direcionar sua publicidade, e podia influenciar os parâmetros da coleta e do uso desses dados ao escolher, por exemplo, os critérios para a elaboração das estatísticas. O Facebook, por sua vez, instalava cookies nos dispositivos dos visitantes – segundo a Corte, sem informá-los adequadamente, usando os dados para seus próprios fins comerciais.
A diversidade de elementos empregados para identificar quem controla os dados pessoais em um sistema em que a legislação e a prática de proteção de dados pessoais já são mais maduros, como a Europa, revela os desafios que a ordem jurídica do Brasil ainda tem a enfrentar. Ainda que a experiência europeia proporcione pistas valiosas sobre como enfrentar esses desafios, é imprescindível que iniciativas legislativas, a prática jurídica, a sociedade civil e os órgãos regulamentadores, especialmente a ANPD, comecem a criar parâmetros e conceitos claros, bem embasados e próprios aos objetivos da proteção de dados no contexto brasileiro.
* Leonardo Peres – Advogado da área de Propriedade Intelectual, Direito Digital e Proteção de Dados do Silveiro Advogados. Graduado em Ciências Jurídicas e Sociais na Universidade Federal do Rio Grande do Sul e em Relações Internacionais na Universidade Federal de Santa Maria. Mestre em Relações Internacionais pela Universidade de Brasília. Mestrando em Propriedade Intelectual e Direito Digital e das Telecomunicações na KU Leuven (Bélgica).
Fonte: Juristas
Comentários