A privacidade de dados como um dos pilares fundamentais das instituições públicas e privadas

A privacidade de dados tem se tornado um dos pilares fundamentais para o funcionamento das instituições públicas e privadas, e os Tribunais de Contas não estão alheios a essa realidade. A aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil, inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, trouxe desafios significativos para o setor jurídico, especialmente no que tange à anonimização de informações sensíveis e à adequação das rotinas operacionais às novas exigências legais.

A Importância da Privacidade nos Tribunais

Nos Tribunais de Contas, a proteção de dados pessoais é especialmente relevante, dado o manuseio de informações sensíveis, como CPFs, dados financeiros e informações relacionadas a contratos e licitações. Esses dados, quando expostos sem critério, podem resultar em violações à privacidade e até mesmo em uso indevido, como fraudes ou discriminação. Nesse sentido, a anonimização surge como ferramenta essencial para balancear dois valores muitas vezes conflituosos: a transparência pública e a privacidade individual.

A anonimização de dados é o processo de transformar informações pessoais em dados que não possam ser vinculados a um indivíduo específico. Essa técnica, no entanto, exige cuidados técnicos e jurídicos para garantir que a reversão (ou seja, a reidentificação dos indivíduos) seja inviável. Além disso, a anonimização precisa ser aplicada de forma estratégica, considerando o contexto e a finalidade dos dados, como demonstrado nos debates do Tribunal de Contas da Paraíba sobre a divulgação de CPFs em processos administrativos.

Métodos de Anonimização Aplicáveis

Os métodos de anonimização mais comuns incluem:

1. Substituição de Identificadores: Troca de informações sensíveis por códigos ou pseudônimos que não revelem a identidade original.
2. Generalização: Redução do nível de detalhe dos dados, como substituir datas exatas por períodos genéricos (exemplo: “ano de nascimento” em vez de “data completa”).
3. Supressão: Remoção completa de informações identificáveis.
4. Perturbação: Introdução de ruídos ou alterações nos dados para dificultar a reidentificação.

Essas práticas já são amplamente utilizadas na Europa sob o GDPR, onde a conformidade é rigidamente fiscalizada e as penalidades para violações são severas. No caso do Brasil, os Tribunais de Contas enfrentam a responsabilidade de adotar esses métodos tanto internamente quanto ao auditar outras instituições públicas.

Casos Europeus Relevantes

Na Europa, um caso marcante foi o da Diretiva do Tribunal de Justiça da União Europeia (CJEU) no processo Google Spain SL vs. Agencia Española de Protección de Datos (AEPD), de 2014, que reafirmou o direito ao esquecimento. Embora relevante para a proteção de dados, o foco do caso foi o direito ao esquecimento em mecanismos de busca, não exatamente o controle de dados sensíveis em plataformas públicas em geral, e mesmo anterior ao GDPR, o caso estabeleceu a base para o controle de dados sensíveis em plataformas públicas.

Outro exemplo foi a aplicação de sanções contra o Instituto Nacional de Estatísticas da Itália, em 2020, por não garantir anonimização adequada durante a coleta de dados demográficos, expondo informações pessoais de milhões de cidadãos.

Tais precedentes destacam a importância de padrões rigorosos para anonimização e proteção de dados em instituições que tratam grandes volumes de informações sensíveis.

Desafios no Contexto Brasileiro

No Brasil, os Tribunais de Contas enfrentam desafios operacionais e culturais na adequação à LGPD. A necessidade de anonimizar informações sem comprometer a transparência dos processos judiciais e administrativos ainda gera debates. Por exemplo, a orientação do Tribunal de Contas da União (TCU) para divulgar CPFs nos processos, mas anonimizar nos metadados, demonstra como é possível alinhar privacidade e publicidade. Porém, implementar essas medidas exige infraestrutura tecnológica robusta, capacitação de pessoal e investimentos em governança de dados.

ou seja

A proteção de dados e a anonimização são passos indispensáveis para garantir a conformidade com legislações como a LGPD e o GDPR. Os Tribunais de Contas, como órgãos de fiscalização e transparência, têm a responsabilidade adicional de liderar pelo exemplo.

No Brasil, isso significa não apenas aplicar métodos de anonimização em suas próprias rotinas, mas também estabelecer critérios claros e auditáveis para as entidades sob sua supervisão. A experiência europeia oferece lições valiosas sobre os riscos de negligência e os benefícios de uma implementação estratégica e robusta.