Proteção de Dados em Pesquisas Científicas e Acadêmicas

A proteção de dados pessoais em pesquisas científicas e acadêmicas exige cuidados jurídicos específicos que vão muito além do simples consentimento do participante.

O Marco Legal da Proteção de Dados na Pesquisa Científica

Quando analisamos o cenário atual da pesquisa científica no Brasil, verificamos que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) trouxe um novo paradigma para o tratamento de informações pessoais em contextos acadêmicos. A LGPD não proíbe a utilização de dados pessoais em pesquisas, mas estabelece um regime jurídico próprio que precisa ser compreendido e aplicado de forma rigorosa por instituições de ensino, pesquisadores e comitês de ética.

A legislação reconhece expressamente o tratamento de dados para fins de pesquisa como uma das bases legais autônomas, prevista no artigo 7º, inciso IV, da LGPD. Isso significa que, em determinadas circunstâncias, o pesquisador pode tratar dados pessoais sem necessariamente obter o consentimento específico do titular, desde que observe uma série de salvaguardas. Entretanto, precisamos destacar que essa possibilidade não configura um cheque em branco: existem requisitos técnicos e organizacionais que devem ser cumpridos para garantir a licitude do tratamento.

No âmbito regulatório, a Autoridade Nacional de Proteção de Dados (ANPD) tem competência para editar normas complementares sobre o tema, e o diálogo com o sistema CEP/CONEP (Comitês de Ética em Pesquisa e Comissão Nacional de Ética em Pesquisa) é fundamental para a construção de uma governança adequada. As resoluções do Conselho Nacional de Saúde, especialmente a Resolução nº 466/2012 e a Resolução nº 510/2016, já estabeleciam parâmetros éticos para pesquisas envolvendo seres humanos, e agora precisam ser lidas em conjunto com as disposições da LGPD.

Bases Legais Aplicáveis e o Papel do Consentimento

Um dos pontos que mais gera dúvidas entre pesquisadores e instituições é a definição da base legal adequada para o tratamento de dados em projetos de pesquisa. Identificamos pelo menos três bases legais que podem ser utilizadas de forma recorrente: o consentimento do titular (artigo 7º, inciso I), a realização de estudos por órgão de pesquisa (artigo 7º, inciso IV) e o legítimo interesse do controlador (artigo 7º, inciso IX). Cada uma delas possui requisitos próprios e implicações distintas para a condução da pesquisa.

O consentimento, embora seja a base legal mais intuitiva, apresenta desafios práticos significativos no contexto acadêmico. Em pesquisas longitudinais (aquelas que acompanham participantes ao longo de anos ou décadas), pode ser inviável recontatar todos os titulares para obter novo consentimento a cada nova etapa do estudo. Além disso, o consentimento na LGPD deve ser livre, informado, inequívoco e específico, o que exige um grau de detalhamento sobre as finalidades do tratamento que nem sempre é compatível com a natureza exploratória de determinadas investigações científicas.

Já a base legal do artigo 7º, inciso IV, permite o tratamento de dados para a realização de estudos por órgão de pesquisa, com a ressalva de que, sempre que possível, deve-se proceder à anonimização dos dados. Observamos que o conceito de “órgão de pesquisa” na LGPD (artigo 5º, inciso XVIII) abrange entidades da administração pública direta ou indireta, bem como pessoas jurídicas de direito privado sem fins lucrativos, legalmente constituídas sob as leis brasileiras e com sede e foro no país, que incluam em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Essa definição pode excluir, por exemplo, empresas privadas que realizam pesquisas aplicadas com finalidade comercial.

Dados Sensíveis na Pesquisa

Quando a pesquisa envolve dados sensíveis (informações sobre saúde, origem racial ou étnica, convicções religiosas, dados genéticos ou biométricos, entre outros), o regime jurídico é ainda mais restritivo. O artigo 11 da LGPD prevê bases legais específicas para o tratamento de dados sensíveis, e a utilização para fins de pesquisa está contemplada no inciso II, alínea “c”, desde que garantida, sempre que possível, a anonimização. Pesquisas na área da saúde, por exemplo, frequentemente lidam com prontuários médicos, resultados de exames e históricos clínicos, o que exige protocolos de segurança reforçados e uma avaliação criteriosa do impacto do tratamento sobre os direitos dos titulares.

A pesquisa científica responsável não se opõe à proteção de dados: ambas compartilham o compromisso com a dignidade da pessoa humana e com a transparência no uso de informações pessoais.

Due Diligence de Dados: Boas Práticas para Instituições de Pesquisa

A expressão “due diligence de dados” refere-se ao processo de verificação, avaliação e documentação das práticas de tratamento de dados pessoais adotadas por uma instituição ou projeto de pesquisa. Consideramos essa etapa essencial antes do início de qualquer investigação que envolva informações de pessoas identificadas ou identificáveis. A due diligence permite mapear riscos, identificar lacunas de conformidade e estabelecer medidas corretivas antes que eventuais incidentes ocorram.

O primeiro passo de uma due diligence bem conduzida é o mapeamento completo dos dados que serão coletados, armazenados, compartilhados e descartados ao longo do ciclo de vida da pesquisa. Esse mapeamento deve contemplar a natureza dos dados (pessoais, sensíveis, anonimizados ou pseudonimizados), as fontes de coleta (questionários, bancos de dados públicos, prontuários, redes sociais), os agentes envolvidos no tratamento (pesquisadores, assistentes, laboratórios parceiros, instituições estrangeiras) e os fluxos de transferência (incluindo eventual transferência internacional de dados).

Em seguida, recomendamos a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no artigo 38 da LGPD. Embora a ANPD ainda não tenha regulamentado de forma definitiva as hipóteses obrigatórias de elaboração do RIPD, entendemos que pesquisas envolvendo dados sensíveis, tratamento em larga escala ou utilização de novas tecnologias (como inteligência artificial aplicada à análise de dados de saúde) justificam a confecção desse documento como medida de diligência e transparência.

Anonimização e Pseudonimização

A anonimização é frequentemente apresentada como a solução ideal para conciliar a pesquisa científica com a proteção de dados. Contudo, precisamos distinguir com clareza entre anonimização verdadeira e pseudonimização. A anonimização, nos termos da LGPD, é um processo irreversível: uma vez anonimizados, os dados deixam de ser considerados dados pessoais e, portanto, ficam fora do escopo de aplicação da lei. Já a pseudonimização é um processo reversível, no qual os dados permanecem vinculáveis ao titular por meio de uma chave ou informação adicional mantida separadamente.

Na prática da pesquisa, a anonimização completa pode comprometer a qualidade e a utilidade dos dados, especialmente em estudos que exigem o cruzamento de informações de diferentes bases ou o acompanhamento longitudinal de participantes. Nesses casos, a pseudonimização surge como uma alternativa viável, desde que acompanhada de medidas técnicas robustas para proteger a chave de reidentificação (como criptografia, controle de acesso e segregação de ambientes).

Compartilhamento e Transferência Internacional

A ciência contemporânea é, por natureza, colaborativa e globalizada. Pesquisadores brasileiros frequentemente participam de consórcios internacionais, publicam em periódicos estrangeiros e compartilham bases de dados com colegas de outros países. Esse cenário torna a transferência internacional de dados um ponto de atenção crucial na due diligence de projetos de pesquisa.

A LGPD disciplina a transferência internacional de dados nos artigos 33 a 36, estabelecendo hipóteses autorizativas como a existência de legislação adequada no país de destino, a adoção de cláusulas contratuais específicas, a obtenção de consentimento específico do titular ou a cooperação jurídica internacional. Para pesquisas que envolvam o envio de dados a instituições localizadas em países da União Europeia, é relevante considerar também o Regulamento Geral de Proteção de Dados (GDPR), que possui regras próprias e, em alguns aspectos, mais restritivas que a legislação brasileira.

Governança e Responsabilidade Institucional

Verificamos que a conformidade com a legislação de proteção de dados não deve recair exclusivamente sobre o pesquisador individual. As instituições de ensino e pesquisa têm o dever de estabelecer políticas internas claras, designar um Encarregado de Proteção de Dados (DPO), promover capacitação contínua de seus quadros e criar canais acessíveis para que os titulares exerçam seus direitos (acesso, correção, eliminação, portabilidade, entre outros).

A governança de dados em instituições acadêmicas envolve a integração entre diferentes instâncias: comitês de ética em pesquisa, setores de tecnologia da informação, departamentos jurídicos e a própria comunidade de pesquisadores. Observamos que as instituições mais avançadas nesse processo têm adotado modelos de governança que incluem a criação de comitês internos de proteção de dados, a implementação de programas de compliance específicos para a atividade de pesquisa e a adoção de ferramentas tecnológicas para o gerenciamento do ciclo de vida dos dados.

A responsabilidade civil decorrente de incidentes de segurança ou do tratamento irregular de dados em pesquisas pode atingir tanto o pesquisador quanto a instituição. A LGPD prevê, em seus artigos 42 a 45, a possibilidade de reparação de danos materiais e morais causados ao titular, além de sanções administrativas que podem ser aplicadas pela ANPD (advertência, multa, bloqueio ou eliminação de dados). Dessa forma, a adoção de medidas preventivas não é apenas uma questão ética, mas também uma estratégia de mitigação de riscos jurídicos e financeiros.

Desafios Contemporâneos e Perspectivas Futuras

O avanço das tecnologias de tratamento de dados (como aprendizado de máquina, mineração de dados e análise preditiva) tem ampliado significativamente as possibilidades da pesquisa científica, mas também intensificado os desafios relacionados à proteção de dados. Analisamos que a utilização de grandes volumes de dados (big data) em pesquisas acadêmicas levanta questões complexas sobre a possibilidade real de anonimização, o risco de reidentificação a partir do cruzamento de bases e a necessidade de revisão contínua das medidas de segurança adotadas.

Outro desafio relevante diz respeito à pesquisa com dados de crianças e adolescentes, que recebe proteção especial tanto na LGPD (artigo 14) quanto no Estatuto da Criança e do Adolescente. O consentimento, nesses casos, deve ser fornecido por pelo menos um dos pais ou pelo responsável legal, e o tratamento deve ser realizado no melhor interesse do menor, o que impõe limitações adicionais ao desenho metodológico da pesquisa.

Observamos também a crescente discussão sobre o direito dos participantes de pesquisa ao acesso aos resultados obtidos a partir de seus dados, especialmente em pesquisas na área da saúde. Esse debate conecta a proteção de dados pessoais a princípios mais amplos de justiça social e democratização do conhecimento, reforçando a ideia de que a ciência responsável deve beneficiar não apenas a comunidade acadêmica, mas toda a sociedade.

A regulamentação do tema pela ANPD, ainda em construção, deverá trazer maior segurança jurídica para pesquisadores e instituições. Enquanto isso, a adoção voluntária de boas práticas de due diligence, transparência e governança de dados representa o caminho mais seguro para garantir que a pesquisa científica avance sem comprometer os direitos fundamentais dos titulares de dados pessoais.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.