Open Data vs Proteção de Dados: Equilíbrio Necessá

A tensão entre a abertura de dados públicos e a proteção de informações pessoais exige das organizações uma postura estratégica de conformidade que equilibre transparência e privacidade.

O Cenário Atual: Dados Abertos e Privacidade em Rota de Colisão

Vivemos em uma era na qual governos e instituições públicas ampliam progressivamente suas iniciativas de dados abertos (open data), disponibilizando bases inteiras de informações para consulta cidadã, pesquisa acadêmica e desenvolvimento de soluções tecnológicas. Ao mesmo tempo, o arcabouço jurídico de proteção de dados pessoais, consolidado no Brasil pela Lei Geral de Proteção de Dados (LGPD), impõe limites claros ao tratamento dessas informações. Quando analisamos esse panorama, percebemos que a convivência entre esses dois paradigmas não é simples e demanda cautela técnica e jurídica.

A política de dados abertos, prevista na Lei de Acesso à Informação (Lei nº 12.527/2011), parte do princípio de que a transparência é um valor democrático fundamental. Dados sobre gastos públicos, contratações, indicadores de saúde e educação devem estar acessíveis a qualquer cidadão. Contudo, quando essas bases contêm informações que, direta ou indiretamente, permitem identificar pessoas naturais, entramos no campo de incidência da LGPD. É nesse ponto de interseção que surgem os desafios mais complexos para organizações que realizam due diligence de dados.

A due diligence de dados consiste em um processo estruturado de verificação, mapeamento e avaliação das bases de dados que uma organização utiliza, adquire ou compartilha. Esse procedimento ganhou relevância estratégica nos últimos anos, especialmente em operações societárias (fusões e aquisições), na contratação de fornecedores de tecnologia e na implementação de projetos que envolvem grandes volumes de dados. Verificamos que empresas que negligenciam essa etapa frequentemente se expõem a riscos regulatórios significativos, incluindo sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD).

Bases Legais e o Tratamento de Dados Públicos

Um equívoco comum que identificamos na prática é a crença de que dados disponibilizados em portais de transparência ou bases abertas do governo podem ser tratados livremente, sem qualquer restrição. A LGPD, em seu artigo 7º, inciso III, prevê o tratamento de dados pela administração pública para execução de políticas públicas, mas essa base legal não se estende automaticamente ao setor privado que acessa essas mesmas bases. Quando uma empresa coleta dados de portais públicos para fins comerciais, precisa identificar uma base legal própria que justifique esse tratamento.

O artigo 7º, parágrafo 3º, da LGPD estabelece que dados pessoais cujo acesso é público devem ser tratados considerando a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Isso significa que, mesmo diante de dados tecnicamente acessíveis a qualquer pessoa, o princípio da finalidade impõe limites. Se um cadastro público foi criado para viabilizar a transparência administrativa, utilizá-lo para fins de marketing direto ou perfilamento comercial pode configurar desvio de finalidade, hipótese que a legislação expressamente veda.

Analisamos também a questão dos dados anonimizados, frequentemente apresentados como solução para esse impasse. A LGPD define dado anonimizado como aquele relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do tratamento. Quando os portais de dados abertos disponibilizam informações efetivamente anonimizadas, o tratamento não está sujeito às restrições da LGPD. Entretanto, a reidentificação de titulares a partir de bases supostamente anonimizadas é um risco real, especialmente quando se cruzam múltiplas fontes de dados. Estudos na área de ciência de dados demonstram que a combinação de poucos atributos aparentemente inócuos pode ser suficiente para identificar indivíduos em grandes bases populacionais.

Due Diligence de Dados na Prática: Metodologia e Pontos Críticos

Ao conduzirmos processos de due diligence que envolvem dados abertos, adotamos uma abordagem estruturada em etapas que permite mapear riscos com precisão. A primeira fase consiste no inventário de dados, no qual catalogamos todas as bases utilizadas pela organização, identificando origem, formato, volume, finalidade de uso e prazo de retenção. Essa etapa revela, com frequência, que organizações mantêm bases de dados públicos armazenadas há anos, sem qualquer controle sobre atualizações ou verificação de conformidade.

A segunda fase envolve a classificação dos dados conforme seu nível de sensibilidade e a verificação das bases legais aplicáveis a cada tratamento. Nesse momento, distinguimos entre dados efetivamente anonimizados (fora do escopo da LGPD), dados pessoais públicos (sujeitos às regras da LGPD com as particularidades do artigo 7º, parágrafo 3º) e dados pessoais sensíveis que eventualmente constem em bases abertas (sujeitos a restrições ainda mais rigorosas, previstas no artigo 11 da LGPD).

A terceira fase é a avaliação de riscos propriamente dita, na qual consideramos a probabilidade e o impacto de incidentes como vazamentos, usos indevidos, reidentificação de dados anonimizados e descumprimento de obrigações regulatórias. Verificamos que organizações que operam com grandes volumes de dados públicos frequentemente subestimam o risco de reidentificação, especialmente quando combinam bases de diferentes fontes governamentais.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto na LGPD, é uma ferramenta essencial nesse contexto. Embora a legislação não exija sua elaboração para todo e qualquer tratamento, recomendamos fortemente sua produção quando a organização trabalha com cruzamento de bases de dados públicos em larga escala, considerando o potencial de riscos aos titulares.

O fato de um dado ser público não significa que seu tratamento seja livre: a finalidade original da disponibilização é o parâmetro que delimita os usos legítimos.

Governança de Dados: Construindo Pontes entre Transparência e Privacidade

A aparente contradição entre open data e proteção de dados se dissolve quando adotamos uma perspectiva de governança integrada. Não se trata de escolher entre transparência e privacidade, mas de construir mecanismos que viabilizem ambas simultaneamente. A experiência internacional oferece modelos interessantes: o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) convive com a Diretiva de Dados Abertos (Diretiva 2019/1024), e os países membros desenvolveram práticas de compatibilização que podem inspirar o cenário brasileiro.

No âmbito organizacional, a governança de dados abertos requer políticas internas claras que definam como a organização coleta, armazena, processa e compartilha dados provenientes de fontes públicas. Essas políticas devem contemplar procedimentos de anonimização e pseudonimização, critérios para cruzamento de bases, protocolos de descarte e mecanismos de resposta a incidentes. Verificamos que organizações com programas de governança maduros conseguem explorar o potencial dos dados abertos com segurança jurídica, enquanto aquelas sem estrutura adequada acumulam passivos regulatórios silenciosos.

O papel do Encarregado de Proteção de Dados (DPO) ganha relevância especial nesse contexto. Esse profissional deve participar ativamente das decisões sobre utilização de dados abertos, avaliando a conformidade de cada novo projeto ou parceria que envolva bases públicas. A interlocução entre o DPO, as áreas de tecnologia e as equipes jurídicas é fundamental para que a organização mantenha o equilíbrio entre inovação e conformidade.

Outro aspecto que merece atenção é a questão contratual. Quando organizações compartilham ou recebem dados abertos em contextos comerciais (por exemplo, em contratos com startups de data analytics ou em parcerias público-privadas), os instrumentos contratuais devem conter cláusulas específicas sobre finalidade de uso, vedação de reidentificação, obrigações de segurança e responsabilidade por incidentes. A ausência dessas cláusulas pode gerar responsabilidade solidária entre as partes envolvidas no tratamento.

Tendências e Desafios para o Futuro

O cenário regulatório brasileiro está em constante evolução. A ANPD tem publicado regulamentações complementares que detalham obrigações para agentes de tratamento, e a jurisprudência sobre proteção de dados cresce a cada ano. Acompanhamos com atenção o desenvolvimento de normas específicas sobre inteligência artificial, que terão impacto direto na forma como dados abertos podem ser utilizados para treinamento de modelos algorítmicos.

A Lei nº 13.709/2018 (LGPD) já completou seus primeiros anos de vigência efetiva, e observamos uma tendência de amadurecimento tanto por parte dos reguladores quanto das organizações. As sanções aplicadas pela ANPD, embora ainda em volume relativamente modesto, sinalizam uma postura fiscalizatória que tende a se intensificar. Organizações que utilizam dados abertos em suas operações devem antecipar esse movimento e investir em conformidade preventiva.

O conceito de “privacy by design” (privacidade desde a concepção), incorporado à LGPD em seu artigo 46, parágrafo 2º, oferece uma diretriz prática para projetos que envolvem dados abertos. Ao desenhar sistemas e processos que utilizam bases públicas, as medidas de proteção devem ser incorporadas desde a fase de planejamento, e não como camada adicional implementada a posteriori. Esse princípio se aplica tanto ao desenvolvimento de aplicações tecnológicas quanto à estruturação de processos internos de due diligence.

Analisamos também o impacto das tecnologias emergentes nesse equilíbrio. Técnicas como privacidade diferencial, computação segura multipartidária e aprendizado federado oferecem caminhos promissores para extrair valor de dados abertos sem comprometer a privacidade individual. Embora ainda não amplamente adotadas no Brasil, essas abordagens representam o futuro da compatibilização entre abertura e proteção de dados, permitindo análises estatísticas robustas sem exposição de informações pessoais.

Perguntas Frequentes

Dados disponíveis em portais de transparência podem ser usados livremente por empresas privadas?

Não. Embora os dados estejam publicamente acessíveis, a LGPD determina que seu tratamento deve respeitar a finalidade original da disponibilização, a boa-fé e o interesse público que motivaram a abertura. Empresas privadas precisam identificar uma base legal própria para cada tratamento e garantir que o uso pretendido seja compatível com o contexto em que os dados foram tornados públicos.

Qual é a diferença entre dados anonimizados e dados pseudonimizados no contexto de open data?

Dados anonimizados são aqueles que não permitem a identificação do titular por meios técnicos razoáveis, estando fora do escopo da LGPD. Já dados pseudonimizados mantêm a possibilidade de reidentificação mediante uso de informação adicional mantida separadamente, permanecendo sujeitos à proteção legal. Na prática de due diligence, é essencial avaliar se a anonimização aplicada em bases abertas é robusta o suficiente para resistir a tentativas de reidentificação por cruzamento de dados.

Quando é necessário elaborar um Relatório de Impacto à Proteção de Dados (RIPD) ao utilizar dados abertos?

O RIPD é recomendado sempre que o tratamento de dados abertos envolva riscos significativos aos titulares, como cruzamento de múltiplas bases públicas em larga escala, uso de dados para decisões automatizadas ou tratamento de dados sensíveis eventualmente presentes em bases abertas. A ANPD pode exigir o relatório em situações específicas, e sua elaboração prévia demonstra diligência e compromisso com a conformidade regulatória.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.