Sei 00261 000730 2022 53 nt 46

00261.000730/2022-53 PRESIDÊNCIA DA REPÚBLICA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS Coordenação-Geral de Fiscalização Nota Técnica nº 46/2022/CGF/ANPD 1. INTERESSADO 1.1. Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP). 2. ASSUNTO 2.1. Adequação dos microdados disponibilizados para o atendimento às exigências previstas na Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais (LGPD). 3. REFERÊNCIAS 3.1. Processo SEI nº 00261.000730/2022-53; 3.2. NOTA de Esclarecimento INEP (SEI nº 3289150); 3.3. Nota Técnica INEP 5/2021/CGCQTI/DEED (SEI nº 3289210); 3.4. Nota Técnica INEP 14/2021/CGIM/DAEB (SEI nº 3289220); 3.5. Termo de Execução Descentralizada UFMG (SEI nº 3289230); 3.6. Parecer 00018/2022/PROC/PFINEP/PGF/AGU (SEI nº 3289237); 3.7. Manifestação pública de entidades (SEI nº 3289249). 4. RELATÓRIO 4.1. A presente nota técnica tem por fundamento a suspensão da divulgação dos microdados do censo escolar e do Exame Nacional do Ensino Médio (Enem) pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) e a posterior publicação da NOTA de Esclarecimento INEP (SEI nº 3289150) no sítio eletrônico do instituto [1] , na qual a Autarquia federal esclarece que a adequação dos microdados disponíveis em seu portal está sendo realizada com base em estudos técnicos e análises jurídicas que priorizem o pleno atendimento às exigências previstas na Lei nº 13.709, de 14/08/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD). De acordo com a nota, a necessidade de adequação das divulgações se dá em observação a critérios objetivos que reduzam o risco potencial de identificação das pessoas a quem os dados estatísticos se referem, e tem por base estudo realizado em parceria com a Universidade Federal de Minas Gerais (UFMG) por meio de Termo de Execução Descentralizada (TED 8750, SEI nº 3289230) e executado pelo Laboratório Inscrypt (Laboratory of Information Security, Cryptography, Privacy, and Transparency) do Departamento de Ciência da Computação (DCC) da universidade. 4.2. No referido estudo, foi constatado que as técnicas de proteção de privacidade utilizadas nos microdados para retirada de identificadores individuais, como nome e número do Cadastro de Pessoas Físicas (CPF) e do Registro Civil, estão sujeitas a riscos já identificados. Nele, consta a conclusão de que a atual forma de divulgação dos censos educacionais pelo INEP submete os titulares dos dados a consideráveis riscos de violação de privacidade, incluindo reidentificaca̧ ̃o e inferência de atributos sensíveis, circunstância que poderia constituir violação à LGPD. Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 1 4.3. Por esse motivo, o INEP produziu nota técnica na qual sugere um conjunto de ações para solucionar o tratamento da privacidade nos microdados públicos, visto que o modelo até então disponibilizado se mostraria ineficaz para o contexto atual. Dentre as ações propostas, destaca-se o tratamento dos arquivos que continham dados individualizados e pessoais, já que o Instituto entendeu por comprovada a possibilidade de identificação pessoal. 4.4. Além disso, o INEP elaborou nota técnica que sugere adequações no formato de divulgação dos microdados do Enem, pois estudos realizados apontavam para risco de identificação de pessoas nos dados divulgados dos demais exames, pesquisas e avaliações da Autarquia. No documento, foi proposta a retirada e a mudança de variáveis para disponibilização da base de dados de maneira simplificada, enquanto o Instituto desenvolve outros estudos específicos para seus exames. 4.5. Na NOTA de Esclarecimento INEP (SEI nº 3289150), o Instituto ressaltou que as pesquisas com a utilização dos dados por ele tratados, eventualmente restringidos nos microdados divulgados, não estariam inviabilizadas, pois haveria diversos meios de acessar essas informações, a exemplo do Serviço de Acesso a Dados Protegidos (Sedap), que possibilitaria o uso de bases restritas por pesquisadores, desde que observado o protocolo do serviço. Esse mecanismo permitiria, segundo o INEP, o desenvolvimento de estudos amplos e detalhados, considerando tendências, padrões e trajetórias educacionais traçados a partir de evidências apuradas pela Autarquia. O INEP também se comprometeu a apresentar uma forma de expandir a sua capacidade de disponibilização de dados de forma segura nos Estados, por meio de parcerias com instituições federais de educação superior. 4.6. A remoção dos microdados do sítio eletrônico do INEP ocasionou repercussão pública, conforme se pode observar na Manifestação pública de entidades (SEI nº 3289249). Nesse documento, as entidades entenderam que é preciso proteger a privacidade, sem abdicar da transparência, razão pela qual a LGPD não poderia ser utilizada como justificativa genérica para o descarte dos microdados, por carecer de fundamento legal. No documento, as entidades alegaram que a própria LGPD, art. 7º, II e III, autoriza que a administração pública realize o tratamento de dados pessoais necessários ao cumprimento de obrigação legal e/ou execução de políticas públicas, sem que para isso seja necessário o prévio consentimento do titular destes dados.Nessa senda, o tratamento de dados pessoais durante o censo escolar pelo INEP estaria baseada no cumprimento da própria Constituição Federal que determina, em seu art. 208, §3º, que o Poder Público deverá recensear educandos no ensino fundamental, bem como na Resolução nº 1 de 2018 do CNE/MEC, que institui as diretrizes operacionais para a coleta e registro de dados cadastrais de estudantes e profissionais de educação que atuam em instituições públicas e privadas de ensino em todo o território nacional. De acordo com a Manifestação, a referida Resolução já antecipava, mesmo antes da promulgação da LGPD, a adoção do procedimento de anonimização de dados pessoais informados aos censos educacionais, conforme o art. 2º, parágrafo único, de modo a gozarem de “sigilo estatístico”, os quais não poderiam ser divulgados de forma a possibilitar a identificação das pessoas a que as estatísticas se referirem. 4.7. No que tange a eventuais riscos de reidentificação, no entender das entidades, tenderiam a ser isolados e sem impacto demonstrado pelo INEP, já que estudos e pareceres técnicos não foram tornados públicos. 4.8. Após a divulgação da Manifestação pública de entidades (SEI nº 3289249), foram realizados encontros entre a CGU e a Autoridade Nacional de Proteção de Dados (ANPD), de sorte a dirimir dúvidas a respeito da aplicação da Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 2 LGPD. 4.9. Além da NOTA de Esclarecimento INEP (SEI nº 3289150) e da Manifestação pública de entidades (SEI nº 3289249), instruem o Processo SEI nº 00261.000730/2022-53 a Nota Técnica INEP 5/2021/CGCQTI/DEED (SEI nº 3289210), a Nota Técnica INEP 14/2021/CGIM/DAEB (SEI nº 3289220), o Termo de Execução Descentralizada UFMG (SEI nº 3289230) e o Parecer 00018/2022/PROC/PFINEP/PGF/AGU (SEI nº 3289237). Estes últimos documentos estão disponibilizados no sítio eletrônico https://www.gov.br/inep/ptbr/assuntos/noticias/institucional/nota-de-esclarecimento-divulgacao-dosmicrodados#:~:text=Os juntamente com a NOTA de Esclarecimento INEP (SEI nº 3289150). 5. ANÁLISE I. COMPETÊNCIA DA ANPD NO PRESENTE CASO 5.1. A dúvida acerca da divulgação dos microdados dos censos escolares e do Enem frente à vigência da LGPD, bem como a repercussão pública do caso atraem a necessidade de manifestação da ANPD, órgão que detém a competência de zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções em caso de tratamento de dados em descumprimento à legislação; promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento e deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos, conforme previsão do art. 55-J, incisos I, IV, VI, XIV, XX da LGPD. 5.2. Nessa senda, o objetivo da presente nota técnica é expor o entendimento da ANPD sobre o caso concreto, além de fornecer orientações e solicitar ao INEP a apresentação de esclarecimentos e a adoção de providências, as quais serão indicados ao final do documento. II. O INEP E A DIVULGAÇÃO DE MICRODADOS DOS CENSOS EDUCACIONAIS 5.3. Primeiramente, importante esclarecer que o Guia Orientativo sobre o Tratamento de Dados Pessoais pelo Setor Público, publicado pela ANPD em janeiro de 2022 no sítio eletrônico https://www.gov.br/anpd/pt-br/documentos-epublicacoes/guia-poder-publico-anpd-versao-final.pdf, aponta que o processo de adequação às disposições da LGPD tem suscitado muitas dúvidas a respeito dos parâmetros a serem observados para a disponibilização pública de informações pessoais, sobretudo quanto à ponderação entre direitos: de um lado, o direito à privacidade e o direito à proteção de dados pessoais e, de outro, o direito de todos os indivíduos à informação sobre as atividades do Poder Público. 5.4. Não é demais lembrar que há interesse público na divulgação de informações relativas à execução de políticas públicas e ao exercício de competências legais pelos órgãos e entes públicos que permitam aos cidadãos o exercício do controle social sobre as atividades do Poder Público. Por outro lado, com vistas a atender ao princípio da publicidade, com frequência, o Estado é obrigado a divulgar dados pessoais. 5.5. Tanto o direito à privacidade quanto o direito à proteção de dados pessoais requerem posição de cautela e de análise de riscos a respeito da divulgação de informações pessoais, ao passo que o direito de todos os indivíduos à informação sobre as atividades do Poder Público advém da determinação legal de que a publicidade é a regra, admitindo-se o sigilo apenas em hipóteses excepcionais, consoante o art. 3º, I, da Lei nº 12.527, de 17/11/2011 – Lei de Acesso à Informação Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 3 (LAI). 5.6. Embora a observância da publicidade seja preceito geral, faz-se necessário que o tratamento de dados pessoais pelo Poder Público, incluindo a divulgação pública de dados pessoais, seja realizado em conformidade com as disposições da LGPD, sobretudo os dispositivos que garantem a proteção integral dos dados pessoais, a autodeterminação informativa e o respeito à privacidade dos titulares durante todo o ciclo do tratamento. Dessa forma, desde a realização da coleta até o fim da atividade, entidades e órgãos públicos devem observar os princípios previstos na lei, verificar a existência de base legal aplicável ao tratamento, garantir os direitos dos titulares e adotar medidas de prevenção e segurança, a fim de evitar a ocorrência de incidentes. 5.7. Nesse contexto, o cumprimento da LGPD demanda de entidades e órgãos públicos uma análise mais ampla, que não se limita à atribuição de sigilo ou de publicidade a determinados dados pessoais. Faz-se mister, em vista do reforço protetivo trazido pela LGPD, uma avaliação sobre os riscos e os impactos para os titulares dos dados pessoais, bem como sobre as medidas mais adequadas para mitigar possíveis danos decorrentes do tratamento. 5.8. Finalmente, a própria transparência a respeito dos tratamentos de dados realizados e a efetiva garantia de direitos aos titulares devem ser consideradas como fatores relevantes para diminuir o uso indevido de dados pessoais. 5.9. Feitas essas considerações, cumpre aplicá-las ao caso sob análise: divulgação de microdados do censo escolar e do Enem no sítio eletrônico do INEP. 5.10. O INEP foi transformado em Autarquia federal vinculada ao Ministério da Educação (MEC) pela Lei nº 9.448/1997 e suas finalidades estão descritas no art. 1º dessa lei, compreendendo a organização e a manutenção do sistema de informações e estatísticas educacionais (I); o planejamento, a orientação e a coordenação do desenvolvimento de sistemas e projetos de avaliação educacional, visando o estabelecimento de indicadores de desempenho das atividades de ensino no País (II); a prestação de subsídio à formulação de políticas na área de educação, mediante a elaboração de diagnósticos e recomendações decorrentes da avaliação da educação básica e superior (V); a promoção da disseminação de informações sobre avaliação da educação básica e superior (VIII). 5.11. Vê-se, portanto, que está enquadrado como entidade do Poder Público, motivo pelo qual são-lhe aplicáveis as orientações e os entendimentos estabelecidos no Guia Orientativo sobre o Tratamento de Dados Pessoais pelo Setor Público, conforme sintetizadas acima. Verifica-se, ainda, que existe respaldo para a divulgação de dados referentes à educação básica e superior, consubstanciado sobretudo nos incisos V e VIII. 5.12. Além disso, o Decreto nº 6.425/2008, determina que o INEP realizará, anualmente, o censo escolar da educação básica e o censo da educação superior, a teor do art. 1º. O censo é realizado em regime de colaboração entre a União, os Estados, o Distrito Federal e os Municípios, em caráter declaratório e mediante coleta de dados descentralizada, englobando todos os estabelecimentos públicos e privados de educação básica e adotando alunos, turmas, escolas e profissionais da educação como unidades de informação, conforme o art. 2º. O art. 5º do referido decreto, por sua vez, impõe a obrigatoriedade a toda instituição de educação, de direito público ou privado, com ou sem fins lucrativos, de prestar as informações solicitadas pelo INEP por ocasião da realização do censo da educação ou para fins de elaboração de indicadores educacionais. Já o art. 6º da norma assegura o sigilo e a proteção de dados pessoais no censo da educação, vedando a utilização dos dados para fins Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 4 estranhos aos previstos na legislação educacional aplicável. 5.13. Quanto ao Enem, importa registrar que a Portaria MEC nº 807, de 18/06/2010, instituiu o procedimento de avaliação com o objetivo de aferir se o participante, ao final do ensino médio, demonstra domínio dos princípios científicos e tecnológicos que presidem a produção moderna e conhecimento das formas contemporâneas de linguagem, a teor do art. 1º. No art. 6º da Portaria, por sua vez, está prevista a estruturação de banco de dados e emissão de relatórios com os resultados do Enem, bem como a possibilidade de disponibilização dos resultados do exame a instituições de ensino superior, secretarias estaduais de educação e pesquisadores, resguardado o sigilo individual, condicionando a divulgação do resultado individual à autorização expressa do participante. A restrição existe, portanto, à divulgação do resultado individual, para a qual deve existir autorização expressa do participante. 5.14. Importante considerar, ainda, o disposto na LAI, cujo art. 31 prevê que o tratamento das informações pessoais seja feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais, estatuindo, no §1º, II, que essas informações pessoais poderão ter sua divulgação ou acesso por terceiros autorizado diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. 5.15. O art. 31, §3º, II e V, da LAI, por sua vez, afasta a necessidade de consentimento para a divulgação de informações pessoais quando necessárias à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem; e à proteção do interesse público e geral preponderante. Tendo em vista que os microdados do censo escolar e do Enem se afiguram como necessários à realização de estatísticas e pesquisas científicas, conforme explanado anteriormente, e também refletem proteção do interesse público geral e preponderante, pois auxiliam na execução de política pública de avaliação do sistema brasileiro de ensino, a situação, a princípio, atende aos requisitos previstos na LAI para a divulgação pública sem a necessidade de consentimento dos titulares. 5.16. Voltando a análise à LGPD, é de salientar que essa lei exige hipótese legal para o tratamento de dados pessoais, conforme o previsto nos artigos 7º e 11. No caso em análise, verifica-se que o tratamento de dados pessoais pelo INEP para fins de censo escolar e de divulgação do Enem está respaldado pela legislação citada, pois é desenvolvido no mister do cumprimento de obrigações legais atribuídas à Autarquia ou, ainda, para fins da execução da política pública de acompanhamento da educação básica e superior e de avaliação do sistema de ensino brasileiro. Dito isso, do ponto de vista da LGPD, e com base nas notas técnicas do INEP e no Parecer 00018/2022/PROC/PFINEP/PGF/AGU (SEI nº 3289237), a hipótese legal aplicável não deve ser a do consentimento, inclusive porque essa lei possui expressa previsão quanto ao tratamento de dados para a realização de estudos por órgão de pesquisa. Não há dúvidas, portanto, quanto à legitimidade do tratamento de dados realizado pelo INEP para fins de realização dos censos educacionais e divulgação das informações pertinentes aos interessados. III. ANONIMIZAÇÃO, DIVULGAÇÃO PÚBLICA DE DADOS PESSOAIS E ELABORAÇÃO DE RELATÓRIO DE IMPACTO 5.17. A ANPD considera oportuna a preocupação com a anonimização, motivo pelo qual tecerá considerações a respeito desse processo anonimização. 5.18. É relevante esclarecer que a LGPD expressamente declara que dados anonimizados não são considerados dados pessoais. Destarte, a partir da discussão Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 5 sobre a anonimização dos microdados divulgados pelo INEP, é possível determinar se ocorre a aplicação da LGPD sobre os microdados, caso não estejam razoavelmente anonimizados, ou se sobre eles permanecem aplicáveis os dispositivos da LGPD caso o processo de anonimização seja reversível por meios próprios ou mediante esforço razoável. 5.19. Dado pessoal anonimizado, conforme disposto no art. 5º, III, da LGPD, é o dado relativo a um titular que não possa ser identificado. Em outras palavras, é o dado pessoal tornado anônimo de forma que não seja possível a identificação do seu titular, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. A anonimização, conforme definido no art. 5º, XI, da LGPD, é o processo por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, tornando-se, portanto, anonimizado. 5.20. A reidentificação, por outro lado, é a possibilidade de identificar um único indivíduo, transformando dados anônimos em dados pessoais por meio do uso de correspondência de dados ou técnicas semelhantes. O processo de anonimização e a forma como é implementado terão uma influência direta na probabilidade de riscos de reidentificação. Considerando que, para se anonimizar um dado pessoal, serão utilizados meios técnicos razoáveis e disponíveis no momento desse processo, existe o risco de que alguns processos de anonimização possam ser revertidos no futuro. Convém reconhecer que as circunstâncias podem mudar com o tempo e novos desenvolvimentos tecnológicos e a disponibilidade de informações adicionais pode comprometer os processos de anonimização anteriores. 5.21. Importante registrar que a anonimização não reduz a probabilidade de reidentificação de um conjunto de dados a zero. Embora a anonimização total seja o objetivo desejável do ponto de vista da proteção de dados pessoais, em alguns casos, isso não é possível e deve ser considerado um risco residual de reidentificação. No âmbito da Administração Pública, a divulgação de dados pessoais não anonimizados ou, ainda, a admissão de algum grau de risco de reidentificação de titulares em uma base de dados pública, pode ser considerada legítima em decorrência, por exemplo, de determinações legais expressas, do atendimento ao interesse público e em respeito ao direito de acesso à informação. Por isso, a avaliação de riscos e de impactos aos titulares dos dados, bem como a adoção de salvaguardas e de medidas de mitigação proporcionais aos riscos identificados devem ser um dos condicionantes para a decisão do controlador na publicização de dados pessoais. 5.22. Não se pode negar que existem riscos e interesses em reidentificar os dados anonimizados. Os dados pessoais têm um valor em si, para os próprios indivíduos e para terceiros. A reidentificação de um indivíduo pode ter um sério impacto sobre seus direitos e liberdades. Assim, a possibilidade de se reidentificar uma pessoa em um conjunto de dados, seja por curiosidade, por acaso ou motivado por um interesse legítimo (como, por exemplo, para pesquisa científica e para fins jornalísticos) ou ilegítimo (como, por exemplo, para atividade criminosa), não pode ser desconsiderada. 5.23. Os conjuntos de dados que incluem dados pessoais podem conter identificadores que possibilitam a associação, direta ou indireta, a um indivíduo, nos termos do art. 5º, XI e art. 12, § 1º, da LGPD. Um identificador direto é uma informação específica que se refere a um indivíduo, como nome ou número de registro. Um identificador indireto é qualquer informação que pode ser usada, individualmente ou em combinação com outras informações, com o objetivo de identificar uma pessoa no conjunto de dados, como, por exemplo, a sua localização geográfica, um endereço IP, uma opinião em redes sociais, ou ainda aquelas Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 6 utilizadas para a formação do perfil comportamental de uma pessoa, se identificada, conforme o art. 12, § 2º, da LGPD. 5.24. Como parte da metodologia de anonimização, utilizam-se medidas para garantir que o limite de risco de reidentificação não seja ultrapassado, como por exemplo o k-anonimato. O modelo k-anonimato é usado como uma diretriz antes e após as técnicas de anonimização terem sido aplicadas, para garantir que os identificadores diretos e/ou indiretos (os “quase identificadores”) de qualquer registro sejam compartilhados por pelo menos k-1 outros registros. “K” é a proteção de chave fornecida contra ataques de vinculação, onde k registros são idênticos nos atributos de identificação e, portanto, criam uma “classe de equivalência” com k membros, não sendo possível vincular ou isolar o registro de um único indivíduo sempre que há “k” atributos idênticos. 5.25. O k-anonimato, porém, não é a única medida disponível, mas é relativamente bem compreendida e fácil de aplicar. Métodos alternativos, como a “privacidade diferencial”, podem ser mais adequados. A privacidade diferencial envolve vários conceitos, tais como adicionar ruído aleatório aos registros individuais protegidos, fornecer garantias matemáticas de que o “nível de privacidade” predefinido não seja excedido. Um conjunto de dados anonimizados pode ter diferentes níveis de k-anonimato para diferentes conjuntos de identificadores indiretos (quase identificadores), mas para obter a proteção contra vinculação, o k não poderá ser um número baixo que comprometa a anonimização. Pelo exposto, considerando o caso em análise, à luz das informações trazidas no Termo de Execução Descentralizada UFMG (SEI nº 3289230), observa-se que não era necessário possuir acesso a outras fontes de dados abertos (não anonimizados) para se obter a reidentificação de registros anonimizados quando publicados no formato anterior, especialmente quando o fator de anonimização seja baixo. 5.26. Em resumo, os dados anonimizados não são considerados dados pessoais, por isso não estão sujeitos às disposições da LGPD, salvo quando o processo de anonimização a que foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido (art. 12). A determinação do que seja esforço razoável deve levar em consideração fatores objetivos, tais como o custo e o tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis no momento da anonimização, e a utilização exclusiva de recursos tecnológicos próprios do agente de tratamento (art. 12, § 1º). 5.27. A avaliação relativa à eventual reversão dos dados e aos seus impactos deve se basear em evidências e em cenários que considerem aspectos objetivos da realidade. Afastam-se, assim, análises meramente especulativas, baseadas em cenários irreais, de difícil ou improvável ocorrência ou, ainda, que desconsiderem limitações práticas, decorrentes de custos muito elevados ou de meios técnicos de disponibilidade restrita. Conceitos jurídicos também podem auxiliar a análise, especialmente quanto aos riscos e aos impactos envolvidos em uma determinada situação. Assim, por exemplo, se a eventual reidentificação abranger dados sensíveis, as salvaguardas devem ser diferenciadas. Já a identificação de informações triviais relativas a uma pessoa pública, ou a mera confirmação de informações previamente divulgadas por esta pessoa constitui, a princípio, um fator de risco de menor impacto, que pode demandar salvaguardas mais simples e flexíveis. 5.28. Importante destacar que a anonimização não é uma medida de segurança impositiva, que deve ser adotada em todo e qualquer tratamento de dados pessoais. De forma mais específica, a LGPD não estabeleceu a anonimização Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 7 como condição técnica para a divulgação pública ou para o compartilhamento de dados pessoais por entidades e órgãos públicos. Ao contrário, como já mencionado, a principal determinação da LGPD é quanto à necessidade de avaliação de riscos e de adoção de medidas para mitigar a ocorrência de danos. Por isso, a eventual identificação dos titulares ou a admissão de algum grau de risco de sua identificação, quando necessário para atender, por exemplo, a determinações legais, o interesse público e o direito de acesso à informação, são compatíveis com a LGPD, desde que adotadas as salvaguardas apropriadas. 5.29. Deve-se registrar que a preocupação com a anonimização no presente caso não advém da LGPD, mas sim dos pressupostos levantados pelo próprio INEP para as suas pesquisas. Isto porque a lógica do modelo de pesquisa desenvolvido exige que ele seja impessoal, conforme ressaltado na NOTA TÉCNICA Nº 5/2021/CGCQTI/DEED (SEI nº 3289210), no bojo da qual se anota que “a confidencialidade dos dados pessoais tratados é um pressuposto ético e um requisito metodológico”. Não se trata, portanto, de uma obrigação que surgiu com o advento da LGPD. 5.30. De fato, a anonimização é uma das possíveis medidas de segurança que podem ser adotadas visando à proteção de dados pessoais. Ainda no âmbito das medidas técnicas, pode ser mencionada a pseudonimização, que é definida pela LGPD como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (art. 13, § 4º). Embora a única menção ao termo seja efetuada no art. 13, que trata dos estudos em saúde pública, a pseudonimização de dados pessoais, como, por exemplo, por meio de criptografia, pode ser utilizada nos mais diversos contextos, sempre considerando os objetivos de prevenção e segurança identificados no caso concreto. 5.31. Além dos meios técnicos, a segurança no tratamento de dados pessoais pode ser garantida mediante a adoção de medidas administrativas, a exemplo da definição de critérios mais restritos para controle e registro de acesso a determinados dados pessoais, conforme previsto na política de segurança da informação do controlador. No âmbito da divulgação de dados pessoais por entidades e órgãos públicos, a eventual limitação do acesso a pessoas previamente cadastradas ou que se enquadrem em determinadas categorias (como pesquisadores, gestores públicos etc.) pode ser útil em determinados contextos, observadas as disposições legais aplicáveis. Da mesma forma, mecanismos jurídicos, como a assinatura de termos de responsabilidade pelas pessoas que têm acesso aos dados pessoais, podem contribuir para a mitigação de riscos aos titulares dos dados. Nesse sentido, vale citar o disposto no art. 61 do Decreto nº 7.724/2012, que regulamenta a aplicação da LAI no Poder Executivo Federal: Art. 61. O acesso à informação pessoal por terceiros será condicionado à assinatura de um termo de responsabilidade, que disporá sobre a finalidade e a destinação que fundamentaram sua autorização, sobre as obrigações a que se submeterá o requerente. § 1º A utilização de informação pessoal por terceiros vincula-se à finalidade e à destinação que fundamentaram a autorização do acesso, vedada sua utilização de maneira diversa. § 2º Aquele que obtiver acesso às informações pessoais de terceiros será responsabilizado por seu uso indevido, na forma da lei. 5.32. Como se pode observar, o termo de responsabilidade é instrumento jurídico utilizado para dar ciência expressa ao terceiro de sua corresponsabilidade pelo tratamento dos dados disponibilizados pelo controlador. Trata-se, em outras palavras, de estabelecer constrangimentos jurídicos, que se somam aos meios técnicos adotados no caso, visando assegurar que os dados pessoais sejam Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 8 tratados em conformidade com as condições estipuladas para o acesso aos dados pessoais, entre as quais podem ser mencionadas: a boa-fé, o interesse público, a finalidade específica e o respeito aos direitos dos titulares e aos padrões éticos aplicáveis. 5.33. A existência de diversas salvaguardas técnicas e administrativas, admitidas e compatíveis com a LGPD e que não se limitam à técnica de anonimização, conforme exemplificado acima, impõe aos controladores em geral e ao INEP em particular a obrigação de realizar uma avaliação ampla dos riscos envolvidos e das medidas de segurança e de mitigação de riscos mais apropriadas para o caso. 5.34. O instrumento previsto na LGPD para tanto é o relatório de impacto à proteção de dados pessoais, definido no art. 5º, XVII, como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. O parágrafo único do art. 38 estabelece o conteúdo mínimo do relatório, que deve conter, pelo menos, “a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados”. 5.35. Como mencionado, a análise do controlador em relação a “medidas, salvaguardas e mecanismos de mitigação de risco” não precisa se limitar à técnica de anonimização, devendo também considerar a pertinência da aplicação de outras medidas técnicas e administrativas e a devida ponderação entre o interesse público na divulgação dos dados e a proteção dos direitos dos titulares. Além disso, a elaboração do relatório de impacto se justifica no presente caso: (I) em razão do risco já identificado aos titulares em decorrência da publicação das bases de dados dos censos educacionais; e (II) da necessidade de reforçar a conformidade do tratamento dos dados realizado pelo INEP com a LGPD. 5.36. A esse respeito, o art. 32 da LGPD expressamente atribui à ANPD a competência para “solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público”. Dessa forma, no âmbito do setor público, o relatório de impacto ganha contornos próprios, na medida em que: (I) viabiliza uma atuação mais efetiva da ANPD no caso concreto, de modo que, considerando a análise e as informações apresentadas pelo INEP, poderá recomendar ou determinar a adoção de providências adicionais; e (II) contribui para ampliar a transparência dos critérios adotados e considerados pelo INEP para fundamentar a sua decisão, em particular mediante a eventual publicação do relatório, caso assim determinada pela ANPD. 5.37. A existência de respaldo legal para a divulgação não significa que ela deva continuar a ser feita nos moldes antigos. É preciso observar os princípios previstos na LGPD, sobretudo o da necessidade, de sorte a publicar apenas os dados que atendam ao escopo do sistema de avaliação do ensino brasileiro e permitam a utilização em pesquisas acadêmicas. Com efeito, o INEP precisa atender à lógica da necessidade, pois a autorização legal para publicar os dados não redunda numa divulgação que ignore a necessidade e a adequação. Isto porque o advento da LGPD impõe a observância de princípios e dos direitos do titular, promovendo uma cultura de melhoria no tratamento de dados por meio da positivação, no inciso I do art. 6º, do princípio da finalidade, de modo que o tratamento esteja centrado no mínimo imprescindível; do princípio da adequação, no inciso II, que impõe a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 9 do tratamento; do princípio da necessidade, no inciso III, para que o tratamento limite-se ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades. Assim, a finalidade determina o que se pode fazer com os dados. 5.38. Dessa forma, o INEP, que possui hipótese legal para o tratamento dos microdados, deve atender aos princípios da finalidade, adequação e necessidade, verificando se as informações divulgadas são, efetivamente, adequadas e necessárias para o atendimento das finalidades para as quais serão utilizadas. 5.39. Nesse ponto, importante ressaltar que a própria divulgação consiste em tipo de tratamento previsto no art. 5º, X, da LGPD: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Assim, já que a divulgação configura tratamento, faz-se mister que ela seja feita com respeito aos princípios previstos pela LGPD, de sorte a garantir que a finalidade do tratamento seja atendida. Nessa linha de raciocínio, o fato de os dados tornados públicos poderem ser usados sem consentimento deve inspirar a reflexão sobre a publicação, a fim de que sejam divulgados apenas os dados efetivamente necessários e compatíveis com a realização de estatísticas e pesquisas científicas e a execução da política pública de avaliação do sistema brasileiro de ensino que gerou o tratamento. 5.40. Com a elaboração do RIPD, atende-se também ao princípio da prevenção, previsto no art. 6º, VIII, segundo o qual devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. A solução, portanto, para a dúvida sobre a pertinência ou não da divulgação dos microdados depende da elaboração do RIPD. 5.41. Miriam Wimmer, Diretora da ANPD, no artigo “O regime jurídico do tratamento de dados pessoais pelo Poder Público” [2] , sugere a realização de relatórios de impacto à proteção de dados pessoais antes da abertura dos dados a serem publicados pelo Poder Público, e este é o posicionamento adotado pela ANPD no presente caso. Nessa senda, devem ser levados em consideração quais impactos a divulgação dos microdados pode causar aos direitos fundamentais ou no que a exposição pode afetar a vida dos indivíduos. No caso de dados identificáveis que podem, efetivamente, sujeitar o titular a discriminação, por exemplo, a publicação deve ser evitada, e em sendo necessária para política pública, o acesso deve ocorrer em ambiente seguro ou mediante a adoção de outras salvaguardas apropriadas. Assim, se o RIPD concluir que os dados são pessoais porque não estão anonimizados, entre a deliberação pela publicação e a publicação em si, deve haver reflexão sobre o que se precisa fazer. O documento, então, informará as precauções que a Autarquia federal tomará no intuito de mitigar os riscos às liberdades civis e aos direitos fundamentais. 5.42. Maria Cecília Oliveira Gomes, sobre a descrição dos processos de tratamento de dados no relatório de impacto, ensina que “parece que a intenção do legislador não foi que o relatório fosse uma demonstração do registro de atividades ou um inventário de dados especificamente, o qual também está previsto na LGPD e no Marco Civil da Internet, mas sim que contivesse uma descrição dos procedimentos que envolvem as operações de tratamento de dados, através de uma perspectiva maior de governança de dados” [3] . Para além da governança de dados no presente, acrescente-se a necessidade de se adotar uma postura prospectiva, pois se for cogitada a divulgação de novos tipos de dados, deve ser elaborado novo RIPD. Agindo dessa maneira, o INEP promoverá continuamente a adequação do seu Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 10 tratamento à LGPD, refletindo a postura de cautela que é almejada pela nova legislação. 5.43. Após a elaboração do relatório de impacto, deve-se reavaliar os motivos pelos quais concluiu-se pela não divulgação dos microdados dos censos escolares e do Enem, podendo continuar publicando-os caso (i) não tenha sido identificado alto risco para os titulares ou (ii) os riscos identificados tenham sido neutralizados ou adequadamente mitigados com a adoção das salvaguardas apropriadas ao caso. Porém, se houver impacto significativo sobre os direitos dos titulares, deve-se avaliar a amplitude da divulgação ou a aplicação de outras técnicas de anonimização e medidas de mitigação, já mencionadas, para a publicação dos dados. Faz-se necessário, também, verificar a ocorrência de riscos e danos relevantes proveniente da publicação dos microdados em anos anteriores que pudessem justificar a não divulgação ou a sua indisponibilidade. Caso não seja constatado nenhuma ocorrência relevante, os microdados devem ser tornados públicos, após a aplicação das medidas de segurança e de mitigação de risco necessárias, indicadas pelo relatório de impacto à proteção de dados. 6. CONCLUSÃO 6.1. O INEP possui hipótese legal para realizar o tratamento consistente na divulgação dos microdados, todavia, isto não significa que possa publicá-los sem a observância dos requisitos estabelecidos pela LGPD. 6.2. A anonimização não é uma medida de segurança que deve ser adotada em todo e qualquer tratamento de dados pessoais, pois a LGPD não a elegeu como condição técnica para a divulgação pública ou para o compartilhamento de dados pessoais por entidades e órgãos públicos. Em realidade, a principal determinação da LGPD é quanto à necessidade de avaliação de riscos e de adoção de medidas para mitigar a ocorrência de danos. Por esta razão, a eventual identificação dos titulares ou a admissão de algum grau de risco de sua identificação, quando necessário para atender, por exemplo, a determinações legais, o interesse público e o direito de acesso à informação, são compatíveis com a LGPD, desde que adotadas as salvaguardas apropriadas. 6.3. No âmbito da divulgação de dados pessoais por entidades e órgãos públicos, a eventual limitação do acesso a pessoas previamente cadastradas ou que se enquadrem em determinadas categorias pode ser útil em determinados contextos, observadas as disposições legais aplicáveis. Da mesma forma, mecanismos jurídicos, como a assinatura de termos de responsabilidade pelas pessoas que têm acesso aos dados pessoais, podem contribuir para a mitigação de riscos aos titulares dos dados. 6.4. Nesse sentido, o INEP deve observar os princípios previstos na LGPD e elaborar o Relatório de Impacto à Proteção de Dados – RIPD, com vistas a avaliar os riscos que podem ser causados aos titulares com a divulgação, tornando-o público, no que couber, a fim de dar transparência às decisões e medidas que serão adotadas. 6.5. Após a elaboração do RIPD, o INEP terá condições de decidir sobre a amplitude da divulgação, sendo possível a disponibilização dos microdados em versões diferentes para a sociedade e para instituições de pesquisa, mediante termo de responsabilidade. 7. ENCAMINHAMENTOS 7.1. Encaminhe-se a presente nota técnica ao INEP, para ciência e elaboração do Relatório de Impacto à Proteção de Dados para fins adequação da divulgação dos microdados do censo escolar e do Enem à LGPD, colocando-se a ANPD à disposição Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 11 para maiores esclarecimentos, se necessário. ____________________________ [1] INEP, Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira. Nota de Esclarecimento – Divulgação dos Microdados. Disponível em: . Acesso em: 4 de mai. de 2022. [2] WIMMER, Miriam. “O regime jurídico do tratamento de dados pessoais pelo Poder Público”. In: Tratado de proteção de dados pessoais. Coord.: Danilo Doneda et. Al. Rio de Janeiro: Forense, 2021. p. 276 [3] GOMES, Maria Cecília Oliveira. “Relatório de impacto à proteção de dados pessoais”. In: Revista do Advogado. São Paulo: Associação dos Advogados de São Paulo, 2019. p. 178. Documento assinado eletronicamente por Fabricio Guimarães Madruga Lopes, Coordenador(a)-Geral, em 17/05/2022, às 14:47, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. . Documento assinado eletronicamente por Cristiane Landerdahl de Albuquerque, Coordenador(a), em 17/05/2022, às 15:44, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. . A autenticidade do documento pode ser conferida informando o código verificador 3319546 e o código CRC 729837D6 no site: https://sei-pr.presidencia.gov.br/sei/controlador_externo.php? acao=documento_conferir&id_orgao_acesso_externo=0 Referência: Processo nº 00261.000730/2022-53 SEI nº 3319546 Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 12