A ANPD emite nota técnica no sentido de que o INEP pode tratar microdados, mas sugere medidas à serem adotadas

Muito se debateu nos últimos dias sobre a possibilidade do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) compartilhar microdados do Censo Escolar e do Exame Nacional do Ensino Médio (Enem) que norteava a formulação de políticas públicas educacionais.

Cumpre esclarecer que os microdados representam a versão mais detalhada possível dos indivíduos em um banco de dados específico.

Historicamente, o Inep divulga anualmente nesse formato dados dos censos e de avaliações educacionais. No caso do Enem, a base contém detalhes de cada candidato inscritos, como a idade, o sexo, a raça, informações socioeconômicas e educacionais, como o nome da escola, o tipo de rede de ensino e as notas que cada um tirou nas provas.

Contudo, os arquivos foram removidos do site do INEP, após o órgão divulgar os microdados do Censo Escolar 2021 e do Enem 2020. Os documentos divulgados passaram a apresentar, então, padrão diferente do que vinha sendo observado nos últimos anos. Os dados do Enem 2020 registram agora quase metade a menos das informações que costumavam a integrar o documento, enquanto os do Censo 2020 e 2021 tiveram a grande maioria das informações suprimidas.

Desta forma, houve a suspensão da divulgação dos microdados do censo escolar e do Exame Nacional do Ensino Médio (Enem) pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) e a posterior publicação da Nota de Esclarecimento INEP (SEI nº 3289150) no site do instituto.

De maneira resumida, a Nota de Esclarecimento informava que parte dos dados eram dados de pessoas jurídicas sobre os quais não se aplica a LGPD e os dados pessoais estavam devidamente anonimizados.

A ANPD (Autoridade Nacional de Proteção de Dados), estudando a mencionada Nota de Esclarecimento e outros documentos como: Manifestação pública de entidades (SEI nº 3289249), Nota Técnica INEP 5/2021/CGCQTI/DEED (SEI nº 3289210), a Nota Técnica INEP 14/2021/CGIM/DAEB (SEI nº 3289220), o Termo de Execução Descentralizada UFMG (SEI nº 3289230) e o Parecer 00018/2022/PROC/PFINEP/PGF/AGU (SEI nº 3289237) [i], Emitiu Nota Técnica.

Ultrapassadas questões como a competência da ANPD para análise do caso (art. 55-J da LGPD) e quanto à obrigação de cumprimento da LGPD por parte do INEP enquanto Autarquia Federal (Art. 1º LGPD) [ii], a ANPD passou ao enfrentamento da questão de forma bastante técnica.

Foi levado em consideração que o Decreto nº 6.425/2008, determina que o INEP realize, anualmente, o censo escolar da educação básica e o censo da educação superior, a teor do art. 1º. O censo é realizado em regime de colaboração entre a União, os Estados, o Distrito Federal e os Municípios, em caráter declaratório e mediante coleta de dados descentralizada, englobando todos os estabelecimentos públicos e privados de educação básica.

O art. 5º do referido decreto, impõe a obrigatoriedade a toda instituição de educação, de direito público ou privado, com ou sem fins lucrativos, de prestar as informações solicitadas pelo INEP por ocasião da realização do censo da educação ou para fins de elaboração de indicadores educacionais. Bem como a Portaria MEC nº 807 que instituiu o procedimento de avaliação com o objetivo de aferir se o participante, ao final do ensino médio, demonstra domínio dos princípios científicos e tecnológicos que presidem a produção moderna e conhecimento das formas contemporâneas de linguagem.

Cumpre frisar, ainda, que o art. 6º da Portaria do MEC referida acima prevê a estruturação de banco de dados e emissão de relatórios com os resultados do Enem, bem como a possibilidade de disponibilização dos resultados do exame a instituições de ensino superior, secretarias estaduais de educação e pesquisadores, resguardado o sigilo individual, condicionando a divulgação do resultado individual à autorização expressa do participante.

Portanto, o tratamento dos dados atenderia, inicialmente, a base legal insculpida no inciso II do artigo 7º da LGPD, ou seja, cumprimento de obrigação legal ou regulatória. O mesmo se pode dizer em relação ao trazido no inciso III do mesmo artigo que prevê a possibilidade de tratamento pela administração pública para fins de execução de políticas públicas.

Ainda falando de obrigações regulatórias, com bem destacado na Nota Técnica da ANPD, o art. 31, § 3º, II e V, da LAI, por sua vez, afasta a necessidade de consentimento para a divulgação de informações pessoais quando necessárias à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem; e à proteção do interesse público e geral preponderante.

Desta maneira, lato senso, a ANPD conclui que: “é de salientar que essa lei exige hipótese legal para o tratamento de dados pessoais, conforme o previsto nos artigos 7º e 11. No caso em análise, verifica-se que o tratamento de dados pessoais pelo INEP para fins de censo escolar e de divulgação do Enem está respaldado pela legislação citada, pois é desenvolvido no mister do cumprimento de obrigações legais atribuídas à Autarquia ou, ainda, para fins da execução da política pública de acompanhamento da educação básica e superior e de avaliação do sistema de ensino brasileiro”

E diante desse cenário, a ANPD entendendo a importância e necessidade do tratamento dos microdados do INEP, focou numa solução que ao mesmo tempo que viabilize o interesse público e o cumprimento das obrigações legais, buscando viabilidade que, de toda forma, também atenda a necessidade de preservação e segurança dos dados e seus titulares.

Assim, passou a verificar a subsistência, efetividade e o grau da anonimização mencionada pelo INEP em seus esclarecimentos, avaliando a possibilidade de reidentificação [iii] e sugerindo metodologias de anonimização tais como k-anonimato [iv] e Privacidade Referencial [v].

Por fim, à luz do quanto exposto pela Diretora da ANPD Miriam Weimmer [vi] na obra “O regime jurídico do tratamento de dados pessoais pelo Poder Público” a ANPD apresenta como posicionamento para o caso concreto a elaboração de RPID, ou seja, relatórios de impacto à proteção de dados pessoais antes da abertura dos dados a serem publicados pelo Poder Público, levando em consideração quais impactos a divulgação dos microdados pode causar aos direitos fundamentais ou no que a exposição pode afetar a vida dos indivíduos.

Com a elaboração do RPID, caso seja identificado que os dados são pessoais porque não estão anonimizados, entre a deliberação pela publicação e a publicação em si deverá prever as precauções que a Autarquia federal tomará no intuito de mitigar os riscos às liberdades civis e aos direitos fundamentais.

A ANPD, à luz do quanto disposto no inciso IX do artigo 5º da LGPD, evidenciou, que no caso de dados identificáveis que possam resultar na discriminação do titular, a publicação de tais dados deve ser evitada, e caso sejam necessárias para política pública, o acesso deve ocorrer exclusivamente em ambiente seguro e mediante a adoção de medidas de segurança adequadas e compromissos de não compartilhamento ou uso para finalidades diversas.

De forma bastante resumida, a conclusão final da Autoridade Nacional de Proteção de Dados para o caso é:

• O INEP possui hipótese legal para realizar a divulgação dos microdados, mas deve observar os requisitos estabelecidos pela LGPD;
• A eventual identificação dos titulares ou a admissão de algum grau de risco de sua identificação, quando necessário para atender as determinações legais, o interesse público ou o direito de acesso à informação, são compatíveis com a LGPD, mas deve adotadar as salvaguardas apropriadas;
• A divulgação de dados pessoais por entidades e órgãos públicos, pode ocorrer de forma limitada ao acesso de pessoas previamente cadastradas ou que se enquadrem em determinadas categorias pode ser útil em determinados contextos, observadas as disposições legais aplicáveis;
• O INEP deve observar os princípios da LGPD e elaborar o RPID, objetivando avaliar os riscos que podem ser causados aos titulares com a divulgação, tornando-o público, no que couber, a fim de dar transparência às decisões e medidas que serão adotadas;

[i] https://www.gov.br/inep/pt-br/assuntos/noticias/institucional/nota-de-esclarecimento-divulgacao-dos-…

[ii] Lei Federal 13.709/18

[iii] Reidentificação é a possibilidade de identificar um único indivíduo, transformando dados anônimos em dados pessoais por meio do uso de correspondência de dados ou técnicas semelhantes.

[iv] No k-anonimato, k é um número que representa o tamanho de um grupo. Se, para qualquer indivíduo do conjunto de dados, houver pelo menos k-1 indivíduos que tenham as mesmas propriedades, teremos alcançado o k-anonimato para esse conjunto de dados.

[v] A privacidade diferencial é um tipo de técnica que tem como objetivo anonimizar dados pessoais ao adicionar ruídos no conjunto de dados de modo que se possa gerar informações úteis com o conjunto ao mesmo tempo em que inibe a identificação do titular do dado. .

[vi] WIMMER, Miriam. “O regime jurídico do tratamento de dados pessoais pelo Poder Público”. In: Tratado de proteção de dados pessoais. Coord.: Danilo Doneda et. Al. Rio de Janeiro: Forense, 2021. p. 276

Walter Calza Neto – Especialista em Propriedade Intelectual, Segurança da Informação, Compliance e Direito Digital. Membro da Comissão de estudos de LGPD do IASP e Perito Judicial em Propriedade Intelectual. Graduado pela Universidade Presbiteriana Mackenzie em 1998, com Extensão em Lógica Legal – ESA em 1999, Extensão em Direito da Propriedade Intelectual – WIPO Academy em 2002, Qualificado como Advogado Colaborativo para Áreas Civis e Negócios pelo IBPC, em 2014. Possui diversas certificações e cursos em Direito Empresarial, Compliance, Direito Digital, Propriedade Intelectual e LGPD. Atuação nas Áreas de Propriedade Intelectual, Infraestrutra, Proteção de Dados, Fusões, Aquisições e Oportunidades.