jusbrasil.com.br
19 de Outubro de 2018

Bancos de dados de DNA à luz da Segurança da Informação, Direito e Compliance

Cleórbete Santos, Estudante de Direito
Publicado por Cleórbete Santos
há 3 meses

Na segunda-feira 30 de Julho de 2018, o ministro do Supremo Tribunal Federal Alexandre de Moraes, durante palestra proferida na Academia Brasileira de Ciências Forenses, na capital paulista, afirmou ser a favor da coleta de DNA de toda a população brasileira para fins de aprimoramento das investigações criminais [1]. "Qual o problema de se realizar um cadastramento de DNA, que é um exame nada invasivo? (...) Se você pode e deve, constitucionalmente, dar sua identificação, que é a digital, hoje mais moderno que isso é o DNA", afirmou [2]. Mas será que implementar um repositório governamental de DNA, respeitando a privacidade, liberdades individuais, entre outros princípios e direitos, é tão simples assim? Vejamos.

Há no Brasil, desde 2012, a Rede Integrada de Bancos de Perfis Genéticos, nascida a partir da publicação da Lei 12.654, do mesmo ano, que alterou as Leis 12.037/2009 e 7.210/1984 (Lei de Execução Penal), prevendo a coleta de perfil genético como forma de identificação criminal [3]. Diz a lei:

"Art. 5o-A. Os dados relacionados à coleta do perfil genético deverão ser armazenados em banco de dados de perfis genéticos, gerenciado por unidade oficial de perícia criminal. § 1o As informações genéticas contidas nos bancos de dados de perfis genéticos não poderão revelar traços somáticos ou comportamentais das pessoas, exceto determinação genética de gênero, consoante as normas constitucionais e internacionais sobre direitos humanos, genoma humano e dados genéticos. § 2o Os dados constantes dos bancos de dados de perfis genéticos terão caráter sigiloso, respondendo civil, penal e administrativamente aquele que permitir ou promover sua utilização para fins diversos dos previstos nesta Lei ou em decisão judicial. § 3o As informações obtidas a partir da coincidência de perfis genéticos deverão ser consignadas em laudo pericial firmado por perito oficial devidamente habilitado."

Pela redação acima, os dados coletados para a criação de perfis genéticos não podem ser armazenados juntamente com informações que digam respeito a fatores físicos e comportamentais, nem tampouco ser utilizados para fins distintos do que prevê a lei em comento. Isso nos remete a questões relacionadas à área de Compliance, principalmente no tocante ao uso de criptografia e à anonimização e pseudo-anonimização de dados, como forma de evitar, dentre outros, o acesso não autorizado a essas informações, o seu vazamento (data leaking), bem como seu fornecimento a terceiros, que poderiam utilizá-las indevidamente para a prática de profiling.

Profiling é qualquer forma de tratamento computacional que envolva a utilização de dados pessoais para avaliar certos aspectos pessoais relativos a uma pessoa em particular para analisar ou prever características relativas ao desempenho dessa pessoa no trabalho, situação econômica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização geográfica, entre outros. Anonimização diz respeito aos dados relativos a uma pessoa identificada ou identificável que não pode, razoavelmente, voltar a ser identificada ou identificável a partir dos dados coletados. E pseudo-anonimização (utilização de aliases) é o tratamento de dados pessoais de modo que os dados não possam identificar um usuário específico sem o uso de dados adicionais, estes devendo ser armazenados separadamente, e ambos, de maneira segura (com uso de criptografia, por exemplo). Uma das normas internacionais que trata dos temas de anonimização/pseudo-anomização e criptografia de dados é a Lei de Proteção de Dados da Alemanha [4]. Interessante frisar que o Manual da Legislação Europeia sobre Proteção de Dados define como pseudo-anonimizados os dados que estejam criptografados, o que discordamos mediante a existência de definições mais condizentes com o contexto (ademais, o processo de criptografia serve à confidencialidade e não à anonimização).

De qualquer forma, mesmo com a utilização de anonimização e pseudo-anonimização como forma de evitar a identificação de indivíduos a partir de seus dados pessoais, estudos demonstram que dados aparentemente inofensivos podem ser usados em conjunto para identificar uma pessoa. Vide a pesquisa feita pelo professor de Harvard Latanya Sweeney, que comprovou que cerca de 87% da população dos Estados Unidos pode ser identificada utilizando-se apenas seu CEP, gênero e data de nascimento [6]. Outro estudo, feito pelo pesquisador do MIT Yves-Alexandre de Montjoye, demonstrou que é possível identificar, em 90% dos casos, o dono de um cartão de crédito a partir de apenas 4 transações (compras), data da compra e loja visitada. Em se tratando de bancos de dados de DNA, temos exemplos diversos onde dados aparentemente anonimizados foram utilizados para revelar seus verdadeiros donos, caso do site GEDMatch, que serviu de subsídio para que a polícia de Sacramento, Califórnia (mesmo sem autorização para fazer cruzamento de dados), pudesse chegar a um suspeito [9]. Vazamento de dados genéticos é apenas uma das preocupações relacionadas à coleta de dados pessoais, principalmente de dados imutáveis, como biometria e DNA.

Na esfera jurídica, o banco de dados de DNA para criminosos sofre críticas de diversos especialistas [10], que alegam, como a Defensoria Pública de Minas Gerais (por meio do Recurso Extraordinário 973.837, perante o STF), que a coleta de material biológico prevista pela Lei 12.654/2012 viola o inciso II do artigo da Constituição e o direito de não produzir provas contra si mesmo [12]. Outros consideram esse tipo de prática inconstitucional e uma versão do famigerado Direito Penal do Inimigo [13]. E problemas outros, relacionados à Ética (e à Bioética), como feridas a mais princípios e direitos constitucionais e quanto ao tempo de armazenamento de informações de DNA, são listados no artigo "Problemas ético-legais de bancos de dados de DNA em investigações criminais", de Guillén et al [14].

Quanto à coleta massiva de DNA's de toda a população, recentemente o Kuwait revogou o que viria a se tornar a primeira lei do mundo a exigir que todos os cidadãos e visitantes do país fornecessem ao governo amostras de seus DNA's. A lei sofreu represálias de vários advogados e foi, pela Corte Constitucional do Kuwait, considerada inconstitucional por violar a a garantia de liberdade individual. A Sociedade Européia de Genética Humana, por meio de nota, disse "esperar que países que estejam pensando em trilhar esse caminho (da coleta de DNA's) estejam conscientes dessa decisão (de revogação da lei no Kuwait)" [15].

Fontes

[1] https://www1.folha.uol.com.br/cotidiano/2018/07/ministro-do-stf-defende-coletar-dna-da-populacao-par...

[2] https://br.sputniknews.com/brasil/2018073011841116-alexandre-moraes-coleta-dna-cidadaos/

[3] http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12654.htm

[4] https://iapp.org/media/pdf/resource_center/Eng-trans-Germany-DPL.pdf

[5] https://www.echr.coe.int/Documents/Handbook_data_protection_POR.pdf

[6] http://dataprivacylab.org/projects/identifiability/paper1.pdf

[7] http://brasil.elpais.com/brasil/2015/01/29/ciencia/1422520042_066660.html

[8] news.mit.edu/2015/identify-from-credit-card-metadata-0129

[9] https://www.cbsnews.com/news/privacy-concerns-after-public-genealogy-database-used-to-id-golden-stat...

[10] https://jus.com.br/artigos/56607/o-direito-de-nao-produzir-provas-contra-si-mesmoea-coleta-de-mate...

[11] https://www.newscientist.com/article/2149830-kuwaits-plans-for-mandatory-dna-database-have-been-canc...

[12] https://www.defensoria.mg.def.br/dpmg-participa-de-audiencia-pública-que-discutiu-aspectos-tecnicos-...

[13] https://jus.com.br/artigos/64049/a-inconstitucionalidade-do-banco-de-dados-de-criminosos

[14] https://jme.bmj.com/content/26/4/266

[15] https://www.newscientist.com/article/2149830-kuwaits-plans-for-mandatory-dna-database-have-been-canc...

2 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Excelente texto, vai me ajudar muito no TCC, se o Dr. tiver mais material eu agradeceria. continuar lendo

Isabel, que bom que gostou. Qual o seu e-mail? Envie-o, se não quiser deixar exposto, pelo formulário do meu site www.cleorbete.com. Abraço. continuar lendo