EDPB publica novas diretrizes sobre uso de dados para ciência e IA

O European Data Protection Board (EDPB) detalha critérios para pesquisa científica sob a GDPR e lança selo para transferência internacional de dados.

R

O European Data Protection Board (EDPB) adotou novas diretrizes para o processamento de dados pessoais voltados à pesquisa científica, visando harmonizar a conformidade com o GDPR no contexto de avanços tecnológicos.

A medida busca oferecer clareza jurídica para pesquisadores e empresas que utilizam Inteligência Artificial e análise de dados para inovação, garantindo que o progresso científico não comprometa os direitos fundamentais dos cidadãos europeus e de residentes.

Critérios para definição de pesquisa científica

Para simplificar a aplicação das regras, o EDPB estabeleceu seis fatores indicativos que determinam se uma atividade de processamento se enquadra como pesquisa científica.

Essa distinção é crucial, pois a pesquisa científica goza de certas flexibilidades dentro do framework do GDPR, como a presunção de compatibilidade para processamentos secundários.

FatorDescrição
MetodologiaAbordagem metódica e sistemática no tratamento das informações.
ÉticaAdesão estrita a padrões éticos reconhecidos pela comunidade científica.
TransparênciaCapacidade de verificação e transparência nos processos de análise.
AutonomiaIndependência na condução das atividades de pesquisa.
ObjetivosFoco claro nos objetivos científicos declarados no início do projeto.
ContribuiçãoPotencial de ampliar o conhecimento existente ou aplicá-lo de forma inovadora.

Arraste para o lado para ver toda a tabela.

Caso uma atividade não atenda a esses critérios, o controlador dos dados deve justificar e demonstrar por que as atividades devem ser consideradas pesquisa científica nos termos da lei. Esta medida visa evitar o uso indevido do termo para contornar obrigações de proteção de dados.

Flexibilidade no consentimento: Broad e Dynamic Consent

As diretrizes esclarecem como pesquisadores podem lidar com o consentimento quando os fins específicos da pesquisa não são totalmente conhecidos no momento da coleta.

O conselho introduz o conceito de consentimento abrangente (broad consent), permitindo que indivíduos concordem com áreas de pesquisa futuras, desde que salvaguardas éticas e técnicas adicionais sejam aplicadas.

Outra modalidade destacada é o consentimento dinâmico (dynamic consent), onde os pesquisadores solicitam autorização para projetos específicos conforme eles surgem.

O EDPB afirma que uma combinação de ambos os modelos é possível, permitindo maior agilidade para centros de P&D e empresas de tecnologia que operam em ciclos rápidos de inovação.

Salvaguardas técnicas e anonimização

O EDPB também anunciou a criação de uma força-tarefa especial (sprint team) para acelerar as diretrizes sobre anonimização, com previsão de conclusão até meados de 2024.

O objetivo é fornecer métodos técnicos robustos para que os dados percam o caráter pessoal, reduzindo riscos de conformidade. Entre as medidas técnicas recomendadas atualmente para proteção estão:

  • Pseudonimização e criptografia de ponta a ponta.

  • Ambientes de processamento seguro (Trusted Execution Environments).

  • Tecnologias de Fortalecimento de Privacidade (PETs).

  • Supervisão ética independente e auditorias periódicas.

  • Acordos de confidencialidade rigorosos para pesquisadores.

As diretrizes também abordam as limitações de direitos como o apagamento (direito ao esquecimento) e a oposição. Em contextos de pesquisa, esses direitos podem ser restringidos se a sua aplicação tornar impossível ou prejudicar seriamente os objetivos científicos, especialmente quando o processamento for de interesse público.

Selo Europrivacy e transferências internacionais

Uma atualização significativa foi a expansão do selo de certificação Europrivacy. Agora, ele funciona como uma ferramenta oficial para transferências internacionais de dados (conforme Artigos 42 e 46 do GDPR).

Isso significa que empresas fora da Europa podem obter a certificação para demonstrar que oferecem salvaguardas adequadas ao receber dados de cidadãos europeus.

Essa mudança é estratégica para empresas brasileiras de TI e startups que operam globalmente ou processam dados da UE, facilitando o cumprimento de obrigações contratuais e reduzindo barreiras burocráticas.

A consulta pública sobre estas novas diretrizes de pesquisa permanece aberta até 25 de junho de 2024 para feedback da comunidade técnica e científica.

R

Sobre o autor

Redação

Editor-chefe

Usuário técnico criado para escrever conteúdos da redação.

Mais em Cibersegurança

Newsletter

Receba os destaques no seu e-mail

Cadastre-se e acompanhe as novidades em primeira mão.