Migalhas de Peso

Anonimização como estratégia de compliance para análise de dados

Como a anonimização pode viabilizar Data Analytics mesmo após o advento da LGPD.

8/2/2024

A anonimização é um resultado praticamente obrigatório para se adequar aos quatro reguladores de comportamento, quais sejam: as normas e ética; o mercado; a arquitetura; e a lei. Essa foi uma predição de Lawrence Lessig, renomado professor da Faculdade de Direito da Universidade de Harvard, em seu livro “Code: Version 2.0” . 

De fato, atualmente, é impossível pensar em um planejamento estratégico de compliance à Lei Geral de Proteção de Dados- LGPD sem conhecer a anonimização com maior profundidade.

 A ferramenta foi instituída pela nossa legislação como um portal entre o dado pessoal e o não pessoal  e é, sem dúvidas, um acesso exclusivo para a maior liberdade na utilização dos dados. Cabe ressaltar que, após a regulamentação do tratamento de dados pessoais pela LGPD várias estratégias de negócio envolvendo Data Analytics se viram severamente ameaçadas pelos entraves legais ao tratamento. 

Princípios como finalidade, adequação e necessidade, previstos no art. 6º, I, II, III, da Lei , estabelecem que os dados devem estar vinculados aos propósitos institucionais, e restritos ao mínimo necessário para o alcance de suas finalidades. Desta forma, desde sua base principiológica, a LGPD repudia a prática de armazenamento massivo de dados para finalidades não claras, ou objetivos ainda não especificados, ainda que envolvam possíveis estratégias de negócio. 

Nesses casos, os agentes de tratamento devem optar entre desfazer-se dos dados excedentes ou adotar a anonimização. Simplesmente não há compliance na manutenção desses dados sem anonimizá-los. 

Por esse motivo, várias estratégias de negócio envolvendo Data Analytics, após a regulação do tratamento de dados pessoais, devem optar irremediavelmente entre sucumbir ou adotar a anonimização. 

Muitos advogados, gestores públicos, órgãos de pesquisa, controladores de empresas privadas etc., cientes da importância da ferramenta, têm procurado amparo na legislação e na academia para melhor aplicação desta técnica. No entanto, sua efetiva utilização esbarra em alguns entraves. 

A LGPD aponta artigos esparsos sobre o assunto, a academia possui poucas publicações sobre o tema e a Autoridade Nacional de Proteção de Dados-ANPD, que deveria regulamentar o tema , ainda não tem previsão de elucidar diretrizes para a técnica. 

Soma-se a isso o fato de que a literatura relata inúmeros incidentes decorrentes da má utilização da anonimização ou mesmo da inobservância das limitações da técnica . Mesmo com a aplicação da anonimização em bases de dados, a manutenção da dissociação entre os dados e os seus titulares exige uma série de cuidados, que envolvem a conscientização de que não há segurança perfeita na aplicação da técnica .

Apesar das lacunas e dos cuidados na utilização da ferramenta, sua aplicabilidade é plenamente possível e recomendada, observados algumas questões entre os quais gostaria de destacar três principais.

A primeira questão importante na aplicação da ferramenta é a clareza de que, justamente por ter como input “dados pessoais”, a anonimização se caracteriza como um “tratamento de dados pessoais”, devendo obediência à LGPD no decorrer do tratamento, até que os dados estejam, de fato, anonimizados. 

Por isso conceituamos a anonimização como “uma técnica de tratamento de dados pessoais, na modalidade ‘processamento de dados’, cujo objetivo é a dissociação de dados (dispostos em banco de dados, públicos ou privados, organizados ou desorganizados) dos seus respectivos titulares, considerando meios legais de razoabilidade . 

A segunda questão refere-se à natureza situacional e convencional da anonimização. Como destacamos, não há segurança perfeita na técnica. A LGPD determina que será levada em consideração elementos de reversibilidade da técnica para se constatar se o dado foi anonimizado ou não. A reversibilidade será auferida, entre outros fatores, por esforços razoáveis para reidentificação e pelas tecnologias disponíveis.

 Por esse motivo, definimos o dado anonimizado como “o dado pessoal que em um determinado momento e em um determinado contexto pode ser considerado dissociado de seu titular, deixando a sua ‘pessoalidade’ para ganhar o status de anonimizado enquanto seguir as regras legais que lhe conferem o mencionado status, considerando a razoabilidade” .

Esses elementos indicam ainda que a anonimização é uma técnica que necessita ser periodicamente revista, tendo a accountability como um de seus importantes elementos .

Por fim, uma terceira questão que merece destaque é a identificação dos limites que envolvem a técnica. A escolha pela utilização da ferramenta deve ser consciente de seus riscos, de forma a evitar que suas vulnerabilidades sejam acentuadas. O gestor só consegue realizar essas escolhas quando entende os ganhos e perdas no uso da anonimização. Para fins de tornar didático o entendimento dessas limitações realizamos uma classificação dos limites da técnica como intrínsecos, extrínsecos e externos. 

Os limites intrínsecos são aqueles que compõem a anonimização enquanto técnica, já que, sua simples aplicação é suficiente para ocasionar alguns efeitos colaterais nas bases expostas ao processamento.

Os limites extrínsecos são aqueles que estão intimamente ligados à utilização da técnica na relação dos dados anonimizados com os outros dados disponíveis. São fragilidades que se constatam na relação dos dados anonimizados com outros dados que os circundam.

Por fim, os limites externos se referem aos desafios éticos e jurídicos que envolvem a anonimização. Desde elementos como a natureza jurídica dos dados anonimizados até fatores que abrangem o uso dos dados anonimizados para fins imprevisíveis e, por vezes, socialmente indesejados.

Entre outras questões, as três apontadas revelam que existe um mundo próprio e fascinante por trás da anonimização. E que, apesar dos desafios que envolvem a ferramenta, ainda assim é possível afirmar que se trata de um mecanismo relativamente simples e de baixo custo, que viabiliza a inovação e a utilização de dados de formas que sem a anonimização seriam impossíveis.

A melhor compreensão da ferramenta, com atenção aos seus limites e buscando minimizar os riscos na sua utilização beneficia a todos. Por um lado, os titulares são resguardados, pela adoção de uma interessante técnica de Privacy by design. Por outro lado, os agentes de tratamento se equipam de uma ferramenta que viabiliza o uso dos dados com maior liberdade. E ao fim, a sociedade tem a possibilidade de debater quais são os usos éticos que se pode conferir a essas informações tão valiosas. 

_____________

1 LESSIG, L. Code: Version 2.0. New York: Basic Book, 2006. p. 1708

2 Conforme art. 12 da LGPD que define: “Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.” 

BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 29/09/2020.

3 Conforme teor: 

“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.

4 Conforme art. 12, § 3º da LGPD: “A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais”

5 São exemplos de estudos que apontaram falhas em processos de anonimização considerados robustos: SWEENEY, Latanya. Simple demographics often identify people uniquely. In: Data Privacy

Working Paper. Carnegie Mellon University, Pittsburgh, v. 3. 2000.

NARAYANAN, Arvind; SHMATIKOV, Vitaly. Robust De-anonymization of Large Sparse Datasets.

In: Proceedings of the 2008 IEEE Symposium on Security and Privacy. Washington: IEEE

Computer Society, 2008.

6 CARVALHO, Fernanda Potiguara. Desafios da anonimização: um framework dos requisitos e boas práticas para compliance à LGPD. São Paulo: Thomson Reuters Brasil, 2022, p. 76-78.

7 CARVALHO, Fernanda Potiguara. Desafios da anonimização: um framework dos requisitos e boas práticas para compliance à LGPD. São Paulo: Thomson Reuters Brasil, 2022, p. 64.

8 CARVALHO, op. cit., 2022, p. 63-64.

9 Conforme relatado na figura 19 da obra “Desafios da anonimização”: CARVALHO, op. cit., 2022, p. 155-157.

10 Conforme relatado no capítulo 3: “Riscos inerentes à anonimização- Levantamento dos limites” da obra “Desafios da anonimização”: CARVALHO, op. cit., 2022, p. 75-129.

Fernanda Potiguara Carvalho
Autora do livro "Desafios da Anonimização: Um framework dos requisitos e boas práticas para compliance à LGPD". Mestre (UnB), Assistente na Assessoria de Conformidade e Integridade Digital no STJ.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Regulação do uso de IA no Judiciário: O que vem pela frente?

10/12/2024

Devido processo legal na execução trabalhista: Possíveis desdobramentos do Tema 1232 da repercussão geral do STF

9/12/2024

O que os advogados podem ganhar ao antecipar o valor de condenação do cliente?

10/12/2024

Insegurança jurídica pela relativização da coisa julgada

10/12/2024

A face oculta do imposto do pecado

10/12/2024