MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. O uso dos processos de anonimização e pseudonimização no contexto da LGPD

O uso dos processos de anonimização e pseudonimização no contexto da LGPD

Podemos definir que dados anonimizados são aqueles em que não há possibilidade de reversão da anonimização, a qual deve ser feita de forma que não seja possível identificar o titular dos dados; assim, portanto, não são considerados dados pessoais e não teriam incidência da LGPD.

quinta-feira, 1 de abril de 2021

Atualizado às 17:38

A LGPD define em seu art. 5º, inciso III, que dado anonimizado é aquele "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Define, ainda, no inciso XI, que anonimização é a "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". A palavra anonimização e suas variantes (anonimizar, anonimizado etc.) aparece outras doze vezes na LGPD: no art. 7º, inciso IV, definindo uma hipótese de tratamento de dados pessoais para fins de realização de estudo por órgão de pesquisa, "garantida, sempre que possível, a anonimização dos dados pessoais"; no art. 11, que trata de dados pessoais sensíveis; no art. 12, que trata especificamente de dados anonimizados, são 4 ocorrências; no art. 13, que trata da realização de estudos em saúde pública; no art. 16, sobre a eliminação dos dados após o tratamento, inciso II, que autoriza a conservação dos dados após o seu tratamento, para fins de estudo por órgão de pesquisa, com anonimização sempre que possível, e no inciso IV, para uso exclusivo do controlador, desde que anonimizados; no art. 18, inciso IV, que garante como direito do titular a possibilidade de saber sobre "anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade" com o disposto na LGPD e também nos parágrafos 6º e 7º.

Mas o que seriam dados anonimizados? Qual a diferença entre dados anonimizados e dados pseudonimizados? Quais seriam os meios técnicos razoáveis e disponíveis para o processo de anonimização?

O art. 12 define que os dados anonimizados não são considerados dados pessoais, salvo quando o processo de anonimização for reversível, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. O parágrafo 1º desse artigo tenta clarificar a definição de esforços razoáveis, colocando como parâmetros o custo e o tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e utilização exclusiva de meios próprios. Já o parágrafo 3º estabelece que a ANPD poderá dispor sobre os padrões e técnicas de anonimização e realizar verificações sobre sua segurança, ouvido o Conselho Nacional de Proteção de Dados. Essa é mais uma regulamentação que a ANPD deverá definir, a exemplo dos padrões técnicos mínimos de segurança1 para proteger os dados pessoais.

A definição para dados pseudonimizados está no art. 13, parágrafo 4º. A pseudonimização é o "tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Ou seja, o dado pseudonimizado tem um processo de reversão viável por meio de uso de informação adicional que o controlador mantém em ambiente separado, com controles de segurança.

Os conceitos sobre dados anonimizados e dados pseudonimizados devem estar bem cristalinos para os controladores. Esses conceitos, como poderíamos imaginar, também existem na GDPR, inspiração para a LGPD. Na Europa, A Taxa 4x35, uma empresa dinamarquesa de agendamento de serviço de táxi, como a 99 no Brasil, foi multada em 160 mil Euros por manter dados dos titulares por tempo maior que o necessário para a finalidade do tratamento2. A empresa dinamarquesa manteve dados de quase 9 milhões de viagens de táxi por cinco anos, tempo superior ao necessário, segundo a GDPR. Contudo, a empresa acreditava que estava isenta dessa obrigação porque estava anonimizando os dados, excluindo os nomes dos usuários. A autoridade de proteção de dados considerou que essa anonimização não era suficiente, uma vez que ainda restaram no banco de dados informações suficientes para identificar o titular, como o número do telefone. Ou seja, a empresa falhou ao tentar anonimizar os dados, pois ainda era possível identificar o titular de forma indireta e por não levar em consideração o custo e tempo necessários para isso, considerando a tecnologia disponível.

De uma maneira simplista, podemos definir que dados anonimizados são aqueles em que não há possibilidade de reversão da anonimização, a qual deve ser feita de forma que não seja possível identificar o titular dos dados; assim, portanto, não são considerados dados pessoais e não teriam incidência da LGPD. Como ainda não temos quais são os padrões e técnicas mínimas para uma anonimização eficaz, podemos usar o Parecer 5/14 do Grupo de Trabalho de Proteção de Dados do Artigo 293, que dispõe sobre técnicas de anonimização para a GDPR. Segundo esse parecer, a análise das técnicas de anonimização deve atender a três requisitos: (I) não ser possível a identificação de uma pessoa; (II) não ser possível estabelecer ligação entre registros relativos a uma pessoa natural; e (III) não se pode ser inferidas informações relativas a um indivíduo. Simplificando, a anonimização deve ser irreversível e ser um procedimento que torne impossível (ou extremamente impraticável) a identificação do titular dos dados. A segunda regra pode não ser tão simples assim, pois estudos realizados pela Universidade de Harvard e Louvain na Bélgica, bem como pelo Massachusetts Institute of Technology (MIT) provaram que as pessoas podem ser identificas e até rastreadas a partir de bancos de dados que contenham informações consideradas anonimizadas4.

Por sua vez, dados pseudonimizados seriam aqueles que possuem a possibilidade de reversão do seu processo de anonimização, ou seja, seria uma técnica de mascaramento dos dados, que pode ter suas informações recuperadas a qualquer momento pelo operador. Seriam, portanto, dados pessoais sob proteção da LGPD.

Ambos os processos podem ser classificados como técnicas de mascaramento de dados, que trazem algumas vantagens para o controlador. Um dos benefícios é que o mascaramento pode ser considerado uma medida técnica de segurança, fornecendo uma proteção adicional aos dados pessoais. E se for aplicada da anonimização, em caso de vazamento de dados, como os dados anonimizados não são considerados dados pessoais, o operador ficaria desobrigado de comunicar o fato à ANPD e aos titulares.

Embora anonimização e pseudonimização sejam técnicas de mascaramento de dados, há situações em que seria mais adequada a utilização de uma em relação a outra5. A anonimização seria mais adequada caso o controlador não precise mais fazer o tratamento de dados pessoais, mas tenha interesse em fazer análises nas atividades dos titulares, de forma genérica, sem trabalhar com qualquer dado que possa identificar o titular. Ou seja, se o controlador deveria eliminar os dados dos titulares mas por alguma razão tem interesse em manter alguns dados, a anonimização seria a opção. Por outro lado, a pseudonimização seria útil como forma de aumentar a segurança dos dados durante o seu tratamento pelo controlador, mascarando dados de identificação para operadores que não precisam desses detalhes. Outra aplicação da pseudonimização seria para manter a proteção dos dados durante o desenvolvimento de novas soluções, em atendimento ao processo de privacidade desde a concepção (Privacy by Design).

Diante do exposto, vê-se que o mascaramento de dados usando anonimização ou pseudonimização pode ser um grande aliado das organizações na proteção de dados pessoais, mas a diferença e aplicação de cada técnica deve estar clara para os controladores, uma vez que os dados pseudonimizados ainda são dados pessoais protegidos pela LGPD. O importante é ter em mente o objetivo maior da LGPD: a preservação da privacidade e do direito à autodeterminação e livre desenvolvimento da personalidade dos titulares dos dados.

Fabio Correa Xavier

Fabio Correa Xavier

Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo. Mestre em Ciência da Computação (USP). MBA em Gestão Estratégica de Negócios (IBMEC). Pós-graduado em Gestão Pública e Responsabilidade Fiscal e em Projetos de Redes.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca