O uso dos processos de anonimização e pseudonimização no contexto da LGPD
Podemos definir que dados anonimizados são aqueles em que não há possibilidade de reversão da anonimização, a qual deve ser feita de forma que não seja possível identificar o titular dos dados; assim, portanto, não são considerados dados pessoais e não teriam incidência da LGPD.
quinta-feira, 1 de abril de 2021
Atualizado às 17:38
A LGPD define em seu art. 5º, inciso III, que dado anonimizado é aquele "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Define, ainda, no inciso XI, que anonimização é a "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". A palavra anonimização e suas variantes (anonimizar, anonimizado etc.) aparece outras doze vezes na LGPD: no art. 7º, inciso IV, definindo uma hipótese de tratamento de dados pessoais para fins de realização de estudo por órgão de pesquisa, "garantida, sempre que possível, a anonimização dos dados pessoais"; no art. 11, que trata de dados pessoais sensíveis; no art. 12, que trata especificamente de dados anonimizados, são 4 ocorrências; no art. 13, que trata da realização de estudos em saúde pública; no art. 16, sobre a eliminação dos dados após o tratamento, inciso II, que autoriza a conservação dos dados após o seu tratamento, para fins de estudo por órgão de pesquisa, com anonimização sempre que possível, e no inciso IV, para uso exclusivo do controlador, desde que anonimizados; no art. 18, inciso IV, que garante como direito do titular a possibilidade de saber sobre "anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade" com o disposto na LGPD e também nos parágrafos 6º e 7º.
Mas o que seriam dados anonimizados? Qual a diferença entre dados anonimizados e dados pseudonimizados? Quais seriam os meios técnicos razoáveis e disponíveis para o processo de anonimização?
O art. 12 define que os dados anonimizados não são considerados dados pessoais, salvo quando o processo de anonimização for reversível, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. O parágrafo 1º desse artigo tenta clarificar a definição de esforços razoáveis, colocando como parâmetros o custo e o tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e utilização exclusiva de meios próprios. Já o parágrafo 3º estabelece que a ANPD poderá dispor sobre os padrões e técnicas de anonimização e realizar verificações sobre sua segurança, ouvido o Conselho Nacional de Proteção de Dados. Essa é mais uma regulamentação que a ANPD deverá definir, a exemplo dos padrões técnicos mínimos de segurança1 para proteger os dados pessoais.
A definição para dados pseudonimizados está no art. 13, parágrafo 4º. A pseudonimização é o "tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Ou seja, o dado pseudonimizado tem um processo de reversão viável por meio de uso de informação adicional que o controlador mantém em ambiente separado, com controles de segurança.
Os conceitos sobre dados anonimizados e dados pseudonimizados devem estar bem cristalinos para os controladores. Esses conceitos, como poderíamos imaginar, também existem na GDPR, inspiração para a LGPD. Na Europa, A Taxa 4x35, uma empresa dinamarquesa de agendamento de serviço de táxi, como a 99 no Brasil, foi multada em 160 mil Euros por manter dados dos titulares por tempo maior que o necessário para a finalidade do tratamento2. A empresa dinamarquesa manteve dados de quase 9 milhões de viagens de táxi por cinco anos, tempo superior ao necessário, segundo a GDPR. Contudo, a empresa acreditava que estava isenta dessa obrigação porque estava anonimizando os dados, excluindo os nomes dos usuários. A autoridade de proteção de dados considerou que essa anonimização não era suficiente, uma vez que ainda restaram no banco de dados informações suficientes para identificar o titular, como o número do telefone. Ou seja, a empresa falhou ao tentar anonimizar os dados, pois ainda era possível identificar o titular de forma indireta e por não levar em consideração o custo e tempo necessários para isso, considerando a tecnologia disponível.
De uma maneira simplista, podemos definir que dados anonimizados são aqueles em que não há possibilidade de reversão da anonimização, a qual deve ser feita de forma que não seja possível identificar o titular dos dados; assim, portanto, não são considerados dados pessoais e não teriam incidência da LGPD. Como ainda não temos quais são os padrões e técnicas mínimas para uma anonimização eficaz, podemos usar o Parecer 5/14 do Grupo de Trabalho de Proteção de Dados do Artigo 293, que dispõe sobre técnicas de anonimização para a GDPR. Segundo esse parecer, a análise das técnicas de anonimização deve atender a três requisitos: (I) não ser possível a identificação de uma pessoa; (II) não ser possível estabelecer ligação entre registros relativos a uma pessoa natural; e (III) não se pode ser inferidas informações relativas a um indivíduo. Simplificando, a anonimização deve ser irreversível e ser um procedimento que torne impossível (ou extremamente impraticável) a identificação do titular dos dados. A segunda regra pode não ser tão simples assim, pois estudos realizados pela Universidade de Harvard e Louvain na Bélgica, bem como pelo Massachusetts Institute of Technology (MIT) provaram que as pessoas podem ser identificas e até rastreadas a partir de bancos de dados que contenham informações consideradas anonimizadas4.
Por sua vez, dados pseudonimizados seriam aqueles que possuem a possibilidade de reversão do seu processo de anonimização, ou seja, seria uma técnica de mascaramento dos dados, que pode ter suas informações recuperadas a qualquer momento pelo operador. Seriam, portanto, dados pessoais sob proteção da LGPD.
Ambos os processos podem ser classificados como técnicas de mascaramento de dados, que trazem algumas vantagens para o controlador. Um dos benefícios é que o mascaramento pode ser considerado uma medida técnica de segurança, fornecendo uma proteção adicional aos dados pessoais. E se for aplicada da anonimização, em caso de vazamento de dados, como os dados anonimizados não são considerados dados pessoais, o operador ficaria desobrigado de comunicar o fato à ANPD e aos titulares.
Embora anonimização e pseudonimização sejam técnicas de mascaramento de dados, há situações em que seria mais adequada a utilização de uma em relação a outra5. A anonimização seria mais adequada caso o controlador não precise mais fazer o tratamento de dados pessoais, mas tenha interesse em fazer análises nas atividades dos titulares, de forma genérica, sem trabalhar com qualquer dado que possa identificar o titular. Ou seja, se o controlador deveria eliminar os dados dos titulares mas por alguma razão tem interesse em manter alguns dados, a anonimização seria a opção. Por outro lado, a pseudonimização seria útil como forma de aumentar a segurança dos dados durante o seu tratamento pelo controlador, mascarando dados de identificação para operadores que não precisam desses detalhes. Outra aplicação da pseudonimização seria para manter a proteção dos dados durante o desenvolvimento de novas soluções, em atendimento ao processo de privacidade desde a concepção (Privacy by Design).
Diante do exposto, vê-se que o mascaramento de dados usando anonimização ou pseudonimização pode ser um grande aliado das organizações na proteção de dados pessoais, mas a diferença e aplicação de cada técnica deve estar clara para os controladores, uma vez que os dados pseudonimizados ainda são dados pessoais protegidos pela LGPD. O importante é ter em mente o objetivo maior da LGPD: a preservação da privacidade e do direito à autodeterminação e livre desenvolvimento da personalidade dos titulares dos dados.