Anonimização de Dados na LGPD

Entendendo os conceitos e diferenças de tratamento

Por Rodrigo Russo / Direito Digital, LGPD / 1 junho, 2021

A vigência da Lei Geral de Proteção de Dados (LGPD) impôs ao cotidiano de empresários e juristas diversos conceitos próprios – vinculados não apenas ao universo do direito e de negócios, mas também da tecnologia, informática, criptografia e etc. – que precisam ser compreendidos para garantir o estado de conformidade às normas impostas pela legislação.

Dentre estes conceitos específicos utilizados pela legislação, a anonimização e pseudonimização de dados têm fomentado debates não apenas relacionados às suas definições, mas também pelas questões práticas que envolvem ambas as técnicas.

Com efeito, a implementação correta de cada um desses conceitos pode agregar uma importante camada de segurança sobre os dados armazenados por uma determinada pessoa e, inclusive, modificar a forma como os dados são tratados por qualquer agente.

Assim, é evidente a utilidade e importância de se compreender em que consistem tais técnicas, quais as suas diferenças, formas de implementação e impactos gerados sobre as atividades de tratamento de dados sob a ótica da LGPD, especialmente visando à adequação à legislação, conforme esmiuçado adiante.

Esclarecendo os conceitos iniciais: Dado Pessoal x Dado Anonimizado

Antes de aprofundar na definição de anonimização, pseudonimização e sua relação com os dados, é preciso retomar um conceito ainda mais fundamental trazido pela LGPD: o de Dados Pessoais.

Conforme já tratado anteriormente nesta série de artigos sobre a LGPD, dados pessoais é um termo que se refere a todo o tipo de informações – identificadas ou identificáveis – relacionadas a pessoas naturais. Isto é, são informações que, por meio de sua análise individual (informação identificada) ou conjunta/sistemática (informações identificáveis), se vinculam objetivamente à alguma pessoa específica, individualizando-a e destacando-a das demais.

Assim, informações como o nome completo, CPF, RG, data e local de nascimento, endereço físico ou eletrônico de uma determinada pessoa são consideradas dados pessoais para os fins da LGPD, na medida em que revelam os aspectos próprios de seu titular e o distinguem dos demais.

Por outro lado, um dado anonimizado pode ser tido como o oposto de dado pessoal. Isto porque o dado anonimizado se caracteriza justamente por ser aquele que, embora originalmente se vinculasse a um indivíduo específico, passou por um processo de desvinculação, de modo que não é mais capaz de identificar ou se relacionar direta e objetivamente com seu titular.

Em termos mais diretos, o dado anonimizado é aquele dado que não identifica ou revela a identidade de seu titular.

Nos termos da LGPD, trata-se do “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” [1].

Observa-se, então, que, para que um dado pessoal se transforme em um dado anonimizado, é necessário algum tipo de procedimento que realize tal conversão. É nesse contexto que a anonimização precisa ser compreendida.

Definição de “anonimização”

Conforme disposto pela própria LGPD, anonimização é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo” [2]. Trata-se de um mecanismo por meio do qual se busca dissociar, em caráter permanente, um dado de seu titular, de forma irreversível.

Assim sendo, percebe-se que um dado só seria considerado verdadeiramente anonimizado caso não fosse possível, dentro de parâmetros técnicos e financeiros razoáveis, “desfazer” o processo de anonimização, ou seja, reconstruir o caminho utilizado no processo de anonimização para revelar ou descobrir o verdadeiro titular do dado antes tido como anonimizado.
Por isso, então, o caráter “permanente” e a “irreversibilidade” são tão importantes dentro deste conceito: caso seja possível, por meios razoáveis, identificar o titular, o dado perde sua característica de anonimizado.

Note-se, então, que, nos termos da LGPD, a mera possibilidade de reversão do processo de anonimização não é suficiente para deslegitimar tal processo. Realmente, considerando os contínuos avanços tecnológicos e o acesso pleno, pela internet, a diversas informações, que possibilitam a reversão de qualquer processo de anonimização (ainda que uma chance remota), a lei estabeleceu um espectro de tolerância baseado nos “meios técnicos razoáveis e disponíveis no momento do tratamento”.

Desse modo, se o processo de anonimização somente for reversível por meio da utilização de tecnologias ou técnicas de ponta, de difícil acesso, ou exigir meios demasiadamente custosos ou demorados, que ultrapassem a noção de razoável, para sua reversão, o dado permanece sendo considerado anonimizado para os fins da lei.

Sob outro aspecto, se tal reversão puder ser feita com considerável facilidade, sem o dispêndio de muito esforço, tempo ou recursos extraordinários (ainda que tal facilidade advenha da capacidade específica do controlador ou de terceiro que eventualmente venha a compartilhar do acesso a esses dados anonimizados), o dado não será considerado anonimizado. Por essa razão, a anonimização de um banco de dados deve considerar, também, os elementos técnicos e contextuais, para garantir a anonimização efetiva dos dados, a segurança dos titulares e a regularidade da atividade pretendida.

Mostra-se importante, nesta toada, manter os métodos de anonimização sempre atualizados e em constantes testes, a fim de garantir que permanecem sólidos e seguros, por toda a extensão do ciclo de tratamento dos dados, diante dos meios técnicos de reversão à disposição, sob o risco de que os dados voltem a ser considerados como dados pessoais e voltem a estar sujeitos às normas da LGPD.

Definição de “pseudonimização”

Em contraposição à rigidez que caracteriza o processo de anonimização, temos o procedimento de pseudonimização, considerado mais flexível porquanto não busca impossibilitar a identificação do titular, mas sim limitar os meios que possam ser utilizados para isso.

Explica-se: enquanto a anonimização é um processo de desvinculação/dissociação do dado com seu titular, a pseudonimização é um mecanismo de “disfarce” ou “ocultação” do titular de um dado. Trata-se de processo por meio do qual os dados não podem mais ser atribuídos ao seu titular sem que se recorra à outras informações ou chaves correlatas, em posse do próprio controlador dos dados.

Assim, o controlador do dado “mascara” seu banco de dados por meio de um método que possa ser revertido apenas se utilizando informações suplementares, mantidas separadamente, em seu próprio controle.

Evidentemente, tais informações suplementares precisam ser mantidas separadamente dos próprios dados que buscam “decodificar” e estarem sujeitas a medidas técnicas e organizacionais para assegurar que a vinculação do dado com seu titular somente possa ser feita pelo próprio controlador ou por quem possua permissão para tanto.

Também, é interessante que seja feito um controle rígido de acesso a tais informações, reduzindo o número de agentes que detenham meios de reidentificação dos dados pseudonimizados.

Em suma, a principal diferença entre os processos de anonimização e pseudonimização é que enquanto a anonimização pretende garantir a irreversibilidade do processo de dissociação de um dado pessoal de seu titular, a pseudonimização permite a reversão desse processo através de técnica ou informação suplementar em posse do próprio controlador, conferindo um maior grau de segurança aos dados pseudonimizados.

Diferenças de tratamento entre dados anonimizados e pseudonimizados

Analisando-se os conceitos apresentados, é possível que surja o seguinte questionamento: qual o propósito de se implementar tais processos sobre um determinado banco de dados? Ou, ainda, qual seria mais vantajoso?

Inicialmente, cumpre mencionar que estabelecer um processo de anonimização eficaz é uma forma de antecipar demandas e garantir os direitos dos titulares, que podem exigir, a qualquer tempo, a anonimização de seus dados quando entenderem que são desnecessários, excessivos ou tratados em desconformidade com os parâmetros legais – nos termos do art. 18, IV, da LGPD [3]. Apenas por isso, tal processo deveria fazer parte da previsão de qualquer projeto de adequação e conformidade à LGPD.

Entretanto, a grande característica própria dos dados anonimizados se encontra disposta no artigo 12 da LGPD, que dispõe o seguinte: “Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”.

É dizer que, feito o procedimento de anonimização sobre um dado pessoal (ou conjunto de dados), este perderia seu caráter “pessoal” e, consequentemente, as normas e obrigações impostas pela LGPD não se aplicariam ao seu tratamento.

Nesse sentido, ainda que antes um dado fosse considerado sensível ou exigisse o consentimento do titular para seu armazenamento e tratamento, o controlador dos dados ainda poderia, após o processo de anonimização, se utilizar dessas informações anonimizadas para finalidades diversas que entendesse pertinentes, sem estar sujeito aos ditames legais como medidas de segurança de armazenamento, coleta de consentimento, prazos de eliminação [4], empreendimento para finalidades específicas ou demais cuidados impostos pela LGPD para incrementar a proteção dos dados pessoais.

Este benefício, contudo, se reserva somente aos dados anonimizados, não se estendendo aos dados pseudonimizados. Tem-se, portanto, a grande diferença entre as técnicas: ainda que a pseudonimização incremente a proteção sobre um determinado dado, o tratamento dos dados pseudonimizados deve continuar sendo executado de acordo com os ditames da LGPD, ao contrário do que ocorre com os dados anonimizados, que, por terem passado por um processo mais severo e seguro, não estão adstritos às normas da LGPD.

Isso não significa, contudo, que a pseudonimização não possui qualquer benefício: sob a ótica da segurança da informação e proteção de dados, a pseudonimização funciona como uma forma de reduzir os riscos aos titulares ao prevenir eventuais danos causados por incidentes de vazamento.

Afinal, se houver o vazamento dos dados pseudonimizados sem as informações suplementares necessárias para sua decodificação, as identidades dos titulares permanecerão resguardadas. A implementação desta medida pode, nestes casos, reduzir drasticamente ou até afastar por completo a responsabilidade dos controladores do bando de dados.

Em breve resumo, então, é possível dizer que:

De um lado, a anonimização é um processo mais delicado, que exige uma constante manutenção do estado de anonimato, além da possível eliminação de diversas informações, antes plenamente acessíveis pelo controlador, para garantir a anonimização efetiva, mas que recebe uma maior liberdade de tratamento. Em outras palavras, os controladores de dados anonimizados possuem mais liberdade na utilização de informações possivelmente mais escassas e genéricas à sua disposição.
De outro lado, a pseudonimização é um processo mais simples, que mantém todas as informações à disposição do controlador às custas de oferecer um menor nível de segurança – quando comparado à anonimização –, razão pela qual permanece adstrito às normas, cuidados e obrigações da LGPD. Desse modo, os controladores de dados pseudonimizados possuem uma menor autonomia para utilizar as informações mais completas e precisas das quais estão em posse, devendo tomar mais cuidados e atender às disposições da LGPD.

Ressalta-se, contudo, que a liberdade obtida por meio do processo de anonimização não deve ser encarada como uma forma de evadir os deveres de transparência, segurança e respeito à privacidade dos titulares. Pelo contrário, trata-se de medida muito útil para potencializar a segurança dos titulares e destinar o uso dos dados para novas finalidades, usufruindo do valor da informação sem, para tanto, agregar novos riscos aos próprios titulares.

Pelo exposto, resta evidente que cada procedimento possui suas especificidades, que devem ser avaliadas de acordo com cada atividade de tratamento pretendida a fim de que se decida quando podem ser implementados e qual deles seria mais adequado e viável para o tratamento a ser realizado.

[1] Art. 5º, inciso III, da LGPD.

[2] Art. 5º, inciso XI, da LGPD.

[3] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei.

[4] Sobre o tema, o art. 16 da LGPD dispõe, como regra, que os dados pessoais devem ser eliminados após o término de seu tratamento ou atingimento de suas finalidades; todavia, a anonimização dos dados seria uma exceção à esta regra, permitindo a conservação dos dados anonimizados desde que fossem utilizados exclusivamente pelo próprio controlador, vedando-se o acesso por terceiros.

COMPARTILHE NAS REDES SOCIAIS