Você acaba de acessar o site de um banco e, por opção, decide não compartilhar seus dados. Nesse caso, a anonimização é a única maneira de fazer com que as informações já coletadas pelas ferramentas de analytics sejam protegidas.
Parece muito simples — e de fato é. Contudo, o tratamento dos dados no Brasil, desde a LGPD, passou a ser uma questão jurídica. Como tal, existem nuances que precisam ser consideradas e que tornam o assunto um pouco mais delicado de se abordar.
Um deles é o da reversão da anonimização. Afinal, quem garante que dados anônimos não possam ser cruzados com outros, revelando informações de interesse comercial? E outro ponto a ser considerado é o papel da autoridade fiscalizadora no Brasil.
Nesse caso, quais são os parâmetros de segurança adotados no sentido de assegurar que os dados, uma vez anonimizados, não possam ser novamente identificáveis? Como se vê, são dúvidas que, naturalmente, induzem a uma discussão mais ampla sobre tratamento de dados.
Por isso, essas questões pedem respostas mais aprofundadas. E é justamente isso que você encontrará neste artigo. Então, prossiga na leitura e fique por dentro!
O que é anonimização de dados?
A anonimização é um método de preservação de informações privadas ou confidenciais por meio da exclusão ou codificação de identificadores que vinculam indivíduos aos dados armazenados. Sua finalidade é garantir a privacidade de uma pessoa ou empresa, preservando a credibilidade dos dados coletados e eventualmente repassados.
Sendo assim, essa é uma das técnicas que empresas podem usar para cumprir regulamentos de privacidade de dados que exigem a segurança da informação. É o caso, por exemplo, de dados de identificação pessoal como relatórios de saúde, informações de contato e detalhes financeiros.
No entanto, mesmo que os dados dos identificadores sejam apagados, hackers mal intencionados podem usar técnicas para reconstituir o procedimento de anonimização. Como os dados normalmente fluem por várias fontes — algumas das quais são abertas ao público—, há métodos de desanonimização que cruzam as fontes para expor informações pessoais.
Por isso, é essencial que as empresas também ofereçam garantias adicionais de segurança no sentido de blindar dados para impedir esse tipo de ação ilegal. Cabe ressaltar que, segundo a Lei Geral de Proteção de Dados brasileira, a LGPD, no inciso XI do art. 5º, anonimização é:
“utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Quando esse processo pode ser usado na empresa?
Conforme os limites impostos e pelas características da LGPD, a anonimização é prevista em diversos artigos como um instrumento de preservação da identidade. Nesse aspecto, a lei prevê que dado anonimizado é todo aquele:
“que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
Ele também está previsto no artigo 7º da LGPD, que aborda as hipóteses em que dados pessoais podem ser tratados por empresas e entidades. Nele, o inciso IV determina que os dados podem ser usados:
“para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, sua anonimização”.
O mesmo se aplica aos dados considerados sensíveis, como exposto na alínea c do art. 11º. Outro artigo que deve ser destacado é o 12º, segundo o qual:
“os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”.
Assim sendo, a anonimização deve ser realizada por uma empresa sempre que for imposta por lei ou por opção do usuário no momento em que seus dados forem coletados.
Por que ela é importante para a empresa?
A lei de proteção de dados brasileira tem sua aplicação garantida e fiscalizada pela Autoridade Nacional de Proteção de Dados (ANPD). Portanto, entidades e organizações que infringirem seus termos estão sujeitas a sanções, inclusive multas, que podem ser de 2% do faturamento bruto, chegando ao teto de R$ 52 milhões.
Dessa forma, respeitar os limites legais relativos à anonimização de dados garante que uma empresa esteja dentro da lei. Assim, ela não só assegura a privacidade dos usuários de seus sites e redes sociais como o enquadramento legal, evitando penalidades.
Vale frisar que a aplicação efetiva da LGPD, no Brasil, só acontecerá a partir de agosto de 2021. No entanto, sua publicação em setembro de 2020 já a torna efetiva, obrigando as empresas a ajustarem desde então os seus processos ao que ela determina.
Não menos importante, ao garantir o anonimato às pessoas que navegam em seus sites, uma empresa se posiciona ao lado do seu maior patrimônio, o cliente. Então, respeitar as regras de anonimização é não só uma questão de respeito às leis como também um assunto estratégico e de interesse comercial.
Como realizar a anonimização de dados?
Da mesma forma que a tecnologia é usada para a identificação de dados, ela também é fundamental para sua posterior anonimização. Para isso, utilizam-se métodos que substituem os dados coletados por valores não relacionados aos dados originais, sendo assim irrecuperáveis. Ou seja, dados anônimos nunca podem ser reassociados à fonte de dados original.
Esse processo é realizado por ferramentas que fazem a chamada criptografia e tokenização, tornando os dados confidenciais ou anônimos. Quando isso acontece, a empresa ainda detém as informações que os vinculam a um indivíduo, enquanto na anonimização esse vínculo é permanentemente apagado.
Quais são os limites da anonimização?
Nunca é demais relembrar que a LGPD é claramente inspirada na lei de dados europeia, a GDPR. Porém, em relação à anonimização, parece que o nosso dispositivo não é tão preciso a respeito dos limites para definir o que são dados anônimos.
Por isso, é válido resgatar a definição europeia, segundo a qual não são considerados anônimos os dados pelos quais uma pessoa possa ser identificada como indivíduo. Também ficam excluídos da categoria dados que, pelo cruzamento com outros dados, permitam que uma pessoa seja identificada. Finalmente, não são considerados anônimos todos os dados que contenham elementos que permitam a inferência de dados pessoais.
Qual é a diferença em relação à pseudonimização?
A LGPD também prevê a chamada pseudonimização, nos termos do parágrafo 4º do art. 13º. De acordo com esse artigo, tal procedimento consiste em anonimizar dados, mas com a possibilidade de reversão do processo, desde que seja controlada pelo detentor em ambiente seguro.
Você viu neste conteúdo o que significa a anonimização, seus impactos nas atividades produtivas e de que forma usá-la em respeito às leis e aos clientes. Lembre-se de que a LGPD já está em vigor e, dentro de poucos meses, as multas já começarão a ser aplicadas para quem descumpri-la.
Para garantir que sua empresa faça o melhor uso dos dados, conte com o suporte da Stefanini. Entre em contato conosco e conheça nossas soluções!