Nos termos do artigo 12 da Lei de Proteção de Dados Pessoais (LGPD), os dados anonimizados estão excluídos do escopo de aplicação da lei. E não poderia ser diferente, uma vez que os dados que não identificam de forma direta ou indireta o seu titular (ou seja, anonimizados), não podem causar-lhe danos e, portanto, não requerem a proteção da lei.
A anonimização é um dos procedimentos recomendados pela LGPD para assegurar proteção aos dados pessoais, devendo ser utilizada sempre que possível, como no caso de estudos em saúde pública e por órgãos de pesquisa. É, também, um dos direitos assegurados ao titular, ao identificar que seus dados estão sendo utilizados de forma desnecessária, excessiva ou em desconformidade com a lei.
Todavia, existe uma discussão acerca da efetividade da anonimização de dados, pois em alguns casos seria tecnicamente possível reverter o processo e reidentificar o titular dos dados, ainda que sem total certeza acerca da sua identidade. Por esse motivo, a LGPD estabelece que essa reversão deve se dar a partir do uso exclusivo de meios próprios ou de esforços razoáveis, considerando fatores objetivos, tais como o custo e o tempo necessários para a reversão desse processo, bem como a tecnologia disponível na ocasião da reversão.
Nesse sentido, para garantir o cumprimento da lei e mitigar o risco de vazamento, é recomendável que as empresas busquem padrões e técnicas de anonimização que garantam a irreversibilidade do processo ou pelo menos estabeleçam um maior grau de dificuldade, a ponto de não incentivar a sua reversão, dado o elevado custo e tempo para atingir esse objetivo ou o controle de terceiros acerca das regras aplicáveis a esse processo.
O parágrafo terceiro do artigo 12 ainda estabelece que a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro pela Medida Provisória nº 869/2018, poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações de segurança. Porém, considerando que a própria LGPD foi inspirada no GDPR, cuja legislação de proteção de dados é a vigente na União Europeia, é provável que sejam adotados critérios muito próximos aos do Parecer 05/2014 sobre técnicas de anonimização, de 10 de abril de 2014, do Grupo de Trabalho de Proteção de Dados do Artigo 29[1].
O referido parecer considera, cumulativamente, 3 critérios na análise das técnicas de anonimização:
- se ainda é possível identificar uma pessoa;
- se ainda é possível estabelecer a ligação entre registros relativos a uma pessoa natural; e
- se podem ser inferidas informações relativamente a um indivíduo.
Nos termos do parecer, nenhuma das técnicas analisadas atende adequadamente aos critérios de anonimização eficaz (isto é, a não identificação de uma pessoa, a impossibilidade de ligação entre os registros referentes a um indivíduo e a não inferência a respeito de um indivíduo), sendo recomendável a análise meticulosa do procedimento mais adequado a cada situação específica ou a adoção de técnicas combinadas.
Portanto, a despeito das diversas questões que deverão ser melhor esclarecidas pela ANPD, as empresas precisarão investir em tecnologias que atinjam o mais alto grau de anonimização, dificultando o investimento em custo e tempo para sua reversão.
A LGPD entrará em vigor em agosto de 2020 e, até lá, as empresas enfrentarão muitos desafios para garantir que todos os seus processos estejam adequados às disposições da lei.
A segurança e a ética no tratamento de dados pessoais sempre foram temas recorrentes na Serasa Experian e duas das nossas prioridades há 50 anos. Por isso estamos envolvidos na maioria das discussões sobre o assunto, desenvolvendo, inclusive soluções que ajudam as empresas nessa transição, apoiando nas adaptações implantações técnicas necessárias para a adequação à Lei.
__________________________________________________
[1] Grupo de Trabalho de Proteção de Dados do Artigo 29. Parecer 05/2014 sobre técnicas de anonimização. Disponível em https://www.gpdp.gov.mo/uploadfile/2016/0831/20160831042518381.pdf. Acesso em 07.02.2019.