• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Anonimização e pseudonimização são o suficiente?

Moisés Simões, gestor de projetos de TI, acredita que uma empresa precisa entender bem o que são os procedimentos acima para não cair em armadilhas na hora de se adequar à LGPD

Imagem com partes de rostos de mulheres diferentes, formando um rosto, com num quebra-cabeça

 

27/11/2019

Nos dias de hoje, não passamos um segundo sequer sem que alguma empresa, em algum lugar, esteja armazenando e produzindo uma quantidade infinita de dados a nosso respeito. São informações as mais diversas, que a qualquer momento podem ser compartilhadas e processadas, de maneira crescente, a partir de variados repositórios digitais, para formar bases de dados disponíveis para uso, integradas a diversos ambientes operacionais. Informação sempre foi uma moeda de valor. Se pensarmos então em informação coletada, produzida, tratada, armazenada, organizada e gerenciada pelas empresas, seu valor estratégico aumenta ainda mais, com o agravante de que essa variedade massiva de dados coloca nas mãos das empresas um grande poder.

Na esteira desta constatação, o direito à privacidade se configurou ao longo do tempo em um dos maiores bens que uma pessoa pode usufruir em uma democracia, e já tem um tempo que essa ideia de privacidade vem ganhando força, a despeito da falta de uma legislação que a protegesse com assertividade e normas claras.

"Muitas empresas estão seguras de que a anonimização e a pseudonimização serão suficientes para se prepararem para cumprir o que a lei determina. Mas a coisa não é tão simples quanto parece"

Este cenário, no Brasil, mudou drasticamente de um ano para cá, com a lei nº 13.709/2018, que baseia-se no regulamento da União Europeia, e aumenta a responsabilidade das empresas, no intuito de evitar abusos e uso de informações pessoais para fins não autorizados.

A Lei Geral de Proteção de Dados Pessoais foi publicada depois de longa tramitação no Congresso Nacional. Seu texto altera a legislação anterior (lei nº 12.965, o Marco Civil da Internet), regulamentando com uma normatividade mais assertiva a disposição sobre a proteção e o direito à confidencialidade dos dados pessoais.

Logo no início, em seu artigo 2º, a LGPD disciplina a proteção de dados, tendo como fundamentos, entre outros: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; os direitos humanos e o livre desenvolvimento da personalidade. Não bastasse isso, nos termos do seu artigo 5º, a lei considera tratamento de dados toda e qualquer operação realizada a partir de informações de terceiros, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

Em outras palavras: todo o espaço de manobra e de atuação das empresas, em especial, as do ramo de tecnologia da informação, está contemplado pela nova lei, cujo impacto sobre suas regras de negócio será enorme, uma vez que qualquer utilização indevida de dados, ou mesmo falhas de segurança que favoreçam essa utilização, deverá acarretar sanções tanto administrativas quanto judiciais - com multas previstas que podem atingir o limite dos R$ 50 milhões, por infração, e indenizações por danos morais e materiais, em favor de pessoas que tenham seus dados empregados de forma indevida pelas empresas.

Diante deste cenário, em que a regulamentação da LGPD estabelece com clareza as normas de coleta e tratamento de informações - definindo também quais são os direitos dos titulares e a responsabilidade de quem processa e armazena os dados-, as estruturas de dados é amplificada, uma vez que as formas de fiscalização, e eventuais reparos em caso de arbitrariedades durante esta prática, estão bem descritas, para conhecimento de todos.

Neste sentido, o período de discussão sobre a LGPD já passou. Com sua aprovação, resta às empresas se prepararem para atendê-la, minimizando seus impactos e encontrando formas de proteger com mais eficiência os dados sigilosos de que dispõem, investindo tanto em segurança quanto na mudança da cultura corporativa.

85% das empresas não estão prontas

O problema é que a LGPD entra em vigor em agosto de 2020. Nessa corrida contra o tempo em busca de adequação, pesquisa recente da Serasa Experian revela que 85% das empresas ainda não estão prontas para cumprir a lei. E tem mais: como o artigo 12 da LGPD não considera dados anonimizados como dados pessoais, e o artigo 13 define todas as possibilidades da pseudonimização de dados, muitas empresas estão seguras de que a anonimização e a pseudonimização serão suficientes para se prepararem para cumprir o que a lei determina. Mas a coisa não é tão simples quanto parece.

O que diz a lei

No artigo 5º da LGPD, já consta uma definição, declarando que “dado anonimizado” é qualquer “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Prosseguindo na leitura, no mesmo artigo, há a definição de que o processo que transforma um dado em um dado anonimizado, a anonimização, é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Quanto à pseudonimização, o artigo 13º considera para efeito da lei que “a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.

Ocorre que, ao definir os conceitos de dados anonimizados (inclusive, não entendendo estes dados como pessoais) e de pseudonimização, a LGPD, na verdade, não entende tais dados como exceções da lei, mas como informações que, no primeiro caso, por não poderem mais ser associadas direta ou indiretamente a uma pessoa e, no segundo caso, por reservarem, em um repositório à parte, as relações adicionais que fariam essa conexão, podem ser manejadas com mais liberdade desde que mantenham a privacidade dos titulares da informação, tornando mais seguras as operações de tratamento definidas em seu artigo 3º.

Problemas nas garantias

É aqui que mora o perigo, afinal de contas, o fato dos repositórios operarem com dados anonimizados, ou com aqueles que passaram por processos de pseudonimização, não é garantia nenhuma para a aplicação da LGPD. Hoje em dia, com o volume, dinamismo, complexidade e velocidade de Big Datas cada vez mais expandidos em progressão crescente, basta uma ferramenta analítica mais sofisticada e de alto desempenho para pescar e interpretar qualquer tipo de dado, criando correlações a partir das quais é possível identificar pessoas com uma precisão cada vez mais eficiente.

Se a base da garantia da anonimização e da pseudonimização é, grosso modo, a ausência de identificadores dos titulares da informação, existem dados que, mesmo não apontando para alguém em particular, podem passar a apontar, quando utilizadas técnicas de conjunto e dados complementares.

Em outras palavras: bases de dados anonimizados ou que passaram por um processo de pseudonimização não são imunes a consultas com cruzamento de informações e identificação de padrões, ou que adotam engenharias sociais distintas e informações externas.

A saída é diversificar

Isso significa que não devemos anonimizar nem pseudonimizar nossos dados? Claro que não. Significa dizer que só esta ação não basta, e que as empresas continuam responsáveis nos casos de incidentes como vazamentos de dados, uso não autorizado, mas também nos casos em que houver reversão de dados anonimizados, pseudonimizados, encriptados, quaisquer que sejam, ainda que a LGPD não considere alguns deles como dados pessoais.

Dados, sejam eles anonimizados ou pseudonimizados, só são definidos como seguros enquanto não sofrerem processos de reversão, ou por meios próprios, ou por conta da ação mal-intencionada de terceiros. Em resumo: enquanto não forem revertidos em dados pessoais.

Ou seja: é necessário que as empresas alinhem o aumento da segurança não apenas protegendo os dados via anonimização ou pseudonimização, mas investindo em criptografia, diminuição de riscos de vulnerabilidade, de infecção por malware, de fraude interna ou de acesso não autorizado. Mas mais que isso: é preciso que a segurança de dados passe a ser um dos pilares da cultura corporativa de qualquer empresa, em especial das empresas de tecnologia da informação.

E então? Sua empresa está preparada?

É bacharel em Ciência da Computação, pela Universidade Luterana do Brasil (Ulbra), e mestre em Engenharia de Software pela Cesar School. Possui experiência em campos como governança de TI, gestão de projetos, engenharia de requisitos, arquitetura corporativa e sistemas de missão crítica. É certificado como Project Management Professional (PMI), Scrum Product Owner (CSPO) e como Specialist for Rational Requirements Management w/Use Cases/IBM. Foi bolsista do CNPq, trabalhou em diferentes empresas e, atualmente é cofundador da startup de TI Lean in Focus e consultor em gestão de projetos de TI na Consenso Tecnologia, ambas em Recife.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal