Anonimização, pseudonimização e criptografia: Perguntas frequentes, definições e o que diz a LGPD
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
No dia a dia da proteção de dados, a anonimização é uma das questões que aparentemente mais intriga os nossos clientes: especialmente por apresentar em si a possibilidade de não incidência da lei.
Veremos aqui cada uma das questões mais frequentes que aparecem no nosso cotidiano. O objetivo é trazer uma compreensão do que é ou não é anonimização, o que é pseudonimização e acabarmos com uma dúvida que sempre aparece sobre a relação entre criptografia e anonimização – afinal, elas são sinônimos? preciso criptografar para anonimizar? O que a lei fala sobre criptografia?
O que é anonimização?
A palavra “anonimização”, dentro do senso comum, traz a ideia de tornar algo (ou alguém) não identificável, ou seja, tirar a possibilidade de associação de um indivíduo a um nome ou identidade.
Falando de sua etimologia, a palavra vem do grego “anōnumos”, (an- “sem” + onoma “nome”), já trazendo em si a ideia não identificação, ainda que num contexto ligeiramente diferente da nossa atual sociedade da informação. E no contexto da proteção de dados pessoais?
A LGPD – Lei Geral de Proteção de Dados traz a seguinte definição:
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Além disso, a lei também traz a definição de “dado anonimizado”:
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
E como se dá este processo? Para trazer uma explicação de forma simplificada e mais visual, veja o infográfico abaixo.
A anonimização consiste em um processo que tem o objetivo de impossibilitar a identificação do titular dos dados. Numa utilização prática, seria uma alternativa mais segura, por exemplo, para empresas que desejam utilizar dados pessoais para fins com viés mais “estatístico”. São atividades onde não é necessário que se identifique diretamente o titular, mas que algumas informações são relevantes para uma metrificação, análise estatística. Como exemplo: quantas mulheres estavam presentes em determinado evento?; quais são as profissões/áreas de atuação dos inscritos em determinado curso?; qual é a faixa etária média entre os usuários de determinado aplicativo?
É importante destacar que, para que se categorize de fato ANONIMIZAÇÃO (e não pseudonimização, conforme veremos adiante) é necessário que a desassociação das informações que possam identificar diretamente o indivíduo seja um procedimento irreversível ou, pelo menos, realizado por meios técnicos exclusivamente próprios, que possam ser considerados razoáveis, seguros e suficientemente atualizados no critério espaço temporal, de modo que a sua reversão seja consideravelmente custosa e dificultada em questão de tempo despendido e habilidades técnicas necessárias para realizar o processo de reversão (reidentificação dos titulares).
De forma geral, a forma mais segura de se realizar a anonimização seria a exclusão dos identificadores diretos (ex.: nome, RG, CPF, passaporte), de forma definitiva e buscando, inclusive, apagar possíveis registros e rastros remanescentes que possam levar à recuperação de tais dados (e, consequentemente, à reidentificação dos titulares).
Outro artigo da LGPD que não podemos esquecer ao tratarmos de anonimização é o artigo. 12:
Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Este artigo define que os dados anonimizados não são classificados como dados pessoais perante à LGPD; ou seja, que a Lei Geral de Proteção de Dados não se aplica a tais dados.
Daqui, também podemos extrair a seguinte informação: caso o processo de anonimização possa ser revertido (ainda que mediante esforços razoáveis), não estamos mais falando de dados anonimizados (e, portanto, não mais falamos da não incidência da LGPD) – a não ser que, no processo de reversão, a empresa utilize exclusivamente meios próprios (estes considerados razoáveis na ocasião do tratamento).
Por fim, temos os parágrafos que acompanham o art. 12 da LGPD:
1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e a utilização exclusiva de meios próprios.
2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
A LGPD exige anonimização?
A resposta é não. A lei somente traz a anonimização como uma opção em determinadas circunstâncias, mas não é um procedimento obrigatório para quem deseja tratar dados pessoais.
Como já pontuamos, o grande atrativo da anonimização é justamente a não incidência da LGPD sobre dados anonimizados. Portanto, caso a sua empresa/cliente não precise identificar diretamente os titulares dos dados, recomende a anonimização! É melhor para os titulares e pode ser melhor para o bolso de quem não quer correr o risco de ser sancionado pela Autoridade Nacional.
O que é pseudonimização?
A lei brasileira de proteção de dados pessoais não traz uma definição de pseudonimização no seu rol de definições. Ela somente aparece no art. 13, §4º, num contexto sobre tratamento de dados referente a estudos em matéria de saúde pública:
Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
A definição é bem semelhante à trazida pelo GDPR – General Data Protection Regulation:
Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Abaixo, trago outro infográfico para ilustrar a ideia.
Diferente da anonimização, a pseudonimização não exclui a incidência da LGPD aos dados pessoais tratados. Ela representa somente um meio mais seguro de tratar os dados pessoais quando ainda há um interesse em manter os identificadores diretos do titular. A ideia é que estes sejam mantidos de forma separada. É comum que os dados pessoais, como nome e números de documentos, sejam substituídos por identificadores indiretos (um número ou código alfanumérico que possa ser utilizado para reunir os dados pessoais identificáveis com aqueles que, por ora, encontram-se pseudonimizados).
O que é criptografia?
Decidi trazer esse tópico pois, curiosamente, de uns tempos para cá, a criptografia vem sendo um constante foco de perguntas na LGPD, especialmente em conjunto com a anonimização (e trarei adiante respostas a algumas delas).
Caso você não conheça o conceito de criptografia, não se preocupe! Veja abaixo um infográfico para ilustrar.
De forma bastante simplificada, a criptografia é sobre codificar e decodificar dados. Basicamente, ela consiste em uma prática na qual um dado é codificado por meio de um algoritmo (no exemplo acima, uma mensagem enviada é codificada). Esse algoritmo trabalha de forma conjunta com uma chave, que define como a mensagem será cifrada (codificada).
Há dois tipos de criptografia:
- Simétrica – onde uma única chave é utilizada para codificar e decodificar os dados.
- Assimétrica – onde uma chave é utilizada para codificar os dados (chamada “chave pública”) e uma outra é utilizada para decodificar os dados (chamada “chave privada”). Aqui, também é possível identificar a identidade do usuário (por isso considerada mais confiável).
Criptografar é a mesma coisa que anonimizar?
A criptografia pode ser utilizada nos processos de anonimização e pseudonimização; mas não é, necessariamente, um sinônimo.
A lei, em algum momento, exige a encriptação de dados?
Uma pergunta frequente com a qual nos deparamos é se a lei exige que a empresa que trata dados pessoais aplique a criptografia.
A palavra criptografia se quer aparece no texto da LGPD. Ela pode ser utilizada como uma boa prática em segurança da informação e proteção de dados, mas não existe qualquer obrigatoriedade em utilizá-la.
Bom, por hoje é isso. Espero ter conseguido esclarecer algumas dúvidas e trazer o conteúdo de forma mais simplificada.
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.
