Dando continuidade à edição passada do LGPD Countdown, faremos breves comentários sobre os dados anônimos (aqueles que não conseguem ser identificados). Em um cenário de “corrida digital”, envolvendo alto desenvolvimento tecnológico, big data e internet das coisas, tratar a anonimização e a identificação dos dados de forma binária pode nos levar a equívocos, especialmente em termos de mitigação de riscos e governança corporativa.

O que isso quer dizer?

É muito comum vemos em Termos de Uso e Políticas de Privacidade que os dados são “totalmente” anônimos. Esse entendimento não é correto. Há uma equivocada ideia de que a não coleta de dados diretos, como nome, e-mail, CPF, implica diretamente na anonimização dos dados.

Por que isso é relevante?

A Lei Geral de Proteção de Dados do Brasil (LGPD), assim como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e as diversas leis relacionadas à privacidade ao redor do mundo, podem definir seu âmbito de aplicação ao considerar se um dado é identificado/identificável ou não.

Ocorre que determinar se um dado é identificável ou não está longe de ser algo simples. Não basta afirmar em um documento que um dado coletado não é identificável. Como bem apontado em um estudo pelo Future Privacy Forum [1], podem haver ferramentas tecnológicas, como softwares específicos para reversibilidade, e o cruzamento de diferentes categorias de dados buscando a reidentificação de um titular cujos dados foram outrora “anonimizados”.

A anonimização consiste em mecanismos técnicos que impedem a associação direta ou indireta a um indivíduo. Como exemplo, pode-se citar a supressão de dados. Os dados pseudoanonimizados são aqueles que permitem a associação a um indivíduo a partir de informações mantidas pelo controlador em ambiente separado e seguro, como no caso da segregação da base de dados ou da atribuição de identificadores a indivíduos.

Sendo assim, os dados anonimizados (anônimos) são aqueles que, de fato, não permitem a identificação, direta ou indireta do respectivo titular e, portanto, estão fora do escopo de proteção da LGPD. Contudo, se o processo de anonimização de dados puder ser revertido, seja por meios próprios do controlador, ou mediante esforços razoáveis, a LGPD será sim aplicável.

Importante, portanto, entender o que pode caracterizar a reversibilidade da anonimização. De acordo com a LGPD, será analisado o custo e o tempo necessário para que o processo de anonimização levando em consideração (1) as tecnologias disponíveis à época do tratamento dos dados e (2) a utilização exclusiva de meios próprios do controlador (quando não houver necessidade de investimento em novas tecnologias para que o processo de reversão seja possível).

Com base na LGPD e práticas internacionais, soma-se a política de privacidade a necessidade de políticas e critérios para a anonimização de dados, o que, conforme o estudo “Anonymisation Decision-making Framework”[2], deve incluir pontos como (i) auditoria/mapeamento da situação dos dados; (ii) análise de risco e controle; e (iii) gestão de impacto.

Mesmo os dados porventura anonimizados ou pseudoanonimizados são úteis para as diversas finalidades predeterminadas pelo controlador – ou seja, dificilmente serão dados sem utilidade, afinal de contas, se a este nível chegar, devem ser excluídos de todas as bases de dados do controlador.

Portando, a anonimização, de fato, e não somente “declarada”, é parte importante de qualquer política de privacidade ou proteção de dados. Cada vez mais, as melhores práticas de governança têm convergido para que a anonimização ocorra com base em normas e princípios destacados na LGPD, como uma forma adicional de mitigação risco.