A sua empresa está preparada para lidar com a anonimização de dados? Com a implementação da Lei Geral de Proteção de Dados em 2021, as organizações têm apresentado muitas dúvidas, inclusive sobre esse tema. Afinal, trata-se de um período de adaptação, que exige novos processos para que seja possível cumprir a legislação e evitar penalidades, como multas e bloqueios.
O debate em torno da anonimização de dados na LGPD é decorrente do artigo 12 da legislação que expressa que os dados anonimizados não são considerados dados pessoais. Contudo, ainda assim, é necessário agir com cautela em relação a essas informações.
A seguir, vamos esclarecer alguns dos principais questionamentos sobre esse tema. Acompanhe!
O que é a anonimização de dados da LGPD?
Um dado anonimizado é aquele que não identifica uma pessoa e, por esse motivo, não pode ser considerado como um dado pessoal. Isso quer dizer que a anonimização neutraliza as considerações trazidas pela LGPD.
Tal informação está bastante clara no artigo 12 da legislação, que diz o seguinte:
“Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.”
Essa é considerada uma das medidas mais importantes da Lei, haja vista que assegura a privacidade de titulares mesmo quando acontece o vazamento de dados. Com base nisso, as empresas podem compartilhar bancos de dados anonimizados, desde que sejam comprovadamente seguros e sem possibilidade de reversão.
Quais são os direitos de anonimização, bloqueio ou eliminação de dados da empresa?
A anonimização nada mais é do que uma técnica que remove ou modifica informações que identifiquem uma pessoa. Ela é bastante utilizada por buscadores, como o Google, e pelas redes sociais, como o Facebook, que rastreiam o histórico de pesquisa dos usuários, por exemplo. Também é muito comum que os dados sejam anonimizados quando alguém responde a uma pesquisa, presencialmente ou pela internet.
O bloqueio, por sua vez, diz respeito à suspensão temporária das operações de tratamento em dados. Já a eliminação exclui totalmente os dados de um usuário da base da empresa.
Nesse sentido, a LGPD, no artigo 16, diz que os dados pessoais devem ser eliminados depois de o tratamento ser finalizado, nas seguintes finalidades:
“I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, da anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.”
Quais são os critérios considerados na análise das técnicas de anonimização?
Há uma polêmica em relação à anonimização de dados na LGPD. Isso porque se fala sobre uma possível reversão do processo. De tal modo, utilizando programas específicos, uma pessoa que teve seu dado anonimizado poderia ter o tratamento de dados revertido e ser identificada novamente. A combinação de fatores, como hábitos de compra, é algo que pode fazer essa identificação.
De modo geral, os dados podem ser considerados anonimizados quando atingem os seguintes estados:
- impossibilitam a identificação de qualquer pessoa;
- apresentam baixa probabilidade de ligar os registros de uma pessoa a um grupo de dados;
- mostram a incapacidade de se inferir, por meio da análise das informações tratadas, dados de um titular específico.
Para que a lei seja cumprida em sua plenitude, portanto, é preciso que as organizações avaliem o grau de segurança que é aplicado nos processos de anonimização que elas desenvolvem. Isso não significa que a criptografia e o controle de acessos devem ser deixados de lado.
Como implementar a LGPD nas empresas?
Com a aproximação da obrigatoriedade do cumprimento da LGPD, é urgente adaptar-se às novas regras para o tratamento de dados. Veja os principais passos para implementar a LGPD nas empresas.
Faça o mapeamento da entrada e da saída de dados
Quanto mais informações você tiver sobre os dados a serem utilizados pela empresa, mais facilidade terá para esquematizar e otimizar o gerenciamento de tais informações.
Para tanto, faça um mapeamento de todos os processos de tratamento de dados, incluindo entrada e saída, de modo a distinguir a relevância e a localização de cada dado. Com isso, é possível entender quais são os dados que realmente precisam ser tratados, o que permite que a empresa trabalhe somente com as informações necessárias para as suas atividades.
Elabore um relatório de impacto
A adaptação à LGPD gera diversos impactos para a empresa. Pensando nisso, é recomendado criar um relatório que apresente os impactos resultantes da proteção de dados pessoais e que mostre possíveis inconformidades que possam vir a acarretar prejuízos para o negócio.
Assim, a empresa tem condições de se preparar para eliminar falhas, utilizando métodos que estejam de acordo com as regras determinadas pela nova lei.
Crie uma política de proteção de dados
É fundamental que toda a gestão da empresa despenda esforços e disponibilize os recursos exigidos para que seja viável se adaptar à LGDP. Será necessário nomear um Data Protection Officer, que se encarrega de comandar a estruturação, bem como o monitoramento e o aperfeiçoamento contínuo da compliance da empresa na esfera digital.
Garanta que todos os departamentos da organização interajam para que você tenha uma visão mais abrangente sobre as necessidades do negócio. Desse modo, todas as áreas podem se apoiar e promover melhorias no projeto de proteção de dados.
Além disso, é preciso criar regras que ajudem no cumprimento da política de proteção dos dados pessoais tratados pela corporação, na adequação de contratos firmados com outras empresas e no uso dos sistemas utilizados para a captação e para tratamentos das informações internas e externas.
Por último, é indicado realizar treinamentos e conscientizar os funcionários sobre a importância de seguir à risca os requisitos determinados pela LGPD.
Defina quais são os riscos do tratamento de dados
Estar a par dos riscos relacionados à privacidade dos dados é indispensável para prevenir-se contra potenciais problemas. Nesse sentido, junto ao mapeamento da entrada e da saída de dados, é aconselhável mapear e definir os riscos dos processos de tratamento de dados. Ao identificar problemas, crie ações eficientes para solucioná-los o quanto antes.
Como ficou claro, a anonimização é um fator que requer muita atenção dentro da LGPD. O correto cumprimento desse requisito aumenta a segurança da informação da empresa, impedindo que haja a identificação dos titulares dos dados, o que pode ocasionar multas e penalidades pesadas.
Quer melhorar os resultados do seu negócio? Veja como usar a LGPD a favor da empresa!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
