Nosso fantasma se materializa quando as empresas tratam um dado apenas pseudonimizado como se ele fosse anônimo.

A Lei Geral de Proteção de Dados (LGPD) mudará a forma pela qual interagimos com dados pessoais no Brasil. Em suma, em seu âmago, ela visa permitir a cada um de nós, titulares de dados, ter ciência de como as empresas usam os nossos dados e nos dar poder para interferir nesse processo, garantindo a autodeterminação informativa.

Os desafios por trás de cada aspecto dessa afirmação são imensos e as estratégias para enfrentá-los são diversas. Nesse artigo, abordaremos uma delas: o uso de mecanismos de anonimização para destituir uma informação de sua habilidade de identificar uma pessoa, removendo-a, assim, da égide da LGPD. Até que ponto algumas empresas podem estar apenas jogando um lençol por cima do seu problema e no processo criando um fantasma para o seu futuro?

Nosso fantasma se materializa quando as empresas tratam um dado apenas pseudonimizado como se ele fosse anônimo.

O primeiro ponto a ser entendido é que a LGPD diferencia o dado anônimo do pseudonimizado. Em si, ambos são dados que dificultam a identificação do titular, ou seja, que perdem a sua capacidade de identificar direta ou indiretamente uma pessoa. A questão crucial será entender se é ou não possível reverter o tratamento ao qual foram submetidos (voltando o dado a ser pessoal), com a utilização de meios técnicos razoáveis.

Caso positivo, o dado será somente pseudonimizado e o seu tratamento permanece sujeito à LGPD e, se negativo, será efetivamente anônimo. O nosso fantasma se materializa, assim, quando as empresas tratam um dado apenas pseudonimizado como se ele fosse anônimo.

A única orientação que temos até o momento para a avaliação da efetividade do processo de anonimização é que devemos levar em consideração fatores objetivos, como custo e tempo necessários para reverter a anonimização, de acordo com as tecnologias disponíveis à época ou bases de dados em posse da empresa. Ante à lacuna deixada pela ausência da Autoridade Nacional de Proteção de Dados no Brasil, nossa opção é nos voltar à legislação dos países que inspiraram a nossa lei. Vamos ao exemplo europeu.

A autoridade de proteção de dados do Reino Unido entende que não é necessário provar que o procedimento de anonimização é infalível. As empresas deverão comprovar, no entanto, que empregaram seus máximos esforços para impedir que a reversão seja razoável e facilmente processada. Disso vem a nossa primeira lição: a anonimização efetiva tem como pressuposto a capacidade da empresa de atestar o seu raciocínio à época no qual o processo foi realizado, demonstrando a sua preocupação com o cumprimento da LGPD.

O entendimento preponderante na Europa é a necessidade de se utilizar de dois elementos de análise no contexto de anonimização: a probabilidade e a razoabilidade. O raciocínio das empresas deve ser guiado por perguntas como: “Qual a probabilidade de reversão do processo de anonimização se uma base de dados nova se tornar acessível?”; ou “Considerando os equipamento e know-how disponíveis no mercado, o investimento ou tempo necessário para reverter o processo de anonimização é razoável?”. Essa autoanálise dos procedimentos de anonimização deve ser realizada periodicamente e deve levar em consideração a adoção de procedimentos novos de mitigação de incidentes, com base nos métodos vanguardistas de reversão.

De fato, nesse processo pode-se chegar à conclusão de que os dados, seja por seu formato (como notas fiscais) ou natureza (metadados), nunca poderão ser efetivamente anonimizados.

Usualmente, a avaliação para verificar se um dado é anonimizado está baseada em três critérios, que devem ser empregados de forma conjunta: (i) individualização, que verifica a efetiva perda da capacidade do dado de isolar um indivíduo em uma base de dados com diferentes informações dispostas; (ii) correlação, que avalia a possibilidade de atribuir dados distintos a um mesmo indivíduo; e (iii) inferência, que trata da possibilidade de deduzir novas informações sobre um indivíduo com base nos dados fornecidos.

Se algum desses procedimentos permitir a reversão da anonimização, estaremos diante de dados pseudonimizados e pessoais. Uma figura lúdica que pode auxiliar a entender essa dinâmica é o “Enigma de Einstein”, cujo enunciado oferece dados dispersos (o britânico mora na casa vermelha, o suíço tem um cachorro, a casa verde fica à direita da branca etc) e diferentes métodos devem ser empregados para individualizar cada um desses indivíduos.

Trazendo o assunto para uma visão de gestão de riscos, vamos ao questionamento do que acontece se um dado pseudonimizado for tratado como anônimo. Em suma, sua empresa poderá violar diversas obrigações legais, tais como a de tratamento de dados somente com base legal, minimização de dados e não retenção de dados após o cumprimento da finalidade de tratamento.

Na Europa, recentemente a autoridade francesa de proteção de dados (CNIL) aplicou multa de 250 mil euros a uma empresa que violou o Regulamento Geral de Proteção de Dados, entre outros motivos, por empregar técnicas de pseudonimização ao invés de anonimização, resultando em processamento por tempo superior ao autorizado.

A anonimização é uma estratégia válida para a conformidade com a LGPD. No, entanto, a utilização dessa ferramenta deverá ser cuidadosamente planejada, principalmente em vista do tempo, dedicação e custo necessários para a sua implantação.

É essencial que a empresa faça uma avaliação de custo/benefício consciente e realista e implemente mecanismos e procedimentos internos para evitar a criação de fantasmas que em algum ponto vão voltar para lhe assombrar.

FONTE: Valor Econômico – Por Vanessa Lerner, Juliana Mota e Dennys Camara