Por Daniela Natale Nasser Garofano

A preocupação com a privacidade de dados pessoais não é de hoje. Com os avanços tecnológicos e a chegada de legislação específica, o Marco Civil da Internet e a LGPD, os desafios para se adequar à lei são muitos.
Empresas e profissionais dos mais diversos setores estão empenhados em fazer ajustes e mudanças visando a adequação à LGPD quanto ao tratamento de dados pessoais.
É de conhecimento geral que o uso indevido/vazamento dos dados pessoais pode acarretar multas de valores consideráveis, além de indenizações.
Para se resguardar, muitas empresas estão apostando na anonimização de dados, definida no artigo 5º, XI da LGPD como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Vale lembrar também a definição de dado anonimizado dada pela lei: “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (LGPD, artigo 5º, inciso III”).
De um lado, um aspecto relevante é o valor agregado dos dados pessoais. Quando um dado é anonimizado ele pode não ter o mesmo valor para a companhia justamente em razão da impossibilidade de individualização e, por isso algumas empresas não teriam interesse em tal procedimento uma vez que os dados perderiam suas características pessoais e/ou individuais e se tornariam apenas informações genéricas, comuns.
Por outro lado, há casos em que a anonimização parece ser o método mais seguro para não infringir as leis de proteção de dados pessoais. Dados de pessoas não identificadas ou não identificáveis são dados protegidos. Mas pode não ser assim tão simples.
Não podemos negar a importância da anonimização dos dados, mas também não podemos acreditar que somente este processo garantirá a total e efetiva proteção dos dados tratados.
O artigo 12 da LGPD considera dados pessoais protegidos e sujeitos às restrições legais aqueles dados que, mesmo anonimizados, possam ter o seu processo de anonimização revertido utilizando exclusivamente meios próprios ou com esforços razoáveis. Se houver este risco, a empresa estará submetida integralmente às regras da LGPD e ficará sujeita à responsabilidade em caso de desatendimento da norma ou de vazamento.
Então, se a opção for pela anonimização de dados, a orientação é de que a empresa também invista em tecnologias e sistemas de segurança, a fim de garantir a integridade e a irreversibilidade do processo de anonimização, assim como criptografias e monitoramento especializado para dificultar ao máximo o vazamento indevido de dados coletados.
É inegável que a proteção de dados não é algo simples, demanda muitos esforços para que seja possível proteger os dados pessoais de forma segura.
Para orientar a tomada de decisão em torno da anonimização de dados e auxiliar as empresas a compreender melhor essa possibilidade e seus riscos, vale a pena conferir o Guia para Técnicas Básicas de Anonimização de Dados publicado pelo Comissão da Proteção de Dados Pessoais de Singapura (Personal Data Protection Commission of Singapore), disponível em: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1(250118).pdf).
O guia de Singapura é um documento bem peculiar e explica com bastante detalhes o procedimento de anonimização, assim como os aspectos técnicos e os riscos que podem ocorrer. O documento menciona, p. ex., que a anonimização é complexa e destaca a importância de procurar apoio profissional para definir qual técnica de anonimização será mais adequada a determinada situação (supressão de atributos, criptografia, encobrimento de caracteres, entre outros), além da análise dos riscos que é fundamental para que o procedimento escolhido consiga alcançar o objetivo esperado.
O documento destina-se a pessoas que estejam responsáveis pela proteção de dados dentro de uma organização, sem conhecimento ou experiência anterior em anonimização de dados. Embora o guia pretenda ajudar as organizações à anonimização de dados pessoais, a Comissão reconhece que não existe uma solução única para todas as organizações. Cada organização deve, portanto, utilizar a abordagem de anonimização que seja apropriada para as suas circunstâncias.
Em suma, é preciso ter atenção a todos os mecanismos que possam agregar segurança aos dados e investir em tecnologia, além de escolher as ferramentas corretas. No caso da anonimização, é essencial conhecer as diferentes técnicas de anonimização de dados e seus respectivos riscos, além de conhecer a natureza e o tipo de dados pessoais que a organização pretende anonimizar, pelo que diferentes técnicas são adequadas a diferentes tipos de dados e situações.
Acesse aqui a versão traduzida do Guia para Técnicas Básicas de Anonimização de Dados publicado pelo Comissão da Proteção de Dados Pessoais de Singapura: