Qual a diferença entre esses dois procedimentos e qual sua importância na aplicação da LGPD?
Introdução
Desde que a Lei de Proteção de Dados Pessoais do Brasil (“LGPD”) foi aprovada, em agosto de 2018, diversas dúvidas surgiram a respeito das obrigações legais existentes e da definição de como alguns conceitos deverão ser aplicados quando a lei entrar em vigor. Um dos temas que tem gerado bastante polêmica e, possivelmente, poderá gerar diversas dúvidas são os conceitos relativos à anonimização e pseudonimização.
Anonimização
Afinal, o que é anonimização e o que é pseudonimização? E quais são as vantagens da utilização dessa técnica para o seu negócio?
Primeiramente no tocante à anonimização, a LGPD a define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”[1]. Sua definição é importante uma vez que a LGPD não se aplica à utilização de dados anonimizados, permitindo uma maior liberdade no tratamento dessa categoria de dados. Os dados anonimizados se encontram fora do escopo da LGPD, uma vez que não se associam a uma pessoa natural, não recaindo sobre eles portanto toda a carga regulatória presente na lei.
É importante destacar que o resultado do processo de anonimização é contextual, uma vez que uma técnica utilizada em determinado momento pode, no futuro, tornar-se ineficiente, permitindo que os dados sejam reidentificados e, caso isso ocorra, os dados anonimizados passarão a ser considerados dados pessoais novamente. Assim, a qualidade de uma técnica de anonimização leva em consideração o custo e o tempo necessário para que o processo seja revertido de acordo com as técnicas disponíveis em determinado momento do desenvolvimento tecnológico. Caso o processo seja revertido no futuro os dados tornam-se pessoais novamente, voltando-se a se aplicar as disposições da LGPD.
Atualmente, pode-se citar duas interpretações jurídicas sobre como avaliar se uma técnica de anonimização foi adotada de forma adequada: (i) a primeira, denominada de risk-based approach[2] tradicional (análise baseada no risco), verifica se, apesar da adoção de precauções pelo responsável, houve ou não a reidentificação dos dados[3]; (ii) a segunda, denominada de procedure-based approach (análise baseada nos procedimentos adotados), verifica somente se foram implementados procedimentos adequados com base nos riscos detectados previamente[4].[5]
Essas abordagens tomam como pressuposto que a anonimização absoluta de um dado pode ser difícil ou mesmo impossível em certos casos, assim a adequação deve ser avaliada de forma contextual e por meio do grau de risco existente.
No parecer sobre anonimização desenvolvido pelo Information Commissioner’s Officer (ICO) (Oficial do Comissário de Informação) do Reino Unido é sugerido que se contratem terceiros para testar a qualidade do processo de anonimização por meio testes que busquem reidentifcar os dados[6].
Compartilhamento de dados anonimizados
Outro elemento necessário de ser avaliado envolve casos em que os dados anonimizados serão compartilhados com terceiros. A ICO também sugere que, antes que o compartilhamento seja realizado, as organizações devem avaliar se os dados podem ser reidentificados tanto por ações próprias como também por eventuais ações tomadas por terceiros[7]. Caso esse entendimento seja adotado no Brasil, é possível que a Agência Nacional de Proteção de Dados (ANPD) tenha que dosar o nível de diligência que as organizações deverão adotar ao compartilhar dados anonimizados com outros controladores, ou mesmo ao disponibilizá-los publicamente.
No caso do compartilhamento restrito a determinados controladores, é mais fácil avaliar a capacidade técnica de reidentificação da outra parte, ou mesmo de se limitar tal possibilidade por cláusulas contratuais. Por exemplo, no caso de A compartilhar dados anonimizados com B, mesmo que B busque reidentificar os dados, a LGPD exigirá que os dados tornados novamente pessoais sejam tratados com base em alguma das hipóteses legais (como consentimento, execução do contrato, legítimo interesse do controlador, etc). Assim, o entendimento mais adequado parece ser no sentido de que A não pode ser responsabilizado por eventuais violações de B, quando este reidentificar os dados sem adotar uma hipótese legal que permita o tratamento, desde que A tenha feito a análise de risco de forma diligente e de forma prévia ao compartilhamento dos dados anonimizados.
Dados Públicos
Já no caso de disponibilização pública dos dados anonimizados, a avaliação dos riscos de reidentifcação se torna mais incerta, devido ao grande número de agentes que podem acessar os dados. Caso a ANPD adote uma orientação mais restrita nesse sentido, pode-se gerar como consequência um desestimulo a disponibilização de dados anonimizados para uso público, o que reduz oportunidades de inovação.
Diferença pontual com a GDPR
Outro ponto interessante de se destacar refere-se a uma das exceções criadas pela LGPD, a qual não foi prevista especificamente pela General Data Protection Regulation (“GDPR”), que é legislação europeia de proteção de dados. De acordo com a LGPD, podem ser considerados dados pessoais aqueles utilizados para “formação de perfil comportamental de determinada pessoa natural, se identificada”[8], mesmo que o tratamento tenha partido inicialmente de dados anonimizados.
Pseudonimização
Já o conceito de pseudonimização da LGPD é definido de forma semelhante à GDPR, entretanto, ele somente é citado no artigo 13 da nossa lei, que dispõe sobre a realização de estudos em saúde pública:
Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”
Ao contrário da utilização de dados anonimizados, a qual afasta a aplicação direta das leis de proteção de dados, para os dados pseudonimizados não há previsão legal específica sobre quais vantagens ou isenções o controlador pode obter caso os utilize. Ainda assim, é possível cogitar de determinadas vantagens na sua utilização pelas empresas.
De um ponto de vista da segurança da informação, a pseudonimização contribui para garantir uma maior segurança dos dados, podendo diminuir os danos causados por eventuais vazamentos, se os dados afetados forem somente aqueles não identificáveis, sem o acesso aos dados complementares mantidos em separado. Este cenário pode fazer com que eventuais indenizações sejam reduzidas ou mesmo não aplicáveis, considerando que os dados vazados não sejam capazes de gerar danos ao titular por serem incompreensíveis.
A interpretação da pseudonimização como uma medida de segurança adicional também foi adotada pelo Working Party 29 na Opinion on Anonymisation Techniques (Opinião sobre Técnicas de Anonimização), quando a Data Protection Directive 95/46 estava em vigor[9]. A GDPR também menciona no artigo 25 que a pseudonimização é uma forma de se efetivar o princípio de privacy by design.
Apesar da ausência de dispositivos claros, algumas interpretações da GDPR podem permitir que sejam inferidas outras vantagens no uso da pseudoanonimização. Como a LGPD foi inspirada na GDPR, apesar das diferenças que ambas possuem em diversos pontos, é possível que essas interpretações possam vir a influenciar a prática brasileira. Por exemplo, o artigo 6(4) da GDPR estabelece que na verificação da conformidade de um processamento de dados subsequente (novas finalidades) com as finalidades originais deve-se considerar a adoção de medidas de segurança como a pseudonimização. Esta verificação é necessária pois o tratamento de dados pessoais exige legalmente que as finalidades estejam definidas previamente para o titular, e, caso haja tratamentos subsequentes com finalidades distintas, é necessário verificar se eles estão em conformidade com as finalidades iniciais. Caso contrário, o responsável pelo processamento deve se utilizar de uma das bases legais que o autorizem a tratar os dados.
Assim, o artigo 6(4) pode ser interpretado pelas autoridades europeias, no futuro, como uma forma de incentivar o uso da pseudonimização no tratamento de dados subsequentes.[10] Em outras palavras, a utilização de uma camada de privacidade adicional seria um elemento facilitador do uso subsequente de determinados dados pessoais.
Conclusão
A partir dessas breves explicações fica claro que a LGPD oferece um grande incentivo para o uso de dados anonimizados, apesar de nem todas as formas de tratamento poderem se utilizar de tal categoria de dado. Os responsáveis pelo tratamento que desejarem utilizar dados anonimizados devem buscar técnicas adequadas de anonimização, conforme o tipo de dado em questão, além de avaliar quem serão os agentes com quem os dados serão compartilhados. Ambos elementos são importantes para se avaliar o real risco de re-identificação, e é provável que ANPD os utilize para avaliar o nível de conformidade das empresas.
Em relação ao uso da pseudonimização, ao contrário, não são estabelecidas vantagens jurídicas específicas na LGPD, para além de ela ser considerada uma técnica de aperfeiçoamento da segurança da informação. Entretanto, é possível que interpretações futuras das leis de proteção de dados no Brasil venham a reconhecer novas vantagens de sua adoção do ponto de vista das obrigações regulatórias.
new RDStationForms(‘newsletter-formulario-0dba7da51a18e879c598’, ‘UA-91686746-1’).createForm();
