O que são dados anonimizados e pseudoanonimizados?

Tempo de leitura: 5 minutos

Tudo o que fazemos no ciberespaço deixa rastros. Seja utilizar uma rede social, enviar um e-mail, consultar um site de pesquisas ou até mesmo a realização de pagamento de contas por internet, são ações que geram dados sobre a nós e nossos hábitos cotidianos.

Para as empresas também é o que possibilita, por diversas vezes, tomar decisões mais assertivas para melhorar a experiência de seus clientes. Porém, as nossas pegadas digitais podem se tornar um grande problema quando utilizadas indevidamente, tal como em casos de roubo de dados por cibercriminosos ou pelo uso visando única e exclusivamente o benefício próprio. 

Fato é que as empresas que lidam com dados de clientes precisam estar atentas aos riscos que podem acometer a si e aos clientes, em especial, com a aproximação da LGPD. Nesse cenário de incertezas surgem novos tipos de dados: anonimizados e pseudo-anonimizados.

Entenda mais sobre esses conceitos e como se aplicam à LGPD. 

Dados Pessoais x  Dados Sensíveis: quais as diferenças

Podemos definir “dados pessoais” como qualquer informação de cunho pessoal que identifique de forma direta ou indireta alguma pessoa. Endereços, email, telefones, data de nascimento, documentos pessoais como CPF, RG e título de eleitor, entre outros, são considerados dados pessoais. 

Já os dados sensíveis, por definição, são aqueles que dizem respeito à origem étnica ou racial, opiniões políticas, crenças filosóficas ou religiosas, associação a sindicatos, dados biométricos e genéticos e informações sobre saúde e sexualidade.

A LGPD, bem como a GDPR estabelecem em seu texto as diretrizes legais para o tratamento desses dados, no caso em que são passíveis de tratamento, e as multas para quem descumprir as legislações.

Dados anonimizados: o que são?

Embora as legislações de proteção de dados sejam bastante severas e rígidas em relação ao tratamento dos dados, existem formas de coletar e utilizar essas informações sem comprometer os clientes e assegurando que o negócio tenha o que precisa para tomar decisões assertivas. 

A forma mais complexa, porém ao mesmo tempo mais refreadora de riscos de infração da GDPR e LGPD é a anonimização de dados. Os dados anonimizados são dados pessoais convertidos em dados não identificáveis, cujo processo de anonimização não pode ser reversível, ou seja, uma vez dissociados entre si, não pode haver a possibilidade de agrupá-los novamente e identificar a quem pertencem. Após esse processo, o dado deixa de ser pessoal ou sensível e passa a ser anônimo, dessa forma, já não se encontra mais no escopo das legislações.

Conforme o Baptista Luz Advogados: “Atualmente, pode-se citar duas interpretações jurídicas sobre como avaliar se uma técnica de anonimização foi adotada de forma adequada: (i) a primeira, denominada de risk-based approach (análise baseada no risco), verifica se, apesar da adoção de precauções pelo responsável, houve ou não a reidentificação dos dados; (ii) a segunda, denominada de procedure-based approach (análise baseada nos procedimentos adotados), verifica somente se foram implementados procedimentos adequados com base nos riscos detectados previamente.”

E o que são Dados pseudo-anonimizados?

Como a própria nomenclatura já indica, esse tipo de dado sofre um processo de anonimização que, nesse caso específico, permite o processo de inversão, ou seja, que se possa reorganizar e agrupar os dados de modo a identificar indiretamente o indivíduo a quem pertencem.  Esse tipo de tratamento de dados é citado dentro do texto da LGPD, no artigo 13:

“Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”

Podemos citar como exemplo de dados pseudo-anonimizados um sistema de controle biométrico, no qual o funcionário pode ser identificado por um número ou código, ao invés de ter seu nome registrado. Há também os cookies dos sites, que são arquivos de texto enviados por determinado site ao navegador de internet que o usuário está utilizando, na primeira vez em que ele visita o website. No próximo acesso realizado pelo usuário, o navegador reenvia os dados ao site para que as informações sejam configuradas automaticamente.

Tanto a anonimização quanto a pseudo-anonimização de dados tem como objetivo dissociar os dados de seu titular, de forma a proteger sua identidade e integridade, possibilitando que as empresas que necessitem das informações possam utilizá-las sem lesar nenhum indivíduo. A exigência das legislações de proteção de dados LGPD e GDPR em relação a esse tipo de tratamento de dados retornam às pessoas o controle sobre seus rastros digitais e a segurança de que não serão expostos negativamente ou terão suas informações utilizadas para fins inescrupulosos.

Quer conhecer casos de empresas que já tem a LGPD como projeto em execução? Confira o case da Prolar Imobiliária Inteligente, que conta com a Introduce em sua jornada de adaptação à legislação.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.