Anonimização de Dados permite manipular e compartilhar informações em conformidade com a LGPD

Por Marcelo Creazzo

A Lei Geral de Proteção de Dados – LGPD, ou Lei nº 13.709, veio para regulamentar a forma como dados pessoais e corporativos são utilizados – e separar as duas coisas. A legislação assegura privacidade ao titular, dando a ele o poder de decidir quem pode ter acesso às suas informações. Desde agosto desse ano, desrespeitar a LGPD é sinônimo de multas e sanções.

Cruzar e manipular informações depende agora de autorizações expressas dos proprietários, o que dificulta a vida de muitas companhias que dependem do tratamento de dados para darem continuidade ao desenvolvimento de seus negócios. Nesse cenário, a anonimização é uma técnica de processamento de dados que surge como saída para as empresas utilizarem informações críticas na operação, desde que não exponham pessoas.

Numa economia digital onde dados são considerados patrimônio e se fazem necessários para análises de comportamento e pesquisas de mercado, e suportam a evolução da inteligência artificial, da internet das coisas – IoT e do Machine Learning (aprendizado das máquinas), a anonimização garante a segurança da informação com maior transparência e confiança para qualquer organização.

Trocando em miúdos, entende-se por dados pessoais aqueles que levam à identificação de seu proprietário, seja de forma direta ou integrados com outros dados. Com a anonimização é possível bloquear de maneira irreversível o acesso a indivíduos por meio de seus dados, removendo ou alterando informações que possam ser associadas a uma pessoa ou empresa.

Dados anonimizados também podem ser compartilhados externamente com segurança, sem arriscar a privacidade dos usuários. Mas é preciso saber diferenciar o que é considerado efetivamente anonimizado – não permitindo que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular –, de um dado pseudonimizado, que estará, então, sujeito à LGPD.

Algumas pessoas podem confundir anonimização com pseudonimização, que é a simples substituição dos dados diretos (nome, sobrenome, data de nascimento, número do CPF, etc.) por outros não diretamente relacionados ao seu proprietário. Essa é uma estratégia que dificulta, mas não impossibilita a identificação do titular das informações. Diferente da anonimização, esse processo é reversível.

Na prática, a anonimização é uma metodologia que torna os dados de um indivíduo invulneráveis, enquanto a pseudonimização apenas reduz riscos, mas não torna os dados efetivamente anônimos.

Anonimização: metodologia segura e em conformidade com a LGPD

A anonimização pode ser feita por meio de randomização (alterando as características de um conjunto de dados para que sejam menos precisos), ou generalização (consolidando conjuntos de dados com atributos comuns para várias pessoas, com ferramentas que impedem a individualização das informações). Nos dois casos, os dados podem ser compartilhados ou reutilizados sem afetar a privacidade das pessoas.

Traduzindo: a anonimização de dados é uma prática vantajosa para as organizações, uma vez que a empresa consegue estabelecer o compliance de forma estratégica, usufruindo do valor da informação sem a necessidade de identificar o titular. Além disso, a anonimização também é uma ação preventiva a vazamentos e ataques de ransomware, levando as organizações à conformidade com a LGPD.

Marcelo Creazzo é Cipher GRC