Dados anonimizados são quaisquer dados relativos a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Embora seja essa a definição da Lei Geral de Proteção de Dados Pessoais (LGPD), na prática a anonimização de dados não é tão simples e segura como parece.
Para entender melhor a complexidade do tema, veremos neste artigo:
- O que são dados anonimizados
- Como é feita a anonimização de dados
- A diferença entre anonimização de dados e pseudonimização
- A falsa dicotomia entre dados pessoais e dados anonimizados
- Os casos de obrigação de uso de dados anonimizados
Vamos começar definindo exatamente o que são dados anonimizados.
O que são dados anonimizados
A LGPD dispõe, em seu art. 5º, inciso III, que dado anonimizado é o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
Já no inciso XI do mesmo artigo, a lei dispõe que anonimização é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Observa-se que a lei utiliza o chamado Filtro da Razoabilidade para dispor acerca dos meios técnicos razoáveis para a anonimização de um dado.
Como é feita a anonimização de dados
O processo de anonimização de dados é feito retirando a associação do dado a uma pessoa.
Por exemplo, um banco de dados com nome completo, CEP e CPF, depois de anonimizado, passa a ter apenas o primeiro nome e partes do CEP e do CPF:
Tabela 1: Dados Pessoais
| Nome | CPF | CEP | Data de Nascimento |
| João Silva de Souza | 123.456.789-00 | 01234-567 | 15/03/1985 |
| Maria Oliveira Santos | 987.654.321-11 | 87654-321 | 22/07/1990 |
| Carlos Pereira Almeida | 456.789.123-22 | 34567-890 | 09/11/1978 |
| Ana Beatriz Lima Costa | 789.123.456-33 | 65432-109 | 03/05/1983 |
| Bruno Henrique Azevedo | 321.654.987-44 | 43210-987 | 19/12/1992 |
Tabela 2: Dados Anonimizados
| Nome | CPF | CEP | Idade |
| João | 123..-** | 012**-*** | 39 |
| Maria | 987..-** | 876**-*** | 34 |
| Carlos | 456..-** | 345**-*** | 45 |
| Ana Beatriz | 789..-** | 654**-*** | 41 |
| Bruno | 321..-** | 432**-*** | 31 |
Na primeira tabela, os dados pessoais são apresentados de forma completa, permitindo a identificação direta dos indivíduos.
Na segunda tabela, os dados foram anonimizados, ocultando informações críticas e reduzindo o risco de identificação, atendendo aos critérios de anonimização da LGPD.
A diferença entre anonimização de dados e pseudonimização
Pseudonimização, segundo o § 4º do art. 13 da LGPD, é “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.
Na pseudonimização, existem em regra dois bancos de dados: um com os dados anonimizados e outro com informações adicionais que, se utilizadas, permitem que os dados voltem a ser associados a uma pessoa.
É como se fosse uma anonimização que pode ser revertida quando você associa dois ou mais dados.
Diferente do que ocorre com os dados anonimizados, aqui sempre é possível reverter a desassociação, bastando apenas o acesso às informações adicionais.
A pseudonimização é mencionada pela LGPD no caso de realização de estudos em saúde pública, que devem, sempre que possível, utilizar dados anonimizados ou pseudonimizados.
A falsa dicotomia entre dados pessoais e dados anonimizados
O art. 12 da LGPD dispõe que dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
A interpretação literal dos incisos III e XI do art. 5º da LGPD leva a crer que dado anonimizado é o dado que não se relaciona a uma pessoa, ou seja, não é dado pessoal. A ele, portanto, não se aplica a LGPD.
Essa é a regra geral: dado anonimizado não é dado pessoal.
Existe, porém, uma zona cinzenta em que não dá para separar completamente o que é dado pessoal e o que é dado anonimizado.
Apenas como exemplo, basta lembrar que necessariamente para se anonimizar um dado, o agente está obrigatoriamente realizando uma operação de tratamento de dados pessoais.
Vale repetir: o processo inicial de anonimização é sempre um tratamento de dado pessoal.
Se a origem desse dado pessoal é ilícita, por romper alguma disposição da LGPD, o processo de anonimização não vai “limpar” o dado agora anonimizado.
Além disso, a anonimização não reduz a zero a probabilidade de reidentificação de um conjunto de dados.
O próprio § 2º do art. 12 deixa isso claro ao dispor que podem ser considerados dados pessoais os dados utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Há muitos estudos mostrando que é relativamente fácil chegar a um dado pessoal a partir de um banco de dados anonimizados. A doutrina chama isso de Risco de Reidentificação.
Por isso, o agente de tratamento precisa sempre analisar a probabilidade de Risco de Reidentificação, saindo da falsa dicotomia entre o que é dado pessoal e o que é dado anonimizado.
Os casos de uso de dados anonimizados
A LGPD dispõe sobre situações em que o uso de dados anonimizados é recomendável e outras nas quais o uso é obrigatório.
No caso de realização de estudos por órgão de pesquisa, deve ser garantida, sempre que possível, a anonimização dos dados pessoais, sejam eles dados pessoais sensíveis ou não.
O mesmo vale para a realização de estudos em saúde pública, com a ressalva de que, neste caso, o art. 13 da lei fala em “anonimização ou pseudonimização dos dados”.
A anonimização de dados coletados em estudos por órgão de pesquisa também é recomendada caso o agente de tratamento queira manter os dados após o término do tratamento.
Já no caso em que o controlador queira manter dados após o término do tratamento para seu uso exclusivo, a lei obriga a anonimização dos dados ao mesmo tempo em que veda o acesso por terceiros a esses dados.
Não fica claro se, diante de uma requisição de eliminação de dados por parte do titular, o controlador pode simplesmente anonimizar tais dados.
O que fica evidente é que o titular pode requerer ao controlador a anonimização de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
Além disso, Autoridade Nacional de Proteção de Dados (ANPD) poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Conclusão
Dados anonimizados são dados relativos a uma pessoa que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Em regra, um dado anonimizado não seria um dado pessoal, por não se ligar diretamente a uma pessoa.
Existe, contudo, um razoável Risco de Reidentificação, uma possibilidade de que meios técnicos consigam partir de um dado anonimizado e chegar a uma pessoa.
A ANPD ainda não publicou um guia específico sobre dados anonimizados.
Assim, cabe aos agentes de tratamento a gestão de risco ao tratar dados anonimizados para evitar que eles possam ser religados a um indivíduo identificado.
Foto: Kaique Rocha
