Anonimização x Pseudonimização de dados na LGPD: Tudo o que você precisa saber.

 A Lei Geral de Proteção de dados trouxe diversas modificações a forma como deve ocorrer o tratamento dos dados, estabelecendo o modo como deve acontecer o seu tratamento, desde a sua coleta, até a sua eliminação. Se você tem dúvidas sobre o tema, continue lendo o artigo abaixo. ¹

A anonimização é a regra para o tratamento de dados que deve ser utilizado pelas empresas, em contratos de serviços, condomínios, lojas ou planos de saúde.

Se você já ouviu falar desta lei e dos termos, com certeza deve ter curiosidade a respeito desse assunto.

Neste texto vamos lhe explicar detalhadamente a diferença entre os dois, trazendo pontos relevantes a respeito desse tema. Antes de irmos mais a fundo, vamos a um resumo.

 Resumidamente:

•  A Legislação de Proteção de dados estabelece que todos os dados pessoais devem ser anonimizados;
• A anonimização é a descaracterização de forma definitiva dos dados pessoais de alguém, não havendo nenhuma forma de reversão que possibilite unir novamente as informações pessoais de alguém ao seu nome.
• A pseudonimização é uma forma de manipular dados, onde são utilizados identificadores artificiais, dividindo as informações coletadas em dois bancos de dados, onde posteriormente eles serão ligados e haverá a caracterização das informações que falsamente foram tornadas anônimas.
• Mesmo as empresas que não trabalham com a coleta de dados, devem se adequar a LGPD, pois não é apenas a coleta de dados que faz necessária a adequação, mas também o tratamento dos dados.

Agora que você entendeu o básico, continue lendo até o fim para saber as melhores práticas e conhecer mais sobre o tema.

Você também pode ver nosso guia completo sobre LGPD aqui.

Conceitos e introdução:

Anonimização de dados:

 A anonimização de dados é o critério trazido pela LGPD, para o tratamento de dados, em regra.

Anonimizar dados é descaracterizar a possibilidade de identificação de uma pessoa, por meios dos dados pessoais coletados a respeito dela, já que ao serem anonimizados todas as características que possibilitam a identificação são apagados, sem possibilidade nenhuma de serem recuperados.

Pseudonimização:

A pseudonimização é uma forma de manipular dados pessoais, através de um identificador artificial, que substitui os dados, e os arquiva em um banco de dados, onde eles serão posteriormente ligados a pseudônimos, é uma maneira para ser simulada uma anonimidade, contudo, esses dados não são apagados de fato, podendo ser recuperados, através de meios técnicos.

Essa conduta, faz com que os dados pessoais continuem sendo protegidos pela LGPD, não desvinculando as empresas da responsabilidade que eles tem com a proteção desses dados.

Diferenças entre as duas:

A Anonimização e Pseudonimização são duas maneiras de tratamento de dados abordados na Legislação Geral de Proteção de Dados, já que uma é regra e a outra é uma possibilidade que o legislador concluiu que poderia ser utilizada para burlar o objetivo principal da LGPD, a proteção de dados.

A anonimização de dados, como explicado acima, é a maneira como, em regra, devem ser tratado os dados coletados pelas empresas, possuindo como característica principal deletar o vínculo entre o titular dos dados e os dados pessoais que são coletados, por meio de cadastros, cookies, pesquisas e quaisquer outras formas.

A anonimização não permite que os dados pessoais possam ser restaurados para se juntarem novamente, possibilitando a caracterização do titular do dado antes apagado.

Nesse tipo de tratamento, o dado não pode ficar arquivado em um ambiente desconhecido para ser juntado novamente com outros símbolos ou padrões, que as empresas escolhem para caracterizar os dados e os seus titulares os unindo oportunamente, quando elas precisarem.

 A Pseudonimização é exatamente o contrário da anonimização, pois essa forma de tratamento simula apagar os dados, mas apenas os decodifica e separa-os do nome do titular, possibilitando futuramente que sejam encontrados e utilizados.

Essa manobra é utilizada por muitas empresas, para tentarem burlar o que prevê a LGPD, já que os dados são separados dos nomes dos titulares, em busca de demonstrar que estão sendo respeitadas as normas da lei.

Contudo, realizar a pseudonimização não é uma forma de manter seguros os dados pessoais coletados dos clientes, ou usuários de sites.

Uma vez que ao serem utilizados de má-fé ou se forem roubados, a responsabilidade será totalmente da empresa que não os anonimizou, sofrendo assim as consequências previstas na Lei Geral de Proteção de Dados, podendo arcar ainda com indenizações aos usuários.

Dica: Confira nosso termo de uso para blogs e sites, que também falam sobre o assunto.

O que a LGPD diz sobre pseudominização?

Há uma abundante quantidade de empresas que pensaram em realizar a pseudonimização e que possam até chegado a utiliza-la em busca de burlar as normas da LGPD, contudo essa  é uma forma apenas de se autossabotar, visto que será realizada a inspeção dela Autoridade Nacional de Dados (ANPD).

 A ANPD será responsável por fiscalizar o cumprimento das normas previstas na LGPD, dessa maneira ao realizar a pseudonimização, você estará apenas procrastinando o que de fato é necessário ser feito, além de ficar passível a penalidades previstas na legislação supracitada, inclusive multas.

A LGPD não considera legal esse tipo de tratamento e ao realizá-lo, você não está se enquadrando nas normas reguladoras de proteção de dados.

O que a LGPD diz sobre anonimização?

 A legislação de Proteção de Dados estabelece que os dados coletados não podem ser armazenados ou passar por qualquer tipo de tratamento sem a permissão do titular.

Caso essa permissão não exista o dado coletado, deve ser anonimizado e só então poderá continuar armazenado ou passar por tratamentos que serão realizados pelo coletor dos dados.

A anonimização é a regra a ser utilizada por todos que utilizam dados, pois essa é a maneira que o legislador encontrou para proteger o grande número de informações que são coletados, além de serem utilizados não apenas pelas empresas que os coletam, como muitas vezes eram repassados a terceiros por meio de negociações, que proporcionavam benefícios a quem realiza a coleta.

Não posso mais coletar dados?

 A coleta de dados é algo comum entre as empresas, aplicativos e até os sites que navegamos, a todo momento estamos deixando nossos dados, como gostos musicais, acessórios, alimentos, nas pesquisas que realizamos na internet e nem sempre sabemos disso.

 O cadastro que efetuamos para realizar compras, participar de cursos, receber materiais, criação de contas de e-mail, são formas de coletar dados pessoais, que serão utilizados a qualquer momento, do modo como a empresa deseja utilizá-los, sem termos dado nenhuma autorização.

A coleta de dados não está proibida, mas deve apenas observar o que dispõe a legislação responsável por sua proteção, sendo necessário que aconteça a proteção dos dados coletados e que tenha a permissão do titular dos dados para isso acontecer.

Por esse motivo torna-se obrigatório o consentimento do proprietário dos dados pessoais para poder acontecer o uso deles.

Como fazer a anonimização:

 Há diversas maneiras da anonimização ser realizada, são diversos tipos de técnicas que um profissional de TI, pode desempenhar para deixar os dados em anonimato, contudo, há algumas dessas maneiras, que não se enquadram no que a legislação aqui abordada estabelece.

A maneira correta da anonimização acontecer é por meio que se faz a remoção irreversível dos dados coletados, onde nenhum tipo de chave ou código é gerado para dar acesso a essas informações.

Além disso, não permite que nenhum tipo de informação seja reencontrada a respeito dos dados, nem mesmo pela parte que realizou a coleta dos dados, já que os remove sem deixar nenhum tipo de encaixe ou manobra que possa ser feito para unir novamente as informações e assim identificar novamente os usuários.

Não são indicados os tratamentos de supressão, pseudonimização, criptografia e generalização, pois esses tipos de tratamentos tornam os dados anônimos, mas permitem que ao juntar pequenos pontos sejam recriados e utilizados, desrespeitando assim as normas da legislação de proteção aos dados.

O indicado é que as empresas realmente só armazenem dados indispensáveis e necessários dos seus usuários, pois dessa maneira, não estão protegendo apenas os titulares dos dados, como também a si, já que não terão que se preocupar em manter segurança em todos os dados que coletar, pois, irá anonimizar os demais e só gerará segurança para os que foram indispensáveis para a realização do seu trabalho.

Porque anonimizar dados?

A LGPD rege a proteção de dados, por esse motivo, qualquer dado pessoal deve respeitar os parâmetros estabelecidos por ela.

A Anonimização de dados é uma forma de armazenar dados sem que haja possibilidade da identificação de seu titular, gerando segurança para essa pessoa. Uma vez que seus dados não terão riscos de ser roubados, vendidos, ou repassados como forma de troca.

É de grande importância que as empresas realizem a anonimização dos dados, pois dessa maneira, poderão gerar e transmitir mais seguranças aos seus usuários, clientes, além de aperfeiçoarem seus sistemas de inteligência artificial.

Em que território a LGPD incide?

A legislação de proteção aos dados deixa clara em sua redação que protege todas as operações de tratamento realizadas por pessoas jurídicas ou naturais, de direito privado ou público, englobando as operações virtuais e as que acontecem no mundo real, ainda que não tenham essa expressão “mundo real” na redação. ²

O território de sua incidência não é apenas o âmbito nacional, já que  o que estabelece a sua aplicação não é o local onde acontece a coleta dos dados, mas sim onde é realizado o tratamento.

 O artigo 3º da LGPD, deixa claro, que as operações de tratamentos realizadas no território nacional devem respeitar as normas estabelecidas na legislação brasileira, tanto as coletadas em nosso território, como aquelas que não são coletadas, mas são tratadas no Brasil. ³

A lei não se aplicará aos dados que forem utilizados apenas para fins particulares e não econômicos, como também aqueles que são utilizados para fins artísticos, acadêmicos e jornalísticos.

Não há incidência, ainda, nos dados que forem usados para fins da segurança pública, segurança do Estado, defesa nacional, repressão de infrações penais, atividades que tenham cunho investigativo entre outras que estão previstas na legislação.

Realizando a coleta de dados de acordo com a LGPD

 A Lei Geral de Proteção de Dados não proíbe inteiramente a coleta de dados, na verdade a intenção dessa lei é proteger os dados pessoais e sensíveis dos clientes, por esse motivo a coleta de dados ainda pode ser realizada, além de ser possível o seu uso e tratamento pela empresa, site, plano de saúde o qualquer um que realiza o recolhimento.

Para a coleta de dados ser realizada sem se ter nenhuma punição referente a LGPD, deve o titular dos dados pessoais dê o consentimento expresso para isso acontecer, além disso, a empresa deve informar a finalidade do uso dos mesmos e o período em que serão utilizados pelo controlador.

 Muitos sites já estão atualizando suas normas e assim que o usuário inicia o acesso da página, há um aviso para que ele aceite a política de termos e uso, ou os cookies.

Além disso, há aplicativos que já iniciaram essa transformação, para poder coletar os dados de seus usuários e utilizarem da melhor maneira.

Como, por exemplo, o Instagram, que entrega posts aos seus usuários a partir da análise de seu perfil.

A mesma coisa acontece com os anúncios que você encontra nas páginas da internet, inclusive em páginas de pesquisa, até mesmo os planos de saúde, utilizam informações pessoais para indicar a cobertura mais adequada para aquela pessoa ou sua família.

Preparando uma empresa para o que a LGPD pede

 A partir de agosto deste ano, as sanções pelo desrespeito às normas presentes na LGPD passarão a incidir sobre todas as empresas, lojas, planos de saúde, sites, que trabalham com dados pessoais, por esse motivo é importante preparar a sua empresa ou site para se adequar a legislação de proteção de dados.

Para preparar a sua empresa para respeitar as normas previstas na LGPD, você deve seguir alguns passos, veja abaixo:

•  Você precisa de um advogado que domine a nova lei;
•  Um profissional de tecnologia, que entenda tudo a respeito do tratamento de dados;
•  Informar ao proprietário de dados, seja no ambiente online ou offline, a respeito da nova política de dados, pedindo-lhe permissão para a coleta e tratamento de seus dados;
•  Soberania ao titular de dados, uma vez que ele terá direito sobre todos os seus dados;
• Analisar os dados pessoais e sensíveis existentes no ambiente virtual e real.

Empresas que não coletam dados

Muitas empresas não estão se preocupando em adequar-se as normas da Lei Geral de Proteção de dados, por não trabalharem diretamente com a coleta de dados.

Contudo, é importante lembrar que a legislação não aborda a proteção apenas a quem coleta os dados pessoais, mas a quem realiza qualquer tratamento de dados, sendo necessária dessa maneira que todas as empresas se adequam a essas normas.

Mesmo que a empresa não realize a coleta dos dados, ela pode ser uma receptora de dados e ao realizar o tratamento desses dados, a lei estabelece que eles devem ser eliminados.

Dessa forma, mesmo que você não colete diretamente, com certeza você ou sua empresa, utilizam dados, não apenas pessoais.

Por esse motivo, é necessário realizar a adequação ao que prevê a Lei Geral de Proteção de dados e anonimizar todos os dados, até a sua eliminação, caso não haja permissão do titular dos dados para o seu tratamento.

 Perguntas frequentes:

 Tenho prazo para anonimizar os dados da minha empresa?

 Todas as empresas devem estar com seus dados anonimizados até agosto desse ano, ou com permissão  dos titulares dos dados para realizar o armazenamento deles.

 Se eu não anonimizar os dados da minha empresa, o que pode acontecer?

 A partir de agosto a legislação de proteção aos dados passará a ter aplicabilidade, então o desrespeito das suas normas ocasionará punições.

 Se o tratamento não acontecer respeitando o que a lei prevê, em um primeiro momento os controladores serão responsabilizados, e deverão arcar com as punições, caso o controlador tenha repassado as ordens para o operador e ele não tenha cumprido a adequação a LGPD, ele também responderá pela falha.

Caso tenha ficado qualquer dúvida, você pode entrar em contato com nossos advogados especialistas, ou deixar seu comentário abaixo.