Pular para o conteúdo

Entenda sobre Anonimização e Pseudonomização – O que prevê a LGPD?

anonimização lgpd

Neste texto, trataremos sobre os conceitos de Anonimização e Pseudonomização de dados pessoais de acordo com o que é estabelecido na LGPD (Lei Geral de Proteção de Dados). Você sabe a diferença entre eles e quais as vantagens de sua aplicação? Não?! Então, vamos lá!

Índice

Anonimização e Pseudonimização na LGPD

A LGPD prevê que é possível a realização de alguns processos técnicos com objetivo de minimizar a exposição de um dado pessoal durante o seu tratamento. Estes processos são conhecidos como Anonimização e Pseudonomização. É importante lembrar que aqui estamos falando de dados pessoais, não englobando, por exemplo, dados de máquinas ou estatísticos relacionados a uma pessoa física.

anonimização lgpd
Sobre Anonimização e LGPD

Definição de Anonimização, segundo a LGPD

A LGPD define Anonimização e dado anonimizado em seu Artigo 5:

Art. 5º Para os fins desta Lei, considera-se:

(…)

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

(…)

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Prevê que, para tratamento de dados pessoais para a realização de estudos por órgãos de pesquisa, os dados pessoais devem ser, sempre que possível, anonimizados.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

anonimização lgpd
Sobre Anonimização e LGPD

Ainda, em seu artigo 12, é previsto que os dados anonimizados não serão considerados dados pessoais pela LGPD. No entanto, é importante garantir que a anonimização não seja revertida, incluindo meios técnicos, para recuperar as informações e torná-los novamente dados identificáveis (dados pessoais).

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Definição de Pseudonomização, segundo a LGPD

A Pseudonomização é definida na LGPD como o tratamento ao qual um dado não pode ser, temporariamente, associado direta ou indiretamente a determinado indivíduo.

anonimização lgpd
Sobre Pseudonomização e LGPD

Sobra a Pseudonomização, o Artigo 13 da LGPD dispõe o seguinte:

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.

§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Diferentemente dos dados anonimizados, os dados pseudonomizados são considerados dados pessoais, já que é possível a identificação do titular de dados pessoais.

Benefícios dos processos de Anonimização e Pseudonimização da mitigação de riscos em Privacidade

A LGPD exige que todas as empresas que realizam o tratamento de dados pessoais os protejam de uso ou divulgação inadequada. No entanto, as mesmas organizações podem ter interesse na sua divulgação ou podem ser obrigadas a publicar informações derivadas do tratamento dos dados pessoais que possuem. Por exemplo, as organizações de serviços de saúde são obrigadas a proteger as identidades de pacientes individuais, enquanto também podem ser obrigadas a publicar estatísticas sobre a evolução de seus pacientes. A anonimização e a pseudonimização auxilia as organizações no cumprimento de suas obrigações de proteção de dados, ao mesmo tempo que permite que as informações sejam disponibilizadas ao público de maneira segura.

Quais os riscos envolvidos nos processos de Anonimização e Pseudonimização?

Sem dúvidas, um dos principais riscos da utilização de dados anonimizados ou pseudonomizados é o de reidentificação do titular de dados.

No entanto, em algumas circunstâncias, pode ser difícil estabelecer o risco de reidentificação, particularmente quando métodos estatísticos complexos podem ser usados ​​para combinar várias partes de dados anônimos. Esta pode ser uma vulnerabilidade particular quando se trata de conjuntos de dados pseudonimizados, porque embora os dados pseudonimizados não identifiquem um indivíduo, nas mãos de quem não tem acesso à ‘chave’, a possibilidade de vincular vários conjuntos de dados anonimizados ao mesmo indivíduo pode ser um precursor da identificação. No entanto, isso não significa que a anonimização efetiva por meio da pseudonimização se torne impossível. O Comissário de Informação reconhece que algumas formas de pesquisa, por exemplo estudos longitudinais, só podem ocorrer onde diferentes partes de dados podem ser ligadas de forma confiável ao mesmo indivíduo. O DPA não impede isso, desde que:

O atributo alt desta imagem está vazio. O nome do arquivo é Agendar-Reuniao-Bl-Consultoria.png
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?