Anonimização e Pseudonimização: ANPD coloca em consulta pública Estudo Preliminar sobre o Tema
Em 30 de janeiro de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) colocou em consulta pública o seu Estudo Preliminar sobre anonimização e pseudonimização. Em conformidade com sua agenda regulatória para 2023-2024, a autoridade apresentou o esboço inicial de um guia destinado a orientar os agentes de tratamento e a sociedade como um todo sobre impactos jurídicos e a respeito de diversas técnicas disponíveis para anonimizar ou pseudonimizar dados pessoais.
Segundo a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – “LGPD”), o processo de anonimização visa fazer com que determinado dado não mais identifique um titular. Nesse sentido, dados anonimizados não possuem mais a proteção da LGPD e, por isso, a sua avaliação deve ser bastante crítica. A LGPD reforça que o processo de anonimização deve levar em consideração meios técnicos razoáveis e disponíveis no momento dessa desidentificação.
Com relação ao processo de pseudonimização, o dado perde a possibilidade de associação direta ou indireta a um titular, mas ainda pode levar à sua identificação por meio de informação adicional mantida separadamente pelo próprio controlador. A manutenção em separado dessa informação adicional deve ser acompanhada de medidas técnicas e organizacionais que garantam a sua segurança e o acesso restrito.
Um dos exemplos mais claros desse processo de pseudonimização é a encriptação, largamente adotada pelas empresas, que, por isso, devem manter as chaves de desencriptação em segurança. A esse respeito, o Estudo recomenda a adoção de logs de evento e sistemas de monitoramento para garantir a rastreabilidade das chaves identificadoras.
Diante desse framework legal, o Estudo Preliminar em questão trouxe algumas considerações a respeito do processo de anonimização e de pseudonimização de dados pessoais:
- O maior risco nesse processo é o dos titulares correspondentes ainda serem identificados a partir do dado, mesmo após a sua anonimização. Nessa perspectiva, todo processo de anonimização deve ser acompanhado de uma gestão desse risco, a partir de métricas específicas (e.g., métrica k-anonimização).
- A ANPD reforça, ainda, que esse processo de gestão de risco deve ser documentado – potencialmente a ANPD pode vir a solicitar esse assessment de risco de reidentificação em eventual investigação ou processo sancionatório. Nesse sentido, o Estudo Preliminar propõe uma abordagem de anonimização em algumas etapas, baseada em uma avaliação contínua dos limites de risco aceitáveis para reidentificação. A métrica de medição considerará o custo e tempo necessários para reidentificar os dados, levando em conta o contexto das tecnologias existentes, a diversidade de natureza, escopo, contexto e finalidade de cada tratamento.
- Como a própria LGPD exige em seu art. 12, além dos fatores acima, a gestão do risco de reidentificação deve avaliar o que seriam exclusivamente meios próprios e quais seriam os potenciais esforços razoáveis de terceiros para essa reversão.
- Quando a reversão do processo de anonimização puder ser realizado utilizando meios próprios, potencialmente estaremos diante de mera pseudonimização.
- No que diz respeito a esforços razoáveis, a própria LGPD indica que critérios de custo, tempo e estado da técnica devem ser levados em consideração. O Estudo Preliminar indica, portanto, que encargos derivados da força de trabalho e recursos humanos, custos econômicos e tempo de dedicação para se reidentificar os dados devem ser avaliados pelo agente de tratamento durante a gestão de risco em questão. O Estudo também aponta que crimes cibernéticos e meios proibidos por Lei não podem servir de baliza razoável no estado da técnica para cálculo de risco de reidentificação.
- O risco de reidentificação dos titulares não precisa ser zero, mas deve estar pautado em critérios de razoabilidade e que levam em conta a realidade da empresa, a natureza dos dados, a fonte desses dados, e a própria tecnologia empregada para anonimização.
- O ato de anonimizar pressupõe uma base legal apropriada (art. 7º ou art. 11 da LGPD) e que esse tratamento seja lícito – anonimizar uma base de dados, à qual se tem acesso de forma contrária à LGPD, não torna a utilização desses dados anonimizados legítima, pois o ato que os originou não estava em conformidade com a LGPD (e.g., uma empresa quer realizar um levantamento a partir de uma base de dados de saúde de um hospital a que teve acesso ilegalmente).
- Em geral, o tratamento de anonimização se revela como secundário, posterior ao tratamento original e, por isso, deve ser compatível com a finalidade inicialmente informada aos titulares e precisa ser voltado a um fim específico, lícito e útil. Desta forma, anonimizar dados pessoais para apenas mantê-los armazenados, sem qualquer finalidade útil e determinada, não seria, a princípio, válido pela LGPD.
- Como a anonimização leva em consideração o estado da técnica, ela deve ser constantemente reavaliada para verificar se o nível de risco de reidentificação dos titulares permanece aceitável ou não.
- A ANPD recomendou que o processo de anonimização não seja totalmente automatizado, de modo que haja a intervenção de um especialista humano para verificar a eficácia do processo.
Por fim, a ANPD trouxe exemplos de técnicas de anonimização e de pseudonimização, a depender do tipo de dado (i.e., textual estruturado e imagens) – a Autoridade reforçou que se trata de lista exemplificativa:
- Anonimização: supressão, generalização, mascaramento, adição de ruído, permutação, blur (desfocar) e pixelização.
- Pseudonimização: substituição, função hash e encriptação.
A consulta pública estará disponível até 28/02/2024 e pode ser acessada [aqui](link para consulta, apenas em português).