Tida como uma ferramenta importante para garantia da privacidade e proteção dos titulares, a Lei nº. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”) oferece direitos específicos aos indivíduos, sendo a anonimização um deles. Como destacado nos últimos conteúdos levantados, há mais de 10 direitos que um titular de dados possui e deve conhecer para assegurar que suas informações estão sendo bem tratadas pelo agente de tratamento.
A anonimização nada mais é do que o processo de desvincular um dado de um indivíduo, ou seja, para que ele fique separado de seus titulares e perca seu vínculo com uma pessoa. Um dado anonimizado nasce como dado pessoal e, através de ações específicas do agente, tornam-se ocultos. Ou seja, tornando impossível a identificação de quem aquela informação antes se referia.
A LGPD ainda destaca a existência da pseudo-anonimização definida como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. Portanto, ela se diferencia da anonimização que não permite que nenhuma informação do dono seja visualizada. Enquanto a pseudo-animização está sujeita às regras da LGPD, com um dado completamente anonimizado não está.
Quando é necessário?
Imagine, por exemplo, que uma loja de sapatos queira saber o perfil dos clientes que acessam seu site para fazer compras. Para isso, a loja não precisa saber exatamente quem foi a pessoa que comprou os sapatos, ela pode só querer saber a média de idade, se é homem ou mulher, a cidade de onde a pessoa fez a compra, e outras coisas. Essas informações são genéricas e estatísticas, e a LGPD não regula o uso dessas informações.
É válido pontuar que assim como os titulares possuem este direito ao visualizar que seus dados estão sendo tratados de maneira desnecessária, excessiva ou incorreta, a instituição em questão também pode escolher por anonimizar as informações pessoais.
Em seu artigo a LGPD recomenda que este procedimento aconteça principalmente quando:
- necessário realizar estudos por órgão de pesquisa;
- estudos de saúde pública.
Também pode ser uma tomada de decisão da empresa que visa atuar de maneira estratégica, não precisando eliminar por completo a informação do seu banco de dados por precisar do valor que oferece. É válido pontuar que após o processo de anonimização, o titular não corre mais risco de ter seus dados vazados ou roubados, porque estes já não são mais passíveis de identificá-lo.
Processo de anonimização
Sendo assim, através de “meios técnicos razoáveis” é possível fazer com que seja impossível identificar uma pessoa natural. Algumas das principais técnicas são:
- Encobrimento de caracteres;
- Supressão;
- Generalização;
- Criptografia;
- Adição de ruídos.
Aplicação da lei em empresas de pequeno porte
A LGPD deve ser colocada em prática por instituições privadas e públicas que lidam diretamente com as informações pessoais, o que inclui pequenas empresas, microempresas e MEI (microempreendedor individual).
Não obstante, com a publicação da Resolução CD/ANPD Nº 02 em 2022, houve a definição de determinações para tratamento diferenciado, pensando na desvantagem que estas instituições possuem das demais. O fato não anula a necessidade que estas empresas têm de estar em conformidade, apenas facilita a adaptação dos agentes ao regulamento com prazo e processos diferenciados.
Algumas das principais alterações são:
- Não obrigatoriedade da contratação de encarregado de dados (DPO), mas esta segue sendo uma boa prática;
- Disponibilização de guias e orientações para auxiliar na adequação;
- Contar com uma política simplificada de segurança da informação.
- Prazos diferenciados (dobrados) em comparação com outros agentes.
Transferência internacional
Uma outra temática bastante destacada é a transferência internacional de dados, cuja importância é pontuada anualmente nas agendas regulatórias da ANPD. De acordo com a lei, uma transferência internacional é encarada como uma “passagem de informações pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”. Portanto, quando alguém tem acesso a um dado identificável e está fora do território brasileiro, entende-se que há uma transferência internacional em curso.
Com as informações dispostas nos artigos da LGPD, é possível visualizar as hipóteses em que a transferência internacional é permitida. São elas: :
- para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado;
- com a imposição de cláusulas contratuais específicas;
- cláusulas-padrão contratuais a serem elaboradas pela ANPD;
- normas corporativas globais que ainda serão publicadas;
- com a existência de selos, certificados e códigos de conduta regularmente emitidos.
A autoridade atualmente costuma analisar cada caso e dar permissão em ocasiões em que entende que houve o bom cumprimento, visto que muito do assunto ainda está para ser publicado, como as cláusulas-padrão. É válido pontuar que o tema está em constante debate e a ANPD tem se movimentado para criar um regulamento mais robusto que contenham mais informações do que as pontuadas nos artigos 33 a 35 da LGPD.
Universo LGPD
O “Universo LGPD: guia completo sobre a lei brasileira após 3 anos de vigência” é o novo quadro da Comissão Especial de Proteção e Privacidade de Dados e IA da OAB SP, que oferece conteúdos exclusivos e educacionais, divulgados durante todas as semanas do mês de agosto.
A iniciativa também chega como forma de comemoração aos 5 anos de promulgação e 3 anos de vigência da lei, celebrados em 2023.
A partir de textos, vídeos e imagens, a Comissão passará pelos conceitos mais simplórios (como os apresentados durante o artigo) até os mais complexos e atuais (como a publicação do Regulamento de Dosimetria da ANPD).
Autoras: Ariene Leite e Duda Stocco / Arte: Izabela Alecrim
