A partir da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), os chamados dados anonimizados ganharam muita importância. Como o próprio nome sugere, trata-se de dados pessoais desvinculados dos seus titulares, ou seja, as pessoas não podem ser identificadas a partir dessas informações.
Isso dá mais segurança e privacidade aos registros, ajudando as empresas a cumprirem o que preconiza a lei sem ter que abrir mão dos benefícios que esses dados podem trazer nas suas rotinas. Vale destacar que, uma vez que os dados foram anonimizados, a LGPD deixa de se aplicar a eles.
A seguir, vamos nos aprofundar nesse conceito e as etapas para garantir a anonimização de dados. Acompanhe!
O que são dados anonimizados?
Quando falamos em dados anonimizados precisamos, primeiramente, entender o que são dados pessoais. De acordo com a Lei Geral de Proteção de Dados, serão consideradas pessoais quaisquer informações que permitam a identificação de um indivíduo.
Isso inclui nome, CPF, idade, profissão, endereço, e-mail, imagens e até mesmo fragmentos de dados que, juntos, podem facilitar o reconhecimento de uma pessoa.
Sendo assim, dados anonimizados são aqueles que, após tratamento, deixam de ser pessoais e não possibilita relacioná-los, direta ou indiretamente, a um indivíduo específico. E esse processo deve ser irreversível.
É por isso que, após a anonimização, essas informações deixam de estar sob a LGPD. Afinal, a lei trata da segurança e privacidade de dados pessoais.
Importante destacar que a legislação não define de que forma os dados podem ser anonimizados. Nesse caso, cabe à Autoridade Nacional de Proteção de Dados (ANPD) dispor sobre o tema.
Em que casos os dados precisam ser anonimizados?
A lei indica dois casos em que a anonimização é necessária: estudos feitos por institutos de pesquisa e estudos relacionados à saúde pública.
A LGPD acrescenta ainda que, uma vez que tenham cumprido seu objetivo, os dados pessoais precisam ser eliminados. Em alguns poucos casos, eles poderão ser mantidos, mas apenas se o anonimato for garantido e o acesso por terceiros, vedado.
Vale notar que, embora a legislação não estabeleça que os dados sejam anonimizados na maioria dos casos, esse processo pode ser muito interessante para as empresas. Como a LGPD não se aplica a eles, evita-se o risco de punições, mantendo os benefícios de contar com esse tipo de informação no seu database.
Diferença entre anonimização e pseudonimização
Outro conceito importante neste contexto é o de dados pseunonimizados. Como comentamos, anonimização é um processo que deve impossibilitar por completo que uma pessoa seja identificada a partir de uma informação. Para que seja considerado anonimizado, esse processo precisa ser irreversível.
A Lei Geral de Proteção de Dados, porém, traz o conceito de pseudonimização, quando trata dos estudos em saúde pública.Trata-se de um processo semelhante, em que as informações só podem ser associadas a uma pessoa com o uso de algum dado adicional que seja mantido separado dos demais, de forma segura e controlada.
Ou seja, a empresa guarda um pedaço de informação que funciona como uma chave, permitindo a identificação do titular. A pseudonimização é utilizada para reduzir riscos. Porém, como não é um tratamento irreversível, esses dados continuam dentro do campo de abrangência da LGPD.
Leia mais: LGPD na prospecção: saiba como ela pode afetar suas vendas
Como tratar dados anonimizados?
Mesmo que não seja uma exigência da LGPD, dados anonimizados podem trazer benefícios interessantes para a empresa. O principal deles é justamente o fato de não entrarem no escopo da lei. Assim, como vimos, evita-se o risco de punições em função do descumprimento.
Especialmente para organizações que utilizam os dados coletados para fins estatísticos,a anonimização é uma excelente forma de mantê-los para uso posterior sem a ameaça de desrespeito à legislação.
Importante notar que nem sempre será possível manter os dados anônimos, uma vez que a LGPD estabelece os casos em que há ou não a necessidade de identificação dos titulares das informações.
Dito isso, como fazer o tratamento para anonimização dos dados? Existem três métodos principais:
Encobrimento de caracteres
Este é um processo bem simples: consiste na substituição de caracteres de algum dado por símbolos como a letra X ou asteriscos. Isso é feito quando alguma parte da informação é relevante e precisa ser mantida. Assim, omite-se o restante para possibilitar a identificação do titular
Por exemplo: um número de telefone pode ser registrado como (48) xxxx-xxxx. Nesse caso, o código de área é uma informação útil para a empresa (principalmente quando falamos de fins estatísticos); o restante foi encoberto de forma a não deixar qualquer traço do dado original.
Generalização
Este modelo para anonimização de dados trata da substituição das informações por categorias genéricas.
Por exemplo: em vez de a empresa manter a idade exata de diferentes pessoas, ela as agrupa por faixa etária. Outro caso é o CEP; no lugar de armazenar um dado tão específico, substitui-se pela região do país ou cidade.
Supressão de dados
Como o nome indica, refere-se à remoção de dados que podem ser identificados do database. Um exemplo é a exclusão dos números de telefone ou dos nomes das pessoas.
Como o seu negócio lida com a Lei Geral de Proteção de Dados? Ela trabalha com dados anonimizados? Acesse LGPD na prática: Guia para auxiliar a sua empresa à nova lei e veja tudo o que você precisa saber sobre o assunto!