LGPD e a anonimização de dados pessoais

A lei 13.709/18, conhecida como LGPD, entrou em vigor em 18/09/20 e passou a regular o tratamento de dados pessoais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A atuação legislativa foi necessária, haja vista que os dados constituem fonte inesgotável para prospecção de informações vantajosas às empresas, agregando valor à atividade econômica.

Segundo Mayer-Schönberger e Cukier (2013, p. 7)¹, "[...] quando aumentamos a escala de dados com a qual trabalhamos, ganhamos margem para inovar, o que não era possível quando trabalhávamos com quantidades menores".

De outro lado, tem-se o titular, figurando como pessoa vulnerável em meio ao grande volume de dados constantemente modificados e/ou modificáveis, assim os dados pessoais passam a receber especial proteção jurídica, considerando o potencial lesivo do seu uso indiscriminado.

Assim, o destinatário da proteção legal é a pessoa natural identificada ou identificável. Esta ideia é reforçada e disciplinada no artigo 5º, inciso I, da LGPD, in verbis:

Art. 5º Para os fins desta lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

No que se refere a abrangência do termo "dados pessoais" importante destacar que a LGPD adotou o critério expansionista, conceituado da seguinte forma:

[...] não define apenas como pessoais os dados que, imediatamente, identifiquem uma pessoa natural (viés  do  critério  reducionista), como poderia ser informações como o nome, número do CPF, imagem, etc., mas abarcou também os dados que tornam a pessoa identificável de forma não imediata ou direta (COTS; OLIVEIRA, 2019, p. 71)².

Contudo, nem todos os dados pessoais são alvos da LGPD, o artigo 12 da referida lei exclui do âmbito de incidência do diploma normativo os dados anonimizados, senão vejamos:

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. Destacamos

Em termos simples, dados anonimizados são aqueles dados relativos a determinado titular que não possa ser identificado, levando-se em consideração a utilização de ferramentas técnicas razoáveis e disponíveis por ocasião do tratamento.

É o que disciplina o parágrafo 1º da referida norma:

§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

Destaca-se ainda, que dados anonimizados não podem ser confundidos com dados pseudoanonimizados. Os primeiros não permitem reversão, diferentemente do que ocorre com os pseudoanonimizados, cuja reversão é possível através de técnica que esteja em posse do controlador.

Todavia, frequentemente vê-se a falibilidade dos processos de anonimização. Diante disso, foi estabelecida uma barreira para delimitar o conceito expansionista, a fim de que a transposição de dados pessoais e dados anônimos, através do critério da razoabilidade.

Há autores que afirmam que não basta a mera possibilidade de que um dado seja atrelado a uma pessoa para atrair o termo identificável, todavia, outros discordam dessa aplicação e sustentam que a possibilidade de menção a determinado indivíduo através de um dado, por si só, torna-o identificado e/ou identificável.

Todavia, parte-se da premissa de que tal vinculação deva ser objeto de um esforço razoável. Assim, se para conseguir relacionar um dado a uma pessoa, seja necessário um esforço além do razoável, em tese, não se trata de dados pessoais, sendo considerado anônimo.

Mesmo em caso de eventual reidentificação, a LGPD dispõe que essa reversão deve ocorrer utilizando exclusivamente meios próprios ou esforços razoáveis que, nesse último caso, deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

Assim, visando o cumprimento da lei e mitigação dos efeitos do risco de vazamento de dados, recomenda-se o investimento em técnicas de anonimização que assegurem a irreversibilidade, ou criem maior grau de dificuldade, desincentivando sua reversão.

Isso porque, de acordo com parágrafo terceiro, do artigo 12, da LGPD, estabelece que a Autoridade Nacional de Proteção de Dados (ANPD), poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações de segurança.

Ademais, uma vez que a LGPD foi inspirada legislação europeia, é possível que sejam adotados os critérios contidos no Parecer 5/14, que dispõe sobre técnicas de anonimização³, de 10 de abril de 2014, do Grupo de Trabalho de Proteção de Dados do Artigo 29.

O referido parecer considera, de forma concomitante, três requisitos na análise das técnicas de anonimização: se ainda é possível identificar uma pessoa; se ainda é possível estabelecer a ligação entre registros relativos a uma pessoa natural; e se podem ser inferidas informações relativamente a um indivíduo.

Infere-se do parecer que nenhuma das técnicas acima analisadas atende aos parâmetros de anonimização eficaz (a não identificação de uma pessoa, a impossibilidade de ligação entre os registros referentes a um indivíduo e a não inferência a respeito de um indivíduo).

Diante disso, apesar dos necessários esclarecimentos por parte da ANPD, as empresas precisarão investir em tecnologias que atinjam alto padrão de anonimização, dificultando a reversão do processo.

__________

*Ingrid Luize Bonadiman Arakaki. Advogada no Ernesto Borges Advogados. Mestranda em Direitos Humanos/UFMS.