Opinião & Análise

Tecnologia

Anonimização: ouro de tolos ou salvaguarda da proteção de dados?

Ainda que o ordenamento brasileiro hoje careça de uma ANPD, boas práticas já devem ser adotadas

Imagem: Pixabay

O combate à pandemia da Covid-19 levou muitos governos a adotarem medidas de rastreamento do vírus a partir do uso de tecnologias como a geolocalização. Quando confrontados por ativistas da privacidade sobre os efeitos perversos desse método de monitoramento, uma resposta comum é que tudo estaria bem, pois esses dados seriam disponibilizados de forma “anonimizada”.

Esse foi o caso do Brasil, quando, em abril, o Governo Federal planejou uma parceria com operadoras telefônicas, que, felizmente não foi para frente.[1]

O uso descompromissado do termo “anonimização” transmite uma falsa sensação de segurança, como se a partir de então, todos os problemas de proteção de dados estivessem resolvidos, garantido o tratamento desses dados da forma que controladores e operadores bem entendessem.

De fato, regulações de proteção de dados retiram os dados anonimizados de seu escopo normativo, como o faz a Lei Geral de Proteção de Dados (LGPD), por meio de seu art. 12. Se não for possível reverter o processo de anonimização, esses dados não serão considerados dados pessoais e as demais obrigações da LGPD não mais se aplicarão. Contudo, como veremos a seguir, diversos autores têm apontado pela extrema dificuldade de se obter uma anonimização absoluta.

Paul Ohm, professor da Georgetown Law School, afirmou ainda em 2010 que a anonimização não passava de um “ouro dos tolos”, pois seria praticamente impossível alcançá-la, e ainda que o fosse, esvaziaria toda a utilidade da análise dos dados.[2]

Isto porque, para garantir que um dado seja anonimizado de forma irreversível, devem ser eliminadas todas as possibilidades de se re-identificar alguém, o que envolve não apenas o mascaramento ou remoção de identificadores diretos (i.e. dados que identificam unicamente uma pessoa, como o nome, RG e CPF), como também impossibilitar o enlaçamento de quasi-identificadores, atributos de uma pessoa natural que podem ser co-relacionados para identifica-la, como idade, endereço e cor de pele.

Não bastasse o desafio, o resultado final seria um dado de pouca e nenhuma utilidade, já que muitas operações de tratamento dependem da manipulação de dados identificáveis, ou seja, dados pessoais.

Embora existam esforços para a implementação de operações de tratamento sobre dados anonimizados, como a encriptação homomórfica ou o modelo de aprendizagem federado do Google,[3] são métodos ainda em fase de desenvolvimento e que exigiriam recursos avançados dificilmente disponíveis para o operador de dados convencional.

Outro problema da anonimização é que, da mesma forma que acontece em outros conceitos interdisciplinares, o termo sofre de um problema de comunicação entre profissionais da tecnologia da informação (TI) e do direito.

Um analista de TI sem amadurecimento em privacidade da informação pode pensar que, para se garantir que um dado seja anonimizado, basta utilizar técnicas criptográficas e substituir os identificadores diretos por pseudônimos ou valores aleatórios.

Contudo, do ponto de vista jurídico, esta medida de de-identificação garante apenas a pseudonimização dos dados, que ainda é um dado pessoal. Para a LGPD, a pseudonimização é o “tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (art. 12, § 4º). A anonimização envolveria esforços adicionais, que incluiria, entre outras medidas, a eliminação dos dados pessoais originais.

No contexto europeu, a pesquisadora do Instituto Max Planck, dra. Michèle Finck, criticou a interpretação extremista dada ao conceito jurídico pelo órgão predecessor do Comitê Europeu de Proteção de Dados, o qual afirmava que a anonimização só seria possível se nenhum risco de identificação persistir. Finck afirma que tal proeza seria de fato impossível, uma vez que um risco residual sempre existirá.[4]

Buscando alcançar um equilíbrio entre a proteção do dado e a sua utilidade, Rubinstein e Hartzog defenderam que uma abordagem de riscos deve ser tomada, de modo que medidas sejam realizadas para garantir a mitigação dos riscos a um valor mínimo.[5]

As medidas necessárias são tanto de ordem técnica (ex. encriptação, mascaramento, supressão), quanto organizacionais (ex. controle de acesso, políticas de privacidade, regras para compartilhamento com terceiros). Essa abordagem vai ao encontro do termo “Privacy by Design”, cunhado por Ann Cavoukian em 2006, e ainda de fundamental importância nas regulações de proteção de dados. No caso da LGPD, vemos o conceito refletido no art. 46.

Ao que parece, a LGPD levou em consideração a abordagem por riscos defendido por Rubinstein e Hartzog, pois, ao definir dado anonimizado, no art. 5º, III, estabeleceu que o conceito deve levar em consideração a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Logo, o processo de anonimização deve passar por um filtro de razoabilidade, que se relaciona com a disponibilidade das tecnologias de privacidade de informação e o contexto de tratamento de dados.

Quanto a este último, os autores listam sete fatores de riscos relacionados aos dados: (i) volume; (ii) sensibilidade; (iii) recipientes; (iv) finalidades de uso; (v) técnicas de tratamento; (vi) controle de acesso; e (vii) consentimento e expectativas do titular de dados. Todos estes fatores deverão ser levados em consideração para se determinar as medidas a serem adotadas e o risco residual.

Os autores recomendam ainda a adoção de padrões internacionais de segurança e privacidade da informação. Embora hoje nenhum regulamento de proteção de dados tenha reconhecido oficialmente um modelo de certificação, a indústria tem apontado para as séries ISO 27001 e 27701 como boas práticas.

Por fim, cabe destacar que uma boa maneira de identificar se o risco residual após o processo de anonimização é adequado seria pela elaboração de um Relatório de Impacto de Proteção de Dados (RIPD).

Este documento apresenta todas as medidas adotadas para o tratamento de dados, o que pode incluir o uso de anonimização. Assim, o responsável pelo tratamento seria capaz de demonstrar que os princípios da LGPD foram respeitados, entre eles o da transparência.

Em contextos de uso massivos de dados, como no caso de rastreamento por geolocalização, a elaboração de um RIPD se torna condição necessária para que a atividade seja realizada. Ainda que o ordenamento brasileiro hoje careça de uma Autoridade Nacional de Proteção de Dados, boas práticas já devem ser adotadas, garantindo segurança e privacidade aos cidadãos brasileiros.


[1] KAFRUNI, S., ‘Coronavírus: Bolsonaro Veta Geolocalização Da População Por Celular’ (Estado de Minas, 2020) Disponível em: <https://www.em.com.br/app/noticia/economia/2020/04/13/internas_economia,1138222/coronavirus-bolsonaro-veta-geolocalizacao-da-populacao-por-celular.shtml>. Acesso em 21 de julho de 2020.

[2] Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA L.

REV. 1701, 1717–18 (2010) Disponível em: <https://www.uclalawreview.org/pdf/57-6-3.pdf>. Acesso em 21 de julho de 2020.

[3] McMahan B, and Ramage D, ‘Federated Learning: Collaborative Machine Learning Without Centralized Training Data’ (Google AI Blog, 2017) Disponível em: <https://ai.googleblog.com/2017/04/federated-learning-collaborative.html>. Acesso em 21 de julho de 2020.

[4] Finck M, and Pallas F, ‘They Who Must Not Be Identified – Distinguishing Personal From Non-Personal Data Under The GDPR’ [2020] International Data Privacy Law, Volume 10, Issue 1, February 2020, Disponível em: <https://academic.oup.com/idpl/article/10/1/11/5802594>. Acesso em 21 de julho de 2020.

[5] Rubinstein I, and Hartzog W, ‘Anonymization And Risk’ [2015] New York University School of Law – Public Law & Legal Theory Research Paper Series. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2646185>. Acesso em 21 de julho de 2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito