Anonimização de dados pessoais: entre a proteção e a ilusão do compliance

Apesar de ainda haver dúvidas sobre a data em que a Lei Geral de Proteção de Dados (LGPD) vai efetivamente entrar em vigor, o mercado já está se preparando para cumprir essa lei, utilizando a conformidade com a LGPD como uma forma de destaque frente à concorrência. Entre diversas adequações que devem ser efetivadas por empresas, um porto seguro para muitos modelos de negócio é o artigo 12 da LGPD, que afirma que dados anonimizados não serão considerados dados pessoais e, portanto, essas informações anônimas estariam fora do escopo de aplicação da LGPD. O ponto que gostaríamos de debater é até que ponto isso pode ser considerado um porto seguro, sem cair-se no canto da sereia. Neste artigo, vamos explorar a questão da anonimização dos dados e os cuidados e riscos que devem ser considerados por controladores quando se opta por tratar juridicamente um dado como anônimo, retirando-o do escopo da proteção da LGPD.

A título de ilustração, vamos supor que uma empresa guarde bases de dados de telefones de clientes. Inicialmente, podemos falar que o número de telefone é um dado anônimo? Muito provavelmente não, uma vez que seria razoável pensar que ao associar esse número a outras bases de dados acessíveis (como por exemplo a base disponibilizada por operadores de linha telefônica), é possível chegar ao titular da linha. Da mesma forma, vamos supor que a empresa armazene apenas os quatro últimos dígitos do telefone do cliente, associados com seu histórico de atendimento. Semelhante ao que acontece no primeiro exemplo, esses dados também serão pseudonimizados se ainda assim for possível que essa operação de tratamento de dados seja revertida, isso é, se o histórico do cliente fornecer elementos que tornem possível identificá-lo. Agora, vamos supor que a empresa resolva armazenar as informações da seguinte forma: I) não há armazenamento de qualquer informação relacionada a um cliente; II) numa base de dados própria, a empresa armazena os quatro primeiros dígitos de telefones e apaga, de forma permanente, os quatro últimos dígitos. Nesse exemplo, uma vez que não é possível associar os quatro dígitos armazenados com outras informações pessoais, muito provavelmente o processo de tratamento aos quais os dados pessoais foram submetidos não pode ser revertido. Portanto, existe uma grande chance de estarmos diante de dados anônimos e não mais pseudonimizados.

Diante desse cenário, é comum que surjam algumas indagações por parte de controladores. Por exemplo, é possível que quaisquer dados sejam anonimizados? E o que deve ser levado em consideração na avaliação de um processo de anonimização?

Esses questionamentos, apesar de muito pertinentes, não encontram respostas na LGPD, a qual não traz indicativos de quais requisitos e fatores devem ser considerados quando da avaliação sobre se um dado é efetivamente anônimo ou não. Em relação à anonimização e a dados anônimos, a lei restringe-se a indicar que a anonimização é "a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". Ainda, indica que os dados anonimizados não serão considerados dados pessoais, exceto quando o processo de anonimização ao qual foram submetidos puder ser revertido, utilizando exclusivamente meios próprios ou com esforços razoáveis. A determinação do que é razoável deverá levar em consideração fatores objetivos, como custo e tempo necessários para reverter a anonimização, de acordo com as tecnologias disponíveis à época e a utilização exclusiva de meios próprios. Finalmente, fica estabelecido que a Autoridade Nacional poderá dispor sobre padrões e técnicas utilizadas em processos de anonimização.

Até que haja um pronunciamento da Autoridade Nacional sobre quais padrões e técnicas poderão ser utilizados em processos de anonimização, é possível buscar informações no Direito comparado para entender melhor que fatores usualmente são considerados quando da avaliação sobre uma técnica de anonimização. Na União Europeia, algumas autoridades nacionais já se manifestam há tempos sobre questões relacionadas à anonimização [1].

Em primeiro lugar, é comum que se indague se é possível anonimizar qualquer dado pessoal. A resposta é que sim, mas que a legislação de proteção de dados deve ser sempre observada quando da operação de anonimização, uma vez que anonimizar é uma forma de tratamento de dado pessoal. Dessa forma, para que seja operado um processo de anonimização, o controlador deve ter base legal e observar todos os princípios legais. Por exemplo, caso um operador de dados deva apenas obedecer às instruções do controlador para armazenar dados e resolva ir além, agregando informações e anonimizando-as, deverá ter uma base legal para proceder com essa operação de tratamento.

Agora, só porque um dado pode em teoria ser anominizado, isso não significa que a circunstância específica em volta do tratamento pretendido permite a anonimização. Por exemplo, vamos pensar em uma plataforma de armazenamento de documentos oficiais (como processos, notas fiscais, certidões, entre outros). Na extensão em que tal ato implique na adulteração de tais documentos ou eliminação de dados de guarda obrigatória de um controlador, muito provavelmente a operação de anonimização de dados não poderá ser realizada.

Nesse aspecto, é importante mencionar que, ao operar um processo de anonimização e manter a base de dados com todas as informações originais, o controlador não está anonimizando os dados em questão, mas meramente adotando uma técnica de pseudonomização. Isso porque, ao manter a base de dados original em sua posse, o controlador pode, a qualquer momento, reverter o processo de anonimização e restaurar o caráter identificável dos dados.

Indo adiante, passa-se à avaliação sobre o "grau de anonimização" efetivo que uma informação deve ter para que seja considerada anônima. É de conhecimento público que tecnologias de informação estão em constante evolução e há bases de dados agregados cada vez maiores disponíveis ou de fácil acesso ao público. Diante desse cenário, parece inviável que um controlador realize um processo que garanta a anonimização completa de informações, impossibilitando, de forma absoluta, a reversão do dado à sua forma pessoal. A autoridade de proteção de dados do Reino Unido se manifestou em 2018 no sentido de que não é necessário que o controlador apresente uma prova absoluta de que em nenhuma hipótese a anonimização poderá ser revertida [2]. Caberá ao controlador, no entanto, provar que realizou uma análise criteriosa dos riscos, mitigou-os na máxima extensão possível e ainda assim considerou a chance de reversão como remota. Nesse aspecto, cabe lembrar que ao controlador caberá a observação do princípio da prestação de contas.

O Working Party 29 — antigo órgão responsável por questões de proteção de dados na Europa — indicou que é preciso que o controlador dê atenção ao contexto no qual o processo de anonimização é efetuado, devendo considerar todos os meios que possam "provavelmente" e "razoavelmente" ser utilizados, tanto pelo próprio controlador como por terceiros, para reverter o processo de anonimização, devendo atentar-se especialmente o estado da técnica quando da realização do processos de anonimização. O critério para identificação do que é "provável" e "razoável" leva em consideração o know-how e os custos envolvidos com a reversão, com base no atual estado da técnica. Daí já se tira uma conclusão importante: essa análise precisa ser repetida periodicamente, uma vez que deve acompanhar a evolução dos dados e tecnologia disponível.

Finalmente, também é importante destacar que há três fatores usualmente empregados para verificação se um dado é efetivamente anônimo: Deve-se avaliar se I) é possível de isolar um indivíduo com base nas informações fornecidas (critério da individualização); II) é possível relacionar dados distintos com um mesmo indivíduo (critério da correlação); e III) é possível deduzir, de forma quase certeira, novas informações sobre um indivíduo com base nos dados fornecidos (critério da inferência) [3]. Se a resposta para quaisquer dessas perguntas for afirmativa, deve ser entendido que o dado em questão não foi adequadamente anonimizado.

Em conclusão, apesar da anonimização de dados ser uma estratégia amplamente utilizada por empresas para garantir o compliance com a LGPD, é necessária atenção na hora de sua utilização. Para apoiar-se na anonimização caberá às empresas realizar estudos cuidadosos e periódicos que a tornem apta a afirmar que cumprem com todos os requisitos indicados acima, o que pode ser demorado e custoso. Se houver qualquer dúvida razoável sobre o assunto ou ausência de recursos para cumprir com esse tipo de análise, a atitude prudente é tratar os dados como pseudomizados e não se furtar à aplicação da LGPD. A anonimização remove um dado do escopo da lei, logo, ao apoiar-se nessa técnica de forma incorreta, empresas podem incorrer em penalidades e riscos reputacionais altos e não calculados. 

[1] ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 05/2014 on Anonymisation Techniques, adopted on 10 April 2014. Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf. Acessado  em 10 de julho de 2020.

[2] Information Commissioner’s Office. Anonymisation: managing data protection risk code of practice. Disponível em: https://ico.org.uk/media/1061/anonymisation-code.pdf. Acessado em 10 de julho de 2020.

[3] Commission Nationale de l’Informatique et des Libertés. L’anonymisation de données personelles. Disponível em: https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles. Acessado em 10 de julho de 2020.