A LGPD recomenda a Anonimização e/ou Pseudonimização dos dados pessoais sempre que possível. Inclusive, nestes casos estes dados não serão mais considerados dados pessoais.
O que é um dado Anonimizado?
É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
O que é Pseudonimização?
É o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Sendo assim:
- O dado pessoal que passa por um processo de anonimização não é considerado dado pessoal, pois perde o potencial de tornar seu titular identificado, até mesmo pelo controlador.
- Diante da gama de tecnologias disponíveis e do avanço tecnológico exponencial, é possível afirmar que a utilização de novas tecnologias e o cruzamento de bases de dados eventualmente poderia reverter o caráter pessoal do dado anteriormente anonimizado.
- Neste sentido, a LGPD considera válida a anonimização que demanda custos e prazos além dos considerados razoáveis para sua reversão ao tempo do tratamento.
- No que se refere a perfis comportamentais, estes poderão ser considerados dados pessoais, sempre que possível a identificação do titular. Neste caso deverão receber o tratamento atribuído aos dados pessoais comuns e sensíveis.
Apesar de dados Anonimizados não serem considerados dados pessoais pela LGPD e no caso de Pseudonimização requerem informação extra para identificação do titular, na verdade, eles não podem ser considerados como exceções da lei, mas sim como informações que podem ser manejadas com mais liberdade desde que mantenham a privacidade dos titulares da informação, tornando mais seguras as operações de tratamento.
Em outras palavras: bases de dados anonimizados ou que passaram por um processo de pseudonimização não são imunes a consultas com cruzamento de informações e identificação de padrões, ou que adotam engenharias sociais distintas e informações externas.
Significa dizer que só esta ação não basta, e que as empresas continuam responsáveis nos casos de incidentes como vazamentos de dados, uso não autorizado, mas também nos casos em que houver reversão de dados anonimizados, pseudonimizados, encriptados, quaisquer que sejam, ainda que a LGPD não considere alguns deles como dados pessoais.
Os dados anonimizados são essenciais para o crescimento da inteligência artificial, da internet das coisas, do aprendizado das máquinas, das cidades Inteligentes, da análise de comportamentos, entre outros.
Sempre que possível, realize a anonimização e pseudonimização dos dados pessoais em conformidade com a LGPD, pois isso aperfeiçoa a segurança da informação na organização e gera, assim, mais confiança em seus serviços. Porém não relaxe na adoção de medidas técnicas e organizacionais para proteção dos seus dados, mesmo os anonimizados.
