search

Qual tratamento que dificulta a identificação direta ou indireta de um indivíduo?

1 anos atrás
Comentários: 0
Visualizações: 113

  A anonimização consiste em um processo que tem o objetivo de impossibilitar a identificação do titular dos dados. Numa utilização prática, seria uma alternativa mais segura, por exemplo, para empresas que desejam utilizar dados pessoais para fins com viés mais “estatístico”. São atividades onde não é necessário que se identifique diretamente o titular, mas que algumas informações são relevantes para uma metrificação, análise estatística. Como exemplo: quantas mulheres estavam presentes em determinado evento?; quais são as profissões/áreas de atuação dos inscritos em determinado curso?; qual é a faixa etária média entre os usuários de determinado aplicativo?

Show

  É importante destacar que, para que se categorize de fato ANONIMIZAÇÃO (e não pseudonimização, conforme veremos adiante) é necessário que a desassociação das informações que possam identificar diretamente o indivíduo seja um procedimento irreversível ou, pelo menos, realizado por meios técnicos exclusivamente próprios, que possam ser considerados razoáveis, seguros e suficientemente atualizados no critério espaço temporal, de modo que a sua reversão seja consideravelmente custosa e dificultada em questão de tempo despendido e habilidades técnicas necessárias para realizar o processo de reversão (reidentificação dos titulares).

  De forma geral, a forma mais segura de se realizar a anonimização seria a exclusão dos identificadores diretos (ex.: nome, RG, CPF, passaporte), de forma definitiva e buscando, inclusive, apagar possíveis registros e rastros remanescentes que possam levar à recuperação de tais dados (e, consequentemente, à reidentificação dos titulares).

  Outro artigo da LGPD que não podemos esquecer ao tratarmos de anonimização é o artigo. 12:

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

  Este artigo define que os dados anonimizados não são classificados como dados pessoais perante à LGPD; ou seja, que a Lei Geral de Proteção de Dados não se aplica a tais dados.

  Daqui, também podemos extrair a seguinte informação: caso o processo de anonimização possa ser revertido (ainda que mediante esforços razoáveis), não estamos mais falando de dados anonimizados (e, portanto, não mais falamos da não incidência da LGPD) – a não ser que, no processo de reversão, a empresa utilize exclusivamente meios próprios (estes considerados razoáveis na ocasião do tratamento).

  Por fim, temos os parágrafos que acompanham o art. 12 da LGPD:

  1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e a utilização exclusiva de meios próprios.

  2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

  3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

A LGPD exige anonimização?

  A resposta é não. A lei somente traz a anonimização como uma opção em determinadas circunstâncias, mas não é um procedimento obrigatório para quem deseja tratar dados pessoais.

  Como já pontuamos, o grande atrativo da anonimização é justamente a não incidência da LGPD sobre dados anonimizados. Portanto, caso a sua empresa/cliente não precise identificar diretamente os titulares dos dados, recomende a anonimização! É melhor para os titulares e pode ser melhor para o bolso de quem não quer correr o risco de ser sancionado pela Autoridade Nacional.

Qual a diferença entre esses dois procedimentos e qual sua importância na aplicação da LGPD?

Introdução

Desde que a Lei de Proteção de Dados Pessoais do Brasil (“LGPD”) foi aprovada, em agosto de 2018, diversas dúvidas surgiram a respeito das obrigações legais existentes e da definição de como alguns conceitos deverão ser aplicados quando a lei entrar em vigor. Um dos temas que tem gerado bastante polêmica e, possivelmente, poderá gerar diversas dúvidas são os conceitos relativos à anonimização e pseudonimização.

Anonimização

Afinal, o que é anonimização e o que é pseudonimização? E quais são as vantagens da utilização dessa técnica para o seu negócio?

Primeiramente no tocante à anonimização, a LGPD a define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”[1]. Sua definição é importante uma vez que a LGPD não se aplica à utilização de dados anonimizados, permitindo uma maior liberdade no tratamento dessa categoria de dados. Os dados anonimizados se encontram fora do escopo da LGPD, uma vez que não se associam a uma pessoa natural, não recaindo sobre eles portanto toda a carga regulatória presente na lei.

É importante destacar que o resultado do processo de anonimização é contextual, uma vez que uma técnica utilizada em determinado momento pode, no futuro, tornar-se ineficiente, permitindo que os dados sejam reidentificados e, caso isso ocorra, os dados anonimizados passarão a ser considerados dados pessoais novamente. Assim, a qualidade de uma técnica de anonimização leva em consideração o custo e o tempo necessário para que o processo seja revertido de acordo com as técnicas disponíveis em determinado momento do desenvolvimento tecnológico. Caso o processo seja revertido no futuro os dados tornam-se pessoais novamente, voltando-se a se aplicar as disposições da LGPD.

Atualmente, pode-se citar duas interpretações jurídicas sobre como avaliar se uma técnica de anonimização foi adotada de forma adequada: (i) a primeira, denominada de risk-based approach[2] tradicional (análise baseada no risco), verifica se, apesar da adoção de precauções pelo responsável, houve ou não a reidentificação dos dados[3]; (ii) a segunda, denominada de procedure-based approach (análise baseada nos procedimentos adotados), verifica somente se foram implementados procedimentos adequados com base nos riscos detectados previamente[4].[5]

Essas abordagens tomam como pressuposto que a anonimização absoluta de um dado pode ser difícil ou mesmo impossível em certos casos, assim a adequação deve ser avaliada de forma contextual e por meio do grau de risco existente.

No parecer sobre anonimização desenvolvido pelo Information Commissioner’s Officer (ICO) (Oficial do Comissário de Informação) do Reino Unido é sugerido que se contratem terceiros para testar a qualidade do processo de anonimização por meio testes que busquem reidentifcar os dados[6].

Compartilhamento de dados anonimizados

Outro elemento necessário de ser avaliado envolve casos em que os dados anonimizados serão compartilhados com terceiros. A ICO também sugere que, antes que o compartilhamento seja realizado, as organizações devem avaliar se os dados podem ser reidentificados tanto por ações próprias como também por eventuais ações tomadas por terceiros[7]. Caso esse entendimento seja adotado no Brasil, é possível que a Agência Nacional de Proteção de Dados (ANPD) tenha que dosar o nível de diligência que as organizações deverão adotar ao compartilhar dados anonimizados com outros controladores, ou mesmo ao disponibilizá-los publicamente.

No caso do compartilhamento restrito a determinados controladores, é mais fácil avaliar a capacidade técnica de reidentificação da outra parte, ou mesmo de se limitar tal possibilidade por cláusulas contratuais. Por exemplo, no caso de A compartilhar dados anonimizados com B, mesmo que B busque reidentificar os dados, a LGPD exigirá que os dados tornados novamente pessoais sejam tratados com base em alguma das hipóteses legais (como consentimento, execução do contrato, legítimo interesse do controlador, etc). Assim, o entendimento mais adequado parece ser no sentido de que A não pode ser responsabilizado por eventuais violações de B, quando este reidentificar os dados sem adotar uma hipótese legal que permita o tratamento, desde que A tenha feito a análise de risco de forma diligente e de forma prévia ao compartilhamento dos dados anonimizados.

Dados Públicos

Já no caso de disponibilização pública dos dados anonimizados, a avaliação dos riscos de reidentifcação se torna mais incerta, devido ao grande número de agentes que podem acessar os dados. Caso a ANPD adote uma orientação mais restrita nesse sentido, pode-se gerar como consequência um desestimulo a disponibilização de dados anonimizados para uso público, o que reduz oportunidades de inovação.

Diferença pontual com a GDPR

Outro ponto interessante de se destacar refere-se a uma das exceções criadas pela LGPD, a qual não foi prevista especificamente pela General Data Protection Regulation (“GDPR”), que é legislação europeia de proteção de dados. De acordo com a LGPD, podem ser considerados dados pessoais aqueles utilizados para “formação de perfil comportamental de determinada pessoa natural, se identificada”[8], mesmo que o tratamento tenha partido inicialmente de dados anonimizados.

Pseudonimização

Já o conceito de pseudonimização da LGPD é definido de forma semelhante à GDPR, entretanto, ele somente é citado no artigo 13 da nossa lei, que dispõe sobre a realização de estudos em saúde pública:

Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”

Ao contrário da utilização de dados anonimizados, a qual afasta a aplicação direta das leis de proteção de dados, para os dados pseudonimizados não há previsão legal específica sobre quais vantagens ou isenções o controlador pode obter caso os utilize. Ainda assim, é possível cogitar de determinadas vantagens na sua utilização pelas empresas.

De um ponto de vista da segurança da informação, a pseudonimização contribui para garantir uma maior segurança dos dados, podendo diminuir os danos causados por eventuais vazamentos, se os dados afetados forem somente aqueles não identificáveis, sem o acesso aos dados complementares mantidos em separado. Este cenário pode fazer com que eventuais indenizações sejam reduzidas ou mesmo não aplicáveis, considerando que os dados vazados não sejam capazes de gerar danos ao titular por serem incompreensíveis.

A interpretação da pseudonimização como uma medida de segurança adicional também foi adotada pelo Working Party 29 na Opinion on Anonymisation Techniques (Opinião sobre Técnicas de Anonimização), quando a Data Protection Directive 95/46 estava em vigor[9]. A GDPR também menciona no artigo 25 que a pseudonimização é uma forma de se efetivar o princípio de privacy by design.

Apesar da ausência de dispositivos claros, algumas interpretações da GDPR podem permitir que sejam inferidas outras vantagens no uso da pseudoanonimização. Como a LGPD foi inspirada na GDPR, apesar das diferenças que ambas possuem em diversos pontos, é possível que essas interpretações possam vir a influenciar a prática brasileira. Por exemplo, o artigo 6(4) da GDPR estabelece que na verificação da conformidade de um processamento de dados subsequente (novas finalidades) com as finalidades originais deve-se considerar a adoção de medidas de segurança como a pseudonimização. Esta verificação é necessária pois o tratamento de dados pessoais exige legalmente que as finalidades estejam definidas previamente para o titular, e, caso haja tratamentos subsequentes com finalidades distintas, é necessário verificar se eles estão em conformidade com as finalidades iniciais. Caso contrário, o responsável pelo processamento deve se utilizar de uma das bases legais que o autorizem a tratar os dados.

Assim, o artigo 6(4) pode ser interpretado pelas autoridades europeias, no futuro, como uma forma de incentivar o uso da pseudonimização no tratamento de dados subsequentes.[10] Em outras palavras, a utilização de uma camada de privacidade adicional seria um elemento facilitador do uso subsequente de determinados dados pessoais.

Conclusão

A partir dessas breves explicações fica claro que a LGPD oferece um grande incentivo para o uso de dados anonimizados, apesar de nem todas as formas de tratamento poderem se utilizar de tal categoria de dado. Os responsáveis pelo tratamento que desejarem utilizar dados anonimizados devem buscar técnicas adequadas de anonimização, conforme o tipo de dado em questão, além de avaliar quem serão os agentes com quem os dados serão compartilhados. Ambos elementos são importantes para se avaliar o real risco de re-identificação, e é provável que ANPD os utilize para avaliar o nível de conformidade das empresas.

Em relação ao uso da pseudonimização, ao contrário, não são estabelecidas vantagens jurídicas específicas na LGPD, para além de ela ser considerada uma técnica de aperfeiçoamento da segurança da informação. Entretanto, é possível que interpretações futuras das leis de proteção de dados no Brasil venham a reconhecer novas vantagens de sua adoção do ponto de vista das obrigações regulatórias.

Quais são os principais princípios da LGPD?

Quais são os 10 princípios da LGPD?.
Finalidade. Como já comentamos, a LGPD obriga que as empresas tenham propósitos bem determinados ao tratar dados pessoais. ... .
Adequação. ... .
Necessidade. ... .
Livre acesso. ... .
Qualidade dos dados. ... .
Transparência. ... .
Segurança. ... .
Prevenção..

O que é o tratamento de dados pessoais?

Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da ...

Quem são os agentes de tratamento de dados?

De acordo com a LGPD, o agente de tratamento de dados pessoais denominado como operador é o indivíduo que realiza o tratamento em nome do controlador. Este profissional pode ser uma pessoa natural ou jurídica, pertencente aos setores público ou privado.

O que é o processo de anonimização?

A anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. Essa técnica resulta em dados anonimizados, que não podem ser associados a nenhum indivíduo específico.

qual tratamento dificulta identificação direta ou indireta de um indivíduo LGPD Indefinite indeterminate

Postagens relacionadas

E a pessoa física a quem se referem os dados pessoais que são objetos de tratamento?
E a pessoa física a quem se referem os dados pessoais que são objetos de tratamento?

Qual e o maior rival do Flamengo
Qual e o maior rival do Flamengo

Qual a distribuição eletrônica do átomo Fe Z 26?
Qual a distribuição eletrônica do átomo Fe Z 26?

Qual a importância de um país ao participar do Conselho de Segurança?
Qual a importância de um país ao participar do Conselho de Segurança?

Qual é o signo de Isabela?
Qual é o signo de Isabela?

Qual é a diferença entre perimetro e area
Qual é a diferença entre perimetro e area

Qual é a composição correta dos blocos militares formados antes da Primeira Guerra Mundial?
Qual é a composição correta dos blocos militares formados antes da Primeira Guerra Mundial?

Qual a medida certa de ração para cachorro?
Qual a medida certa de ração para cachorro?

Qual dos seguintes fatores pode afetar a taxa de abertura das suas campanhas de e-mail?
Qual dos seguintes fatores pode afetar a taxa de abertura das suas campanhas de e-mail?

Qual o nome e sigla das entidades a nível mundial e nacional que regulamentam o atletismo?
Qual o nome e sigla das entidades a nível mundial e nacional que regulamentam o atletismo?

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?

If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes

50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls

20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall

Which group would be most likely to oppose government intervention to improve the tenements
Which group would be most likely to oppose government intervention to improve the tenements

What is the name of the process in which one company studies the processes of another firm?
What is the name of the process in which one company studies the processes of another firm?

Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?

Ferrous sulfate life threatening Considerations
Ferrous sulfate life threatening Considerations

How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?

Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?

Publicidade

ÚLTIMAS NOTÍCIAS

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
1 anos atrás . por InflatedHumility
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
1 anos atrás . por TropicalPhrasing
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
1 anos atrás . por DamagedShoplifting
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
1 anos atrás . por IncredibleLitigation
Which group would be most likely to oppose government intervention to improve the tenements
1 anos atrás . por EscapingAdvice
What is the name of the process in which one company studies the processes of another firm?
1 anos atrás . por PerverseSiding
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
1 anos atrás . por SatiricalCrossroads
Ferrous sulfate life threatening Considerations
1 anos atrás . por DarkStandpoint
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
1 anos atrás . por NostalgicTuesday
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
1 anos atrás . por PlanetaryWomanhood

Toplistas

#1
Top 7 remédio para dor de ouvido infantil 6 anos 2022
1 anos atrás
#2
Top 7 folder programa para fazer 2022
1 anos atrás
#3
Top 7 o que é bom para reduzir o colesterol ruim 2022
1 anos atrás
#4
Top 8 o que é cidade local 2022
1 anos atrás
#5
Top 8 distancia entre cidades americanas e canadenses 2022
1 anos atrás
#6
Top 9 o texto apresenta uma relação entre atividade econômica e organização social marcada pelo 2022
1 anos atrás
#7
Top 5 blusas de croche verão 2022
1 anos atrás
#8
Top 6 cha de cordão de frade para que serve 2022
1 anos atrás
#9
Top 8 se a cada hora o planeta percorre 15° de longitude quantos graus ele realiza a cada rotação 2022
1 anos atrás
#10
Top 5 crie um algoritmo que calcule o valor do fatorial de um número fornecido pelo usuário 2022
1 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 comojogaruno Inc.