LGPD do Brasil: Anonimização, Pseudonimização e Solicitações de Acesso à Informação

Traduzido por Patrícia Graciano. Read in English here

A Lei Geral de Proteção de Dados (LGPD), é o posicionamento do Brasil à privacidade de dados. Ela  determina as regras que as organizações que lidam com dados pessoais – e que não anonimizam esses dados – devem seguir. Nesse post, analisaremos a anonimização de dados, a pseudonimização e o que isso significa para os processamento de dados. Também discutiremos o rigoroso tempo de resposta da LGPD para solicitações de acesso à informação, suas comparações com o GDPR, e como tecnologias como as da Private AI podem ajudar as organizações a tornar dados anonimizados ou pseudonimizados de forma eficiente e a cumprir as rígidas obrigações de solicitação de acesso à informação.

Entendendo a anonimização sob a LGPD

1. Definição e Escopo : Dados anonimizados são definidos como dados sobre um indivíduo que não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do processamento dos dados. A LGPD também segue tal definição, considerando que não há possibilidade de associação dos dados ao indivíduo – de maneira direta ou indireta. Por fim, a LGPD estabelece que os dados anonimizados não são considerados dados pessoais, exceto quando o processo de anonimização for revertido por meios próprios ou através de esforços plausíveis. Esta definição está um tanto alinhada com o GDPR, onde os dados anonimizados também são considerados fora do âmbito das leis de proteção de dados porque o indivídulo  titular dos dados não é identificável.
2. Uso de Dados Anonimizados : Pela LGPD, uma vez anonimizados, os dados deixam de ser considerados dados pessoais e ficam fora do escopo da lei. Isso significa que as organizações podem usar dados anonimizados livremente, sem aderir às proteções de privacidade e às obrigações de direitos exigidas para dados pessoais. A anonimizaçãooferece um caminho para análises, pesquisas e outras atividades baseadas em dados, ao mesmo tempo que mantém a compliance. A linguagem da lei não é muito rigorosa neste ponto. Por exemplo, coloca que o processamento de dados pessoais só poderá ser realizado em certas circunstâncias, uma das quais seria para realização de estudos por entidades de pesquisa, garantindo, sempre que possível, a anonimização dos dados pessoais. A disposição relativa ao processamento de dados pessoais sensíveis tem uma leitura idêntica.
3. Análise Comparativa com o GDPR : O GDPR e a LGPD compartilham semelhanças em sua abordagem à anonimização. Ambos consideram dados anonimizados como não pessoais, isentando-os das respetivas normas de proteção de dados. Contudo, o GDPR é mais explícito sobre a irreversibilidade da anonimização , colocando um padrão mais elevado para o processo. Um detalhe interessante da LGPD é que ela exclui explicitamente da definição de dados anonimizados quando tais dados são utilizados para formular perfis comportamentais de determinada pessoa física, caso essa pessoa seja identificada. Não está claro o que pode ter motivado esta exclusão, uma vez que é bastante óbvio que a definição de dados anonimizados não se aplicaria neste cenário. Tomemos isso como uma sinalização que enfatiza a sensibilidade dos perfis pessoais.

O papel da pseudonimização

1. Posição da LGPD sobre Pseudonimização : A pseudonimização sob a LGPD envolve o processamento de dados pessoais de tal forma que eles não possam mais ser atribuídos a um indivídup específico sem o uso de informações adicionais, as quais devem ser mantidas separadamente em um ambiente controlado e seguro. Este processo, embora seja uma medida de segurança valiosa, não altera o status dos dados como pessoais sob a LGPD, ao contrário da anonimização.
2. Impacto na Compliance : Dados pseudonimizados ainda exigem adesão à LGPD. Na verdade, é considerada uma medida de segurança recomendada no processamento de dados pessoais para estudos de saúde pública – um âmbito estranhamente restrito para uma técnica tão útil.

A importância da resposta rápida às solicitações de acesso

Se o caso de uso para processamento dos dados não permitir o anonimato, indivíduos  têm o direito de acessar as informações mantidas por organizações regidas pela LGPD. A lei exige um curto tempo de resposta de 15 dias , em comparação com os 30 dias previstos no GDPR, enfatizando a necessidade de sistemas eficientes de gestão de dados. As organizações devem estar preparadas para identificar, acessar e compilar prontamente dados pessoais em resposta à essas solicitações.

A contribuição de Private AI na compliance com a LGPD

1. Facilitando o mapeamento de dados eficiente: A tecnologia da Private AI identifica e categoriza rapidamente mais de 50 entidades de dados pessoais  – imprescindível para cumprir os prazos de solicitação de acesso da LGPD. Especialmente quando se trata de dados não estruturados, como texto livre, o processo pode ser demorado, dependendo da quantidade de dados no sistema da organização.
2. Aprimorando os processos de anonimização: Ao utilizar algoritmos avançados, otimizados para vários tipos de arquivos , a Private AI pode ajudar as organizações a anonimizar dados de maneira eficaz, garantindo que fiquem fora do escopo da LGPD.
3. Apoio ao processamento multilíngue e contextualizado : a capacidade da Private AI de lidar com diversos idiomas e nuances contextuais alinha-se ao escopo territorial incomparável da LGPD, que captura uma grande diversidade linguística. A LGPD aplica-se, diferentemente de qualquer outra lei de privacidade, não apenas ao processamento realizado no Brasil, mas também ao processamento relacionado ao fornecimento de bens ou serviços a indivíduos no Brasil. A LGPD se aplica onde “os dados pessoais em tratamento foram coletados em território nacional” e explica que “são considerados dados coletados em território nacional aqueles cujo indivíduo se encontra em território nacional no momento da coleta”. Em resumo, se uma organização processa dados pessoais relacionados a indivíduos no Brasil, a LGPD se aplica independentemente da origem desses dados. Seria muito útil se a ferramenta usada para detecção e redação de dados pessoais suportasse 52 idiomas !

Conclusão

A LGPD do Brasil dá ênfase significativa ao tratamento adequado de dados pessoais, com muito mais obrigações do que as abordadas aqui. Este artigo destacou que a anonimização oferece uma porta de entrada para que as organizações utilizem dados sem as restrições da LGPD, desde que o processo seja irreversível sob medidas e esforços plausíveis. Além disso, o cronograma mais rigoroso do mundo para responder às solicitações de acesso à informação provavelmente não poderá ser cumprido se for feito manualmente, dada a grande quantidade de dados que muitas empresas processam atualmente. Nesse contexto, a tecnologia da Private AI surge como uma ferramenta indispensável, permitindo que as organizações naveguem esses requisitos complexos de forma eficiente e eficaz, melhorando a privacidade e a segurança dos dados no ecossistema digital do Brasil. Experimente com seus próprios dados usando nossa demonstração na web ou solicite uma chave API aqui.