Boletim Classificador

Acesse

Boletim Eletrônico

Cadastre-se
Busca

Artigo – Anonimização na Lei Geral de Proteção de Dados requer posição da ANPD – Por Pedro Silveira Campos Soares

Publicado em: 11/03/2019
A Lei 13.709, de 14/8/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), disciplina a proteção de dados pessoais, entendidos como aqueles que identifiquem pessoas naturais ou, ao menos, permitam a sua identificação[1].

Dados que não permitam tal identificação, tais como os dados anonimizados, não se sujeitam à proteção da LGPD[2].

A prática demonstra que a linha divisória entre dados pessoais e dados anonimizados é bastante tênue. De fato, há técnicas de tratamento de dados que, em regra, não necessitam da precisa identificação da pessoa natural relacionada aos dados tratados. Uma delas, o data-profiling, visa segregar pessoas naturais em determinadas categorias, sem que seja necessário identificá-las precisamente para obter informações comercialmente valiosas[3].

A sua aplicação permite identificar grupos de indivíduos que se exercitam continuamente, aos quais seriam dirigidas propagandas relacionadas a produtos saudáveis, ou identificar bons pagadores para oferecimento de melhores taxas ou produtos financeiros diferenciados, ou, ainda, selecionar jovens bacharéis em Direito para lhes direcionar propagandas de cursos ou livros. Nesses casos, informações como nome, sobrenome e CPF seriam irrelevantes, criando a falsa impressão de que, de fato, a anonimização estaria assegurada.

No entanto, a partir de analogias e comparações feitas por algorítimos complexos, é possível inferir a quem determinado dado anonimizado se refere, em um processo chamado reversão. Tome-se o exemplo de uma conhecida provedora de serviços de streaming, que, com intuito de melhorar seus algorítimos de seleção de filmes, disponibilizou as avaliações publicadas na plataforma, durante certo período de tempo. Para evitar a identificação dos avaliadores, a provedora se utilizou de técnicas de anonimização[4], alterando determinados dados constantes de seu banco, tais como datas de avaliação e notas. Para testar o processo de anonimização, pesquisadores buscaram correlacionar os dados disponibilizados pela provedora de serviços com outros dados publicados em um conhecido website de avaliações de filmes e séries. Com base nesse cotejo, feito automaticamente por algoritmos, foi possível identificar os avaliadores dos filmes, revertendo, assim, a anonimização[5].

A LGPD não se descuidou dessa possibilidade, estabelecendo que não são anonimizados os dados cuja anonimização puder ser revertida, com esforços razoáveis e por meios próprios. Cabe indagar, no exemplo acima, se a conduta dos pesquisadores que reverteram a anonimização representaria um “esforço razoável” e se o seu trabalho teria sido executado por “meios próprios”.

Essa dúvida não se encontra resolvida no Direito brasileiro, que ainda não traçou os limites da anonimização. Vale buscar subsídios na experiência europeia derivada da aplicação de sua legislação sobre proteção de dados, que serviu de inspiração para a LGPD. No âmbito europeu, a questão foi esclarecida por um órgão técnico consultivo sobre privacidade, no Parecer 05/2014 sobre Técnicas de Anonimização, segundo o qual não são considerados anônimos os dados que permitam a individualização da pessoa (singling-out); permitam estabelecer vínculos com outros dados que, por sua vez, possibilitem a identificação da pessoa (linkability); ou possuam elementos que permitam inferir dados pessoais (inference)[6].

No Brasil, espera-se que a recém-criada Autoridade Nacional de Proteção de Dados, no exercício de sua competência de editar normas sobre privacidade e proteção de dados, manifeste-se prontamente, considerando a sensibilidade da questão[7].

Enquanto tal esclarecimento não vier, os agentes de tratamento de dados deverão desenvolver políticas robustas de controle de anonimização, com o apoio dos respectivos encarregados de proteção de dados e de profissionais com conhecimento técnico, jurídico e regulatório, de sorte a mitigar os riscos de eventual descumprimento da LGPD, causando prejuízos aos cidadãos e riscos de elevadas multas.


[1] LGPD, artigo 5º, I.
[2] Idem, artigo 12.
[3] Cf. o comentário de Valéria Reani sobre o assunto em https://www.conjur.com.br/2018-jun-15/valeria-reani-gdpr-compliancede-medidas-protetivas.
[4] No caso, a técnica utilizada foi a randomização.
[5] Cf. o relato de Bruno Bioni sobre o caso, in BIONI, Bruno. Xeque-Mate: O Tripé da Proteção de Dados Pessoais no Jogo de Xadrez das Iniciativas Legislativas no Brasil, 2015, p. 27, disponível em http://gomaoficina.com/wp-content/uploads/2016/07/XEQUE_MATE_INTERATIVO.pdf.
[6] Opinion n. 05/14 of the Data Protection Working Party, p. 10, disponível em https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
[7] LGPD, art. 55-J, II.

Pedro Silveira Campos Soares é sócio do Grebler Advogados, LLM pela Duke University School of Law e especialista em arbitragem, contratos internacionais e Direito Digital.
 

Fonte: ConJur
Deixe seu comentário
 
 
729042

Código de Conduta da Arpen-SP


  1. O site da Arpen-SP incentiva o debate responsável. Está aberta a todo tipo de opinião. Mas não aceita ofensas.
    Serão deletados comentários contendo:
    • - Insulto
    • - Difamação
    • - Manifestações de ódio e preconceito
  2. É um espaço para a troca de idéias, e todo leitor deve se sentir à vontade para expressar a sua.
    Não serão tolerados:
    • - Ataques pessoais
    • - Ameaças
    • - Exposição da privacidade alheia
    • - Perseguições (cyber-bullying) e qualquer outro tipo de constrangimento
  3. Por questões de segurança, não serão aceitos comentários contendo comandos, tags ou hiperlinks.
    Se desejar indicar algum site, digite o endereço textualmente.
    Por exemplo: http://www.arpensp.org.br
  4. Incentivamos o leitor a tomar responsabilidade pelo teor de seus comentários e pelo impacto por ele causado: informações equivocadas devem ser corrigidas, e mal entendidos, desfeitos.
  5. O site defende discussões transparentes. Não se dispõem a servir de plataforma de propaganda ou proselitismo, de qualquer natureza.
  6. Dos leitores, não se cobra que concordem, mas que respeitem e admitam divergências, que acreditamos próprias de qualquer debate de idéias.
  7. Ao critério da administração do site, serão bloqueados participantes que não respeitarem este conjunto de regras.

Associação dos Registradores de Pessoas Naturais do Estado de São Paulo
Praça João Mendes, 52 - conj. 1102 - 11º andar - Centro - São Paulo - SP - CEP 01501-000
Fone: (55 11) 3293-1535 - Fax: (55 11) 3293-1539

Nº de Visitas: 133.734.437
Copyright © Assessoria de Comunicação da Arpen-SP

Retificação ou Suprimento ou Restauração de Registro Civil - Retificação de Nome - Andre Francisco Tavares Castilho - - Domingos Vilson Castilho -

LEIA MAIS