ANPD abre consultas sobre anonimização, pseudonimização e direitos dos titulares de dados

Consulta pública sobre anonimização e pseudonimização

A Autoridade Nacional de Proteção de Dados (ANPD) abriu, em 30 de janeiro de 2024, consulta sobre a minuta do Guia de Anonimização e Pseudonimização para a Proteção de Dados Pessoais, com estudos técnico e de caso para contribuição da sociedade civil e especialistas.

A Lei n° 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), apresenta conceitos relacionados aos processos de anonimização e pseudonimização dos dados pessoais. Contudo, a regulação sobre padrões e técnicas aplicáveis cabe à ANPD, que incluiu em sua Agenda Regulatória para o biênio 2023-2024 a publicação de documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstas na LGPD.

Confira, abaixo, os principais aspectos abordados pelos materiais publicados pela ANPD:

Conceitos e noções iniciais

A minuta de guia e os estudos apresentados consolidam conceitos basilares sobre o tema, sendo alguns extraídos da LGPD (por exemplo, o de dado anonimizado) e outros apresentados pela primeira vez, tais como:

• Dados anonimizados: são dados que estavam inicialmente vinculados a uma pessoa natural, mas, em virtude do emprego de meios técnicos razoáveis e disponíveis na ocasião do tratamento, foram dissociados de uma pessoa natural. Um dos documentos diferencia dados anonimizados de dados anônimos, que é definido como dados que, desde sua origem, não se relacionam a uma pessoa natural;
• Dado auxiliar: é o identificador adicional empregado para vincular um dado pessoal, que passou por um processo de pseudonimização, e que é capaz de permitir a reidentificação da pessoa natural;
• Identificador direto: é o dado que, por si só, permite identificar unicamente uma pessoa natural. Exemplos incluem o nome completo e o CPF;
• Identificador indireto: ou “quase-identificadores”, é o dado que, isoladamente, não tem a capacidade de identificar uma pessoa natural, mas pode ser agregado ou vinculado a dados auxiliares para essa finalidade. Exemplos incluem o CEP, nacionalidade, idade, raça, características fenotípicas e endereço de IP;
• Métrica base: Valor definido para mensurar o risco de reidentificação calculado unicamente com base no próprio conjunto de dados, como a Equivalência de Classe;
• Métrica contextual: Métrica derivada de uma métrica base, com a incorporação de elementos particulares;
• Reidentificação: é o processo de tentar discernir os identificadores que foram removidos dos dados desidentificados, inclusive, a partir de técnicas de anonimização de dados.

A ANPD indica que a distinção entre dados anonimizados e pseudonimizados se encontra na possibilidade de reversibilidade do processo e do reestabelecimento da associação do dado com a identidade original do titular dos dados, a depender dos meios técnicos utilizados, circunstâncias e contexto da atividade de tratamento.

Na pseudonimização, o controlador mantém informações adicionais separadamente em um ambiente controlado e seguro para reestabelecer a ligação entre os dados pseudonimizados e a identidade do titular de dados a qualquer momento. A anonimização, por outro lado, remove todos e quaisquer identificadores de modo que os dados deixam de ser considerados dados pessoais para qualquer entidade, inclusive para o controlador dos dados, bem como se tornam insuscetíveis de reidentificação por qualquer meio existente naquele momento e estado da arte.

Pontos relevantes apresentados pela ANPD

• Anonimização como tratamento em si: a anonimização deve ser vista como um processo que contém diferentes etapas, sendo o ato inicial uma operação de tratamento de dados pessoais. Portanto, regras e princípios previstos na LGPD devem ser observados nesse processo;
• Necessidade de legitimidade do tratamento: a anonimização não é capaz, por si só, de legitimar posteriormente uma atividade de tratamento originalmente ilícita por ausência de indicação de base legal. A adoção do processo de anonimização deve pressupor um tratamento lícito de dados e deve ocorrer após uma avaliação denecessidade pelo agente de tratamento de dados, observando os princípios da LGPD, especialmente finalidade, adequação e necessidade dos dados;
• Dever de informação e adequação: considerando que a anonimização configura uma atividade de tratamento de dados pessoais nos termos da minuta do guia, o controlador deve informar que uma das finalidades da coleta dos dados pessoais é a futura anonimização, em linha com o princípio da transparência. Caso isso não seja realizado, o tratamento deverá ser compatível com a finalidade inicialmente informada aos titulares dos dados;
• Risco de reidentificação: a ANPD reconhece que o processo de anonimização estará sempre sujeito a fatores de risco de reidentificação futura. Um exemplo mencionado pela autoridade é, por exemplo, a técnica de inferência, que significa inferir o valor de um atributo a partir dos valores de um conjunto de outros atributos e, a partir de então, empregar meios inexistentes à época para promover a reidentificação;
• Entendimento sobre “esforços razoáveis”: o termo é entendido pela ANPD como um conceito indeterminado, que depende de melhor delineamento pela própria utoridade. A ANPD reforça que a licitude dos esforços razoáveis também deve ser considerada, uma vez que atos ilícitos ou crimes cibernéticos são considerados esforços irrazoáveis para a reidentificação ou reversão do processo de anonimização. Do mesmo modo, também devem ser considerados fatores como o custo e tempo necessários para a possibilidade de reidentificação dos titulares e reversão do processo de anonimização;
• Entendimento sobre “meios próprios”: já o termo “meios próprios” é entendido como um conceito mais delimitado, sendo as habilidades, os dados, instrumentos e técnicas disponíveis no momento para o próprio agente de tratamento responsável pela anonimização;
• Participação humana: a ANPD avalia que a anonimização não deve ser totalmente automatizada. Ferramentas automatizadas podem ser usadas, mas a participação de um especialista humano pode ser necessária, considerando a relevância do tema.

Metodologias aplicáveis à anonimização e pseudonimização

Em relação à anonimização, a minuta de guia apresenta uma metodologia baseada no risco (Risk-based approach). Para tanto, o documento define as seguintes etapas a serem observadas pelos agentes de tratamento:

• Primeira Etapa: determinação do Risco de Reidentificação Aceitável (RRA) para um conjunto de dados determinado com objetivo de estipular um limite para o risco. Variáveis de contexto (por exemplo, a existência de dados pessoais sensíveis ou dados financeiros) podem diminuir o limite do risco aceitável;
• Segunda Etapa: aplicação do conjunto de técnicas de anonimização escolhido para produzir um conjunto de dados anonimizados que tenha um risco de reidentificação não superior ao RRA;
• Terceira Etapa: definição do Risco de Reidentificação Mensurado (RRM), que consiste no risco de um ataque de reidentificação ter sucesso. Fatores como o conjunto de dados ser público, compartilhado ou privado podem impactar o RRM. Ao final, o RRM deve ser comparado ao RRA e, caso o RRM seja maior, entende-se que o conjunto de dados não estará devidamente anonimizado, sendo necessário o reinício da anonimização. O estudo apresenta considerações sobre possíveis métricas para aplicação e definição de tais riscos.

Já em relação à pseudonimização, a minuta de Guia sugere uma metodologia baseada em 12 etapas e alinhada com as melhores práticas do mercado, incluindo, mas não se limitando à avaliação inicial para identificação dos dados objeto da pseudonimização; definição de objetivos; seleção de técnicas; desenvolvimento de políticas e procedimentos; implementação; proteção das chaves e algoritmos; e monitoramento e auditoria.

A minuta de guia esclarece que algumas técnicas de pseudonimização podem ser adotadas em conformidade com a LGPD, incluindo substituição dos dados; ofuscação de dados; tokenização; cifração; mascaramento de dados e salting. A minuta também apresenta técnicas para anonimizar dados textuais estruturados e imagens.

A ANPD aceitará contribuições sobre o material até 28 de fevereiro de 2024 pela plataforma Participa+ Brasil.

Tomada de subsídios sobre os direitos dos titulares

Além disso, no dia 2 de fevereiro de 2024, a ANPD abriu tomada de subsídios para a elaboração de normas que regularão os direitos dos titulares de dados pessoais. O objetivo é receber contribuições sobre aspectos relacionados a forma, prazos e aspectos operacionais para o exercício dos direitos pelos titulares de dados, tanto da perspectiva dos próprios titulares quanto dos agentes de tratamento.

A consulta foi dividida em sete blocos, que somam 30 questões e abordam os seguintes tópicos:

• Relacionamento entre o controlador e o titular: questões sobre as diretrizes que deverão reger a forma e o prazo para atendimento dos direitos dos titulares pelos controladores;
• Informações sobre o tratamento: questões sobre as hipóteses de obtenção de informações pelo titular, especialmente no que diz respeito à confirmação da existência de tratamento, acesso aos dados, informações das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Portabilidade dos dados: questões sobre o procedimento adequado para que seja garantido aos titulares não só a obtenção de seus dados pessoais, mas a entrega em formato que facilite a transferência dos dados entre agentes de tratamento;
• Correção dos dados tratados: questões sobre os procedimentos e considerações prévias para atendimento desse direito, incluindo justificativas para eventual negativa, validação de identidade do titular e a comunicação eficiente com outros agentes de tratamento;
• Anonimização, bloqueio, eliminação e oposição no caso de tratamento irregular: questões que objetivam identificar hipóteses e meios de coibir tratamentos de dados realizados em desacordo com as disposições da LGPD e exigir que sejam interrompidos;
• Revogação do consentimento: questões que têm como objetivo identificar as consequências da revogação do consentimento pelo titular;
• Decisões baseadas em tratamento automatizado: questões que visam a identificar o que caracterizaria uma decisão automatizada e uma decisão tomada unicamente com base em tratamento automatizado de dados pessoais e quais critérios para determinar quando um interesse de um titular será afetado.

A ANPD aceitará respostas às perguntas propostas até 4 de março de 2024 pelo espaço Opine Aqui, também da plataforma Participa+ Brasil.

Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.