A proteção de dados é, cada vez mais, fundamental para que as organizações consigam gerar diferenciais competitivos no mercado. Também, para que tenham uma imagem positiva perante o seu público.
Isso porque, desde o caso Snowden, em 2013, passando pelo escândalo da Cambridge Analytica, em 2018, as discussões sobre como as empresas utilizam os dados pessoais dos clientes se tornaram cada vez mais populares e ganham espaço na esfera pública.
Diante disso, legislações importantes foram criadas: a GDPR na Europa e a LGPD no Brasil, que entrará em vigor em 2021. É fundamental, assim, que as empresas estejam em consonância com ela, a fim de evitar possíveis sanções.
A anonimização de dados tem um papel fundamental nisso. Vamos mostrar os principais pontos sobre o tema, a seguir. Boa leitura!
O que é a anonimização de dados?
A anonimização de dados diz respeito aos procedimentos realizados para que seja possível não identificar a pessoa sobre a qual é aquela informação. Isso oferece um maior controle para o usuário a respeito do uso das informações pessoais as quais ele está suscetível.
Considera-se que os dados estão anonimizados quando atingem os seguintes patamares:
- é impossibilitada a identificação dos dados para qualquer pessoa;
- há uma baixa probabilidade de ligar um grupo de dados a um usuário específico;
- a análise dos dados devidamente tratados não permite inferir se as informações são sobre um titular específico.
Como a anonimização de dados funciona?
Os dados podem conter, muitas vezes, informações que possibilitam ligá-los à pessoa sobre a qual eles falam (considerado o titular). Essas informações são as variáveis, também chamadas de chaves de identificação do indivíduo.
A anonimização de dados, assim, tem por objetivo separar essas chaves dos dados, mantendo-os em bancos distintos. Dessa forma, gera uma maior proteção sobre a integridade do titular do dado.
Com isso, as empresas podem tratar as informações obtidas sem, necessariamente, ligá-las ao usuário. É possível utilizá-las para ações internas e seguir a legislação vigente, bem como princípios de transparência e privacidade, questões que são cada vez mais importantes para as pessoas.
Como a anonimização de dados se relaciona com a LGPD?
A anonimização, assim, cumpre um papel fundamental de adequação à legislação. Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em 2021, as empresas se tornam responsáveis pelas informações coletadas em suas atividades, sendo necessário zelar pela sua integridade, segurança e confiabilidade, evitando ataques cibernéticos, bem como obter o consentimento do usuário para sua captura.
Isso pode ser altamente custoso ou inviabilizar algumas atividades de Pequenas e Médias Empresas (PME). Por isso, os dados anonimizados são uma oportunidade para garantir seu uso e permanecer dentro dos dispositivos legais.
Segundo a LGPD, quando os dados estão descaracterizados, não serão considerados como dados pessoais, exceto se esse processo puder, por esforços razoáveis, ser revertido. Assim, eles não podem ser ligados a uma pessoa física e, portanto, continuam garantindo a proteção da privacidade do titular.
Como os dados podem ser anonimizados?
Mas então, como garantir a anonimização de dados de forma permanente, evitando incorrer em falhas na legislação vigente ou, então, colocar em xeque a segurança da informação da sua empresa? Vejamos, a seguir.
Supressão
Há a supressão de alguns pontos do dado, de forma a dificultar a identificação do conjunto que pode ser correlacionado com um usuário. É utilizado, por exemplo, ao retirar alguns números do CPF, dificultando a identificação completa.
Encriptação
Para estar dentro do dispositivo da LGPD, é preciso que a chave de acesso seja descartada (revogada). Caso contrário, é possível reverter a ação e, assim, fere o dispositivo legal. A questão é que, diante disso, a própria empresa não pode usar o dado, já que ele está criptografado. Ou seja, equivale ao mesmo de apagar o dado.
Perturbação
Nesse caso, há uma substituição dos valores reais por dados fictícios, por meio de algoritmos de randomização ou condensação da informação. Funciona melhor quando falamos em dados contínuos.
É importante ressaltar que essas técnicas de anonimização de dados merecem atenção por parte dos gestores de TI, continuamente. Isso porque uma das tecnologias que citamos acima podem, no futuro, não ser mais eficientes para esse fim. Elas podem ser revertidas e, portanto, precisar encontrar novas soluções para adesão nas empresas para impossibilitar que os dados se tornem pessoais novamente.
Como a anonimização de dados afeta as empresas?
A anonimização de dados é importante não só para adequação legal à LGPD, mas também, traz uma série de benefícios financeiros:
- impede o vazamento de dados;
- evita as sanções impostas pelos dispositivos legais em caso de problemas;
- protege as informações;
- evita os incidentes;
- melhora a imagem da empresa no mercado;
- indica que a organização prioriza a transparência das informações dela e a privacidade dos dados dos clientes, dois pontos fundamentais atualmente.
Como funciona o compartilhamento de dados anonimizados?
Quando os dados anonimizados são compartilhados com terceiros, há a necessidade de cuidados redobrados para minimizar os riscos de exposição do titular da informação. Para isso, alguns pontos que merecem atenção são:
- faça um mapeamento dos riscos envolvidos no compartilhamento de dados;
- avalie se os dados podem ser reidentificados futuramente, seja pela sua organização, seja por outra empresa;
- avalie se os dados passarão por diversos colaboradores ou se ficarão restritos a determinados controladores;
- determine cláusulas contratuais para restringir as chances de reidentificar os dados. Caso ocorra, é possível verificar quem sofrerá as sanções cabíveis de forma mais clara.
É possível utilizar a pseudonimização?
Uma opção, também, é optar pela pseudonimização, que está presente na LGPD, no artigo 13:
“Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.
Essa solução permite uma maior segurança das informações, garantindo que os danos de eventuais vazamentos não sejam tão graves, caso ocorram apenas nos bancos não identificáveis. O problema é se o acesso dos hackers for aos dois bancos de dados, de forma que, ao cruzar as informações, possa identificar o usuário.
A anonimização de dados, assim, é fundamental para que as organizações possam estar de acordo com a legislação vigente e ter uma maior segurança, tanto internamente quanto para os seus clientes. Aplicá-la é, portanto, fundamental para criar cenários mais favoráveis para o uso de dados em sua empresa.
Esse tema está intimamente ligado com a adoção de uma Cultura Data Driven. Você já a utiliza em sua organização? Então, saiba mais sobre a tomada de decisões com base em dados e tire suas dúvidas.