LGPD: Anonimização, Pseudonimização, Criptografia

.

A Lei Geral de Proteção de Dados Pessoais – LGPD define como dado anonimizado o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Não suficiente, define a anonimização como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

Nesse contexto, pode-se afirmar que o dado anonimizado concerne naquele que impossibilite a identificação do titular, não podendo, o dado, ser associado à “pessoa X”.

Já a pseudonimização concerne no tratamento “por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.

Isso significa dizer, por exemplo, que o controlador possui um banco de dados mantido em outro local, seguro e de acesso restrito, que quando combinado com o banco de dados público, permite a identificação do titular de dados. A criptografia pode ser utilizada como meio de pseudonimização.

Mas afinal, o que é criptografia?

A criptografia, ao contrário dos outros dois conceitos abordados, não é expressamente abordada pela LGPD, consistindo em uma prática de segurança da informação e de proteção à privacidade dos dados utilizada para proteger (cifrar) os dados. Ela consiste na encriptação de dados, que somente poderão ser acessados após a desencriptação.

Exemplificando, criptografar um banco de dados significa dizer que esse banco foi chaveado e somente pode ser acessado com a respectiva chave (criptografia simétrica). Ainda, se as chaves para fechar (encriptar) e acessar (decriptar) o banco de dados forem distintas, estaremos diante de criptografia assimétrica.

A LGPD tem por objeto regulamentar o tratamento de dados pessoais realizado por pessoa física ou jurídica, de direito público ou privado que ocorra em território nacional, que tenha por objetivo oferecer bens e serviços e que utilize dados obtidos no Brasil e tratados no exterior.

Os únicos que “ficam de fora” são os dados anonimizados, uma vez que não permitem a identificação do titular e, portanto, não são objetos da Lei. Dito de outro modo, todos os dados pessoais possuem tutela legal e merecem, portanto, atenção e proteção da Organização, de modo a evitar incidentes de segurança.

A WEP Compliance oferece, dentre outros serviços, o Programa de Adequação à LGPD que é personalizado de acordo com as necessidades da Organização, para que se adotem as medidas necessárias para a adequação às exigências legais.

Agradecemos por acessar esse conteúdo.