search

E o tratamento por meio do qual um dado perde a possibilidade de associação direta ou indireta a um indivíduo?

1 anos atrás
Comentários: 0
Visualizações: 183


- Agentes de tratamento: o controlador e o operador.

Show

- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

- Autoridade Nacional: órgão da administração pública responsável por fiscalizar e implementar o cumprimento da LGPD em todo o território nacional e zelar por ele.

- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando-se a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

- Interoperável: formato capaz de operar, funcionar ou atuar com outro; estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos e à disseminação e ao acesso das informações pelo público em geral.

- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

- Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmente constituído(a) sob as leis brasileiras, com sede e foro no País, que inclua, em sua missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

- Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

- Relatório de impacto na proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro.

- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

- Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Qual a diferença entre esses dois procedimentos e qual sua importância na aplicação da LGPD?

Introdução

Desde que a Lei de Proteção de Dados Pessoais do Brasil (“LGPD”) foi aprovada, em agosto de 2018, diversas dúvidas surgiram a respeito das obrigações legais existentes e da definição de como alguns conceitos deverão ser aplicados quando a lei entrar em vigor. Um dos temas que tem gerado bastante polêmica e, possivelmente, poderá gerar diversas dúvidas são os conceitos relativos à anonimização e pseudonimização.

Anonimização

Afinal, o que é anonimização e o que é pseudonimização? E quais são as vantagens da utilização dessa técnica para o seu negócio?

Primeiramente no tocante à anonimização, a LGPD a define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”[1]. Sua definição é importante uma vez que a LGPD não se aplica à utilização de dados anonimizados, permitindo uma maior liberdade no tratamento dessa categoria de dados. Os dados anonimizados se encontram fora do escopo da LGPD, uma vez que não se associam a uma pessoa natural, não recaindo sobre eles portanto toda a carga regulatória presente na lei.

É importante destacar que o resultado do processo de anonimização é contextual, uma vez que uma técnica utilizada em determinado momento pode, no futuro, tornar-se ineficiente, permitindo que os dados sejam reidentificados e, caso isso ocorra, os dados anonimizados passarão a ser considerados dados pessoais novamente. Assim, a qualidade de uma técnica de anonimização leva em consideração o custo e o tempo necessário para que o processo seja revertido de acordo com as técnicas disponíveis em determinado momento do desenvolvimento tecnológico. Caso o processo seja revertido no futuro os dados tornam-se pessoais novamente, voltando-se a se aplicar as disposições da LGPD.

Atualmente, pode-se citar duas interpretações jurídicas sobre como avaliar se uma técnica de anonimização foi adotada de forma adequada: (i) a primeira, denominada de risk-based approach[2] tradicional (análise baseada no risco), verifica se, apesar da adoção de precauções pelo responsável, houve ou não a reidentificação dos dados[3]; (ii) a segunda, denominada de procedure-based approach (análise baseada nos procedimentos adotados), verifica somente se foram implementados procedimentos adequados com base nos riscos detectados previamente[4].[5]

Essas abordagens tomam como pressuposto que a anonimização absoluta de um dado pode ser difícil ou mesmo impossível em certos casos, assim a adequação deve ser avaliada de forma contextual e por meio do grau de risco existente.

No parecer sobre anonimização desenvolvido pelo Information Commissioner’s Officer (ICO) (Oficial do Comissário de Informação) do Reino Unido é sugerido que se contratem terceiros para testar a qualidade do processo de anonimização por meio testes que busquem reidentifcar os dados[6].

Compartilhamento de dados anonimizados

Outro elemento necessário de ser avaliado envolve casos em que os dados anonimizados serão compartilhados com terceiros. A ICO também sugere que, antes que o compartilhamento seja realizado, as organizações devem avaliar se os dados podem ser reidentificados tanto por ações próprias como também por eventuais ações tomadas por terceiros[7]. Caso esse entendimento seja adotado no Brasil, é possível que a Agência Nacional de Proteção de Dados (ANPD) tenha que dosar o nível de diligência que as organizações deverão adotar ao compartilhar dados anonimizados com outros controladores, ou mesmo ao disponibilizá-los publicamente.

No caso do compartilhamento restrito a determinados controladores, é mais fácil avaliar a capacidade técnica de reidentificação da outra parte, ou mesmo de se limitar tal possibilidade por cláusulas contratuais. Por exemplo, no caso de A compartilhar dados anonimizados com B, mesmo que B busque reidentificar os dados, a LGPD exigirá que os dados tornados novamente pessoais sejam tratados com base em alguma das hipóteses legais (como consentimento, execução do contrato, legítimo interesse do controlador, etc). Assim, o entendimento mais adequado parece ser no sentido de que A não pode ser responsabilizado por eventuais violações de B, quando este reidentificar os dados sem adotar uma hipótese legal que permita o tratamento, desde que A tenha feito a análise de risco de forma diligente e de forma prévia ao compartilhamento dos dados anonimizados.

Dados Públicos

Já no caso de disponibilização pública dos dados anonimizados, a avaliação dos riscos de reidentifcação se torna mais incerta, devido ao grande número de agentes que podem acessar os dados. Caso a ANPD adote uma orientação mais restrita nesse sentido, pode-se gerar como consequência um desestimulo a disponibilização de dados anonimizados para uso público, o que reduz oportunidades de inovação.

Diferença pontual com a GDPR

Outro ponto interessante de se destacar refere-se a uma das exceções criadas pela LGPD, a qual não foi prevista especificamente pela General Data Protection Regulation (“GDPR”), que é legislação europeia de proteção de dados. De acordo com a LGPD, podem ser considerados dados pessoais aqueles utilizados para “formação de perfil comportamental de determinada pessoa natural, se identificada”[8], mesmo que o tratamento tenha partido inicialmente de dados anonimizados.

Pseudonimização

Já o conceito de pseudonimização da LGPD é definido de forma semelhante à GDPR, entretanto, ele somente é citado no artigo 13 da nossa lei, que dispõe sobre a realização de estudos em saúde pública:

Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”

Ao contrário da utilização de dados anonimizados, a qual afasta a aplicação direta das leis de proteção de dados, para os dados pseudonimizados não há previsão legal específica sobre quais vantagens ou isenções o controlador pode obter caso os utilize. Ainda assim, é possível cogitar de determinadas vantagens na sua utilização pelas empresas.

De um ponto de vista da segurança da informação, a pseudonimização contribui para garantir uma maior segurança dos dados, podendo diminuir os danos causados por eventuais vazamentos, se os dados afetados forem somente aqueles não identificáveis, sem o acesso aos dados complementares mantidos em separado. Este cenário pode fazer com que eventuais indenizações sejam reduzidas ou mesmo não aplicáveis, considerando que os dados vazados não sejam capazes de gerar danos ao titular por serem incompreensíveis.

A interpretação da pseudonimização como uma medida de segurança adicional também foi adotada pelo Working Party 29 na Opinion on Anonymisation Techniques (Opinião sobre Técnicas de Anonimização), quando a Data Protection Directive 95/46 estava em vigor[9]. A GDPR também menciona no artigo 25 que a pseudonimização é uma forma de se efetivar o princípio de privacy by design.

Apesar da ausência de dispositivos claros, algumas interpretações da GDPR podem permitir que sejam inferidas outras vantagens no uso da pseudoanonimização. Como a LGPD foi inspirada na GDPR, apesar das diferenças que ambas possuem em diversos pontos, é possível que essas interpretações possam vir a influenciar a prática brasileira. Por exemplo, o artigo 6(4) da GDPR estabelece que na verificação da conformidade de um processamento de dados subsequente (novas finalidades) com as finalidades originais deve-se considerar a adoção de medidas de segurança como a pseudonimização. Esta verificação é necessária pois o tratamento de dados pessoais exige legalmente que as finalidades estejam definidas previamente para o titular, e, caso haja tratamentos subsequentes com finalidades distintas, é necessário verificar se eles estão em conformidade com as finalidades iniciais. Caso contrário, o responsável pelo processamento deve se utilizar de uma das bases legais que o autorizem a tratar os dados.

Assim, o artigo 6(4) pode ser interpretado pelas autoridades europeias, no futuro, como uma forma de incentivar o uso da pseudonimização no tratamento de dados subsequentes.[10] Em outras palavras, a utilização de uma camada de privacidade adicional seria um elemento facilitador do uso subsequente de determinados dados pessoais.

Conclusão

A partir dessas breves explicações fica claro que a LGPD oferece um grande incentivo para o uso de dados anonimizados, apesar de nem todas as formas de tratamento poderem se utilizar de tal categoria de dado. Os responsáveis pelo tratamento que desejarem utilizar dados anonimizados devem buscar técnicas adequadas de anonimização, conforme o tipo de dado em questão, além de avaliar quem serão os agentes com quem os dados serão compartilhados. Ambos elementos são importantes para se avaliar o real risco de re-identificação, e é provável que ANPD os utilize para avaliar o nível de conformidade das empresas.

Em relação ao uso da pseudonimização, ao contrário, não são estabelecidas vantagens jurídicas específicas na LGPD, para além de ela ser considerada uma técnica de aperfeiçoamento da segurança da informação. Entretanto, é possível que interpretações futuras das leis de proteção de dados no Brasil venham a reconhecer novas vantagens de sua adoção do ponto de vista das obrigações regulatórias.

Qual tratamento que dificulta a identificação direta ou indireta de um indivíduo?

Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Qual é a definição de tratamento de dados pessoais?

Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da ...

Quais são os 5 tipos de tratamentos de dados segundo a Lei?

Transmissão, distribuição, comunicação, transferência e difusão.

Qual é a definição de anonimização?

A anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. Essa técnica resulta em dados anonimizados, que não podem ser associados a nenhum indivíduo específico. É também um componente importante do compromisso do Google com a privacidade.

tratamento por meio qual um dado perde possibilidade de associação direta ou indireta um indivíduo LGPD Dados pessoais sensíveis LGPD planalto ANPD Serpro

Postagens relacionadas

Por que o desmatamento pode interferir diretamente no regime de chuvas do planeta terra?
Por que o desmatamento pode interferir diretamente no regime de chuvas do planeta terra?

Quais são os efeitos de uma decisão nas ações do controle de constitucionalidade?
Quais são os efeitos de uma decisão nas ações do controle de constitucionalidade?

Quais são os membros permanentes do Conselho de Segurança da ONU por que esses países têm muito poder na ONU?
Quais são os membros permanentes do Conselho de Segurança da ONU por que esses países têm muito poder na ONU?

Qual o melhor tratamento recomendado para o infarto agudo do miocárdio IAM?
Qual o melhor tratamento recomendado para o infarto agudo do miocárdio IAM?

Qual a importância de adicionar cloro na etapa 6 do tratamento de água?
Qual a importância de adicionar cloro na etapa 6 do tratamento de água?

Por que o monopólio do comércio colonial era importante para as metrópoles europeias?
Por que o monopólio do comércio colonial era importante para as metrópoles europeias?

Por que a ilha da Gigóia é considerada um lugar seguro no Rio de Janeiro?
Por que a ilha da Gigóia é considerada um lugar seguro no Rio de Janeiro?

Por que quando colocado na água os ímãs não se atraem e quando colocado fora da água eles se atraem
Por que quando colocado na água os ímãs não se atraem e quando colocado fora da água eles se atraem

Pesquise Que rio brasileiro e chamado de Velho Chico e por que se comporta como o Nilo caboclo
Pesquise Que rio brasileiro e chamado de Velho Chico e por que se comporta como o Nilo caboclo

Desvantagens da tecnologia no meio ambiente
Desvantagens da tecnologia no meio ambiente

Publicidade

ÚLTIMAS NOTÍCIAS

Como saber qual e A ligação mais polar?
1 anos atrás . por BuxomFixing
Qual e a importância das correntes marítimas para o planeta Terra?
1 anos atrás . por ConvertedWitchcraft
Como saber se o bebê está com infecção no intestino?
1 anos atrás . por HallowedWeariness
Explique os métodos de controle físico e químico no crescimento dos microrganismos
1 anos atrás . por AnnualThunderstorm
Qual gabinete de banheiro que pode molhar?
1 anos atrás . por DisgustedPlethora
Formas de relevo melhores para a agricultura
1 anos atrás . por StartlingInsurer
Como é gerada a eletricidade a partir da água nas hidrelétricas?
1 anos atrás . por White-collarEditor
Vai ter 365 Dias 3 Laura morre?
1 anos atrás . por BoiledCanonization
Bolo de caneca de microondas
1 anos atrás . por LeisurelyDiagnosis
Qual o objetivo da introdução da inclusão no contexto educacional?
1 anos atrás . por TarnishedTempo

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

homeendejakoptzhthittr
direito autoral © 2024 pt.apacode Inc.