Entrou em vigor a Lei Geral de Proteção de Dados Pessoais – LGPD para regulamentar a forma como seus dados pessoais podem ser utilizados por outras pessoas e empresas. Afinal, se é seu, você deve ter o controle.
Ao fazer um cadastro em uma loja, inscrição em um concurso público ou respondendo uma pesquisa de opinião, mesmo contendo as mínimas informações, os dados informados ficavam a vontade dos receptores para utilizarem como bem entendessem, podendo essas informações serem vendidas ou vazadas sem maiores preocupações.
Assim também acontecia com a cópias físicas do seu CPF, o comprovante de residência ou a ficha de participação, em algum evento, deverá ter o seu consentimento de onde e como poderão ser utilizados.
Neste primeiro momento a lei será aplicada para adequação e não resultará em multas, mas também não poderá ser tratada com descaso.
Anonimização dos Dados
Um dos itens da lei normaliza a utilização dos dados coletados e transformados em anônimos.
Se por solicitação sua ou por escolha da empresa receptora, seus dados forem anonimizados, os dados perdem a sua identificação pessoal e seu direito particular, podendo ser utilizados mais livremente.
Vejamos um exemplo de uma das regras da LGPD, a anonimização:
- Maria, CPF 123.456.789-10, 27 anos, Campo Grande/MS fez um cadastro em uma loja de eletrodomésticos.
- Esses dados são regulamentados pela LGPD, Maria é a titular das informações e deverá estar ciente de como a loja utilizará seus dados;
- A loja é responsável e não poderá utilizar esses dados para outros fins;
- Cada colaborador dessa loja estará enquadrado na lei, tendo a responsabilidades pelos dados da Maria.
Esse é um cenário comum hoje em dia. Dando continuidade, vejamos o que acontece ao aplicar a anonimização dos dados
- Em sequência, a loja transformou os dados da Maria para a seguinte forma:
- 0a90954b4b2b779530b081b608f12cd0, 27 anos, Campo Grande/MS
- O que aconteceu acima foi que os dados da Maria, em tese, foram anonimizados, desvinculados da pessoa de Maria, perdendo sua pessoalidade.
- Maria não terá mais direitos sobre essas informações anonimizadas, pois não é mais dela.
- A partir disso, a loja poderá extrair informações, por exemplo, quantidade de vendas, idade dos clientes e municípios em que moram. Informações importantes para uma empresa saber quem é o seu público e criar melhores estratégias.
- A empresa poderá fazer o que bem entender.
A anonimização dos dados aplicados de forma correta é uma ótima solução para se evitar falhas e as penalidades da LGPD.
A partir daqui a exemplificação ficará mais técnica e explorei uma falha que poderá ser cometida pela anonimização.
Problemas que Podem Ocorrer na Anonimização
Seguindo o cenário montado, em tese os dados foram anonimizados, mas houve uma falha da loja.
A anonimização foi realizada de forma fraca e com um conhecimento técnico, acesso ao código fonte do programa que armazena os dados, em uma auditoria ou até mesmo por uma pessoa má intencionada, descobriu-se que a anonimização dos dados foi feita apenas criando um hash MD5 de “nome” e “cpf”, por exemplo:
- O MD5 de “Maria,123.456.789-10” é 0a90954b4b2b779530b081b608f12cd0
- O MD5 de “João,987.654.321-98” é 7e7c55d1907bdec9cfefb88e9bf03fba
- O MD5 de “Gabriel,654.321.987-21” é 1f2b7f0a01d702a0187d2d2a603cdb6e
Concluindo assim que 0a90954b4b2b779530b081b608f12cd0 refere-se a Maria e os dados que antes eram anônimos, por causa dessa falha, voltou a ser pessoal e em consequência, voltando ao amparo da LGPD e Maria a titular.
Não apresentarei aqui por enquanto a solução. São decisões que devem ser feitas com cautela e em conjunto com profissionais capacitados em diversas áreas.
Observação: esta publicação foi produzida pela interpretação pessoal e pode não condizer com a veracidade da lei. Para mais esclarecimentos consulte um perito capacitado ou faça um comentário abaixo.
Fontes:
https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm