Procedimento visa garantir a segurança e a privacidade de uma pessoa, desvinculando os dados pessoais do seu titular
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018 – explica a anonimização como um procedimento técnico que visa dissociar dados a uma pessoa física, de modo que não se consiga identificar uma pessoa. Trata-se da utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O conceito tem aplicabilidade e impacto na saúde, inclusive na medicina diagnóstica.
Segundo o diretor-executivo da Nommad, empresa de consultoria em tecnologia da informação, Wagner Hiendlmayer, a anonimização de um dado é, por definição, um ato irreversível. Isso quer dizer que, utilizando ferramentas disponíveis, após o tratamento de um dado pessoal sensível, não se chegará a um indivíduo específico.
É importante saber discernir os tipos de dados, de acordo com a LGPD. Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável; dado pessoal sensível é o dado pessoal relacionado à origem racial ou étnica, à convicção religiosa, à opinião política, à filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, à genética ou à biometria, quando vinculado a uma pessoa natural.
“Em suma, dados pessoais são nome, endereço, telefone, CEP. O dado pessoal sensível pode indicar algum tipo de perseguição política, ou, na área da saúde, por exemplo, pode ser constrangedor, sobre algum tipo de doença, isto é, uma informação que pode fazer com que a pessoa sofra algum preconceito. O dado pessoal sensível significa que eu tenho um conjunto de proteções adicionais necessárias para garantir a segurança da pessoa física”, explica Hiendlmayer.
A anonimização de dados, segundo ele, é imprescindível, principalmente para que se possa tratar grandes volumes de informações e se consiga, eventualmente, compartilhá-las sem se preocupar com a pessoa física que está por trás daquilo.
“Estamos falando de um procedimento técnico, que visa desvincular os dados pessoais de uma pessoa natural. Dados anonimizados, portanto, são aqueles que perdem sua característica de dados pessoais e você não tem a aplicação dos efeitos da lei sobre tais”, completa Leila Paulino, integrante do Comitê de Proteção de Dados da Associação Brasileira de Medicina Diagnóstica (Abramed) e coordenadora jurídica da área cível do Grupo Fleury.
Ela reitera ser fundamental observar qual é a técnica utilizada na anonimização. Para que um dado seja considerado, de fato, anonimizado, é necessário que se considere o processo irreversível, ou seja, que não se consiga chegar novamente ao titular do dado. Nesse sentido, se for possível reverter a anonimização, usando meios que se têm disponíveis, como softwares ou sistema interno da companhia, trata-se de um dado pseudonimizado.
Hiendlmayer também chama a atenção para a pseudonimização, que, embora semelhante no nome, não tem relação direta com a técnica da anonimização, mas está sob o escopo de aplicação da LGPD. É o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
“Nesses casos, continua-se tendo alguma referência do indivíduo por trás do dado, ou seja, são compartilhadas informações com as quais não se deseja associar a alguém, mas ainda assim pode haver uma ‘chave’ que permitirá a identificação. O processo é protegido, mas de maneira reversível. De posse de um ID, será possível descobrir quem é o paciente, por exemplo. Então, a pessoa que está tratando um conjunto de informações pseudonimizadas não consegue saber quem é o paciente, mas com essa ‘chave’ consigo fazer isso”, fala Hiendlmayer.
Quando fazer anonimização de dados?
Leila explica que não se pode dizer que a anonimização é um processo obrigatório, porque há situações, como para o cumprimento de obrigações legais ou regulatórias, em que é preciso que o dado seja identificado.
“Em medicina diagnóstica, existe a obrigatoriedade de manter a guarda de laudos e exames por um prazo de cinco anos. Isso é determinado pela RDC 302/2005, da Agência Nacional de Vigilância Sanitária (Anvisa). Nessas situações, não podemos anonimizar o dado, precisamos fazer a guarda dele de maneira identificada. Devemos anonimizar sempre que possível”, atesta Leila.
As instituições de saúde, de acordo com a membro do Comitê de Proteção de Dados da Abramed, devem avaliar quais são as situações em que é possível e até recomendável realizar a anonimização, de modo que ela não possa representar risco, sendo, portanto, um procedimento que garante mais segurança nas operações.
“Você terá segurança tanto para a instituição trabalhar com dados anonimizados, quanto para os titulares de dados. Imagine o seguinte exemplo: em algum tipo de incidente, seja ele acesso não autorizado, seja vazamento, se estiver diante de uma base de dados anonimizada, você não vai ter risco para o titular do dado envolvido no episódio. A anonimização garante segurança nas operações de tratamento de dados”, evidencia Leila.
Segundo ela, o procedimento é muito indicado na área da saúde, justamente por envolver dados sensíveis, com potencial discriminatório. Por isso, a lei costuma tratá-los com mais rigor, o que exige maiores cuidados dos profissionais que trabalham nessas instituições.
“Em termos de bases legais, quando se trata de dados sensíveis, o que é o caso dos dados de saúde, a lei é mais restrita para o tratamento. A anonimização dos dados é um importante mecanismo para as instituições, mas, conforme informado, nem sempre os dados poderão ser anonimizados, considerando determinadas finalidades de tratamento como aquelas exigidas para o cumprimento de obrigações legais ou regulatórias, como é o caso da RDC 302/2005. Também é importante considerar que a lei faz uma recomendação expressa de anonimização, sempre que possível, quando a finalidade de tratamento for estudos por órgãos de pesquisas – entretanto, esta base legal de estudos é válida apenas para instituições de pesquisas, é importante ressalvar”, diz Leila.
Ainda conforme Leila, a anonimização também é um dos direitos do titular, previsto na lei, sendo possível ao titular solicitá-lo ou não em face da instituição, de modo que a instituição deve estar preparada para avaliar cada caso e, eventualmente, fazer o procedimento como solicitado.
Técnicas de anonimização
Para tornar um dado anonimizado, existem técnicas específicas: 1) supressão, que é a remoção completa dos dados da base de dados, de forma definitiva; 2) encobrimento, com a utilização de símbolos como “xxx” ou “***” para substituição dos caracteres em uma tabela. Este caso preserva a parte da informação que ainda é relevante para alguma finalidade específica; e 3) generalização, que é o agrupamento de informações por faixas, como a troca do CEP por região do país, ou a conversão de faixas etárias.
“Na supressão de dados, eu retiro uma parte das informações, removo o dado da base e isso também, por definição, é algo irreversível, ou seja, eu chego à conclusão de que aquele meu banco de dados, que possuía nome, telefone, CEP e toda uma condição de saúde do paciente, passará a ter apenas a parte que me interessa, a condição de saúde do indivíduo, servindo para políticas públicas e estudos clínicos, por exemplo. No restante, eu faço uma supressão absoluta, apago, literalmente, ou encubro”, ressalta Hiendlmayer.
O diretor-executivo da Nommad faz uma analogia de como funciona o encobrimento: quando alguém efetua um pagamento com cartão de crédito, no comprovante é devolvida uma parte do número do cartão em asterisco. Quem faz transação bancária deve encobrir uma parte desses dados, porque, se houver um episódio de vazamento, não se compartilharão números, como os do cartão.
Quem não faz a anonimização de dados de maneira correta pode ser punido com o bloqueio do uso ou a exclusão desses dados, pelo que estabelece a LGPD. A primeira hipótese se caracteriza pela suspensão de qualquer operação de tratamento de dados pessoais de determinada pessoa ou determinado grupo de pessoas. A segunda opção se dá por solicitação do titular, que deve ser atendida se considerando as bases legais para o tratamento de dados. Nesses casos, os dados poderão ser retidos, desde que exista previsão legal.
“A melhor recomendação para as instituições que já estão fazendo esse trabalho de adequação à LGPD é que avaliem e conheçam suas operações de tratamento de dados, bem como as finalidades de tratamento. Quando conhece a finalidade, você identifica corretamente a base legal e consegue saber se é possível anonimizar o dado. É claro que, sempre que for possível, deve-se trabalhar com dados anonimizados, assim se garante mais segurança para a instituição e para os titulares. Os dados de saúde têm, de fato, essa sensibilidade, porque existe um risco maior para o titular”, sentencia Leila.
Clique aqui e baixe gratuitamente o Guia de Boas Práticas em Proteção de Dados para o Setor de Medicina Diagnóstica, uma publicação da Abramed.
