Anonimizar Dados.

Anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa,  resultado dessa técnica resulta em dados, que não podem ser associados a nenhum indivíduo específico.

A  lei 13709/2019, exige anonimizar  os dados, para garantir a privacidade,  como parte de medidas contra vazamentos.

Dados Anonimizados desde a LEI.

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Art. 5º Para os fins desta Lei, considera-se:

III - dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento;

Esclarecimento: Os dados pessoais, quando não pode ser identificado, não e dado pessoal, para isso deve se aplicar anonimização, nos campos ou dados onde se tenha dado sensível:

  • Bancos de Dados.

    • Estruturado.

    • Não Estruturado.

  • Arquivos ou campos de arquivos.

  • Arquivos de Video./ CFTV.

  • Arquivos de Controle de Acesso.

  • Todo arquivo que possa armazenar dados pessoais ou imagem.

CAPÍTULO II

DO TRATAMENTO DE DADOS PESSOAIS.

Seção I
Dos Requisitos para o Tratamento de Dados Pessoais

 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

 

Seção II
Do Tratamento de Dados Pessoais Sensíveis.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

  • c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

 

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

 

§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

 

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Conceito. Os dados pessoais / particulares / sensíveis quando anonimizados, não são passiveis da consideração de ser dado pessoal.

Vazamento. Quando vazamento de dado anonimizado, ele não pode ser considerado dado  pessoal, sempre que processo seja irreversível.

Incidente. Quando os meios tradicionais de reversão, sejam eficientes contra anonimização, a empresa pode ser penalizada como incidente.

Seção IV
Do Término do Tratamento de Dados

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

 

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Quando os dados não sejam mais necessários, dependendo do tipo de cadastro, podem ser anonimizados antes de eliminação. Ex. Portarias, Controle de Acesso.

CAPÍTULO III

DOS DIREITOS  DO TITULAR

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

 

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

Entendimento. Os titulares tem direito de exigir anonimização para proteção dos seus dados.

  

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

 

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. 

Entendimento. Os responsáveis pelos dados  devem informar as pessoas/ instituição, para executar anonimização, quando o titular revogue consentimento.

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

Entendimento. Os titulares tem direito de exigir anonimização para proteção dos seus dados.

Trabalhando com parceiros nessa área, temos desenvolvido projetos, que permitem que nossos clientes se adequem a  LEI, com precisão e definindo que informações / campos  podem ser acessadas pelas diferentes áreas usuárias, sem precisar de estar compartilhando todo o conteúdo.

  1. Criptografia e tokenização de dados.

  2. Proteção de dados em nuvens múltiplas.

  3. Gerenciamento das chaves usadas para criptografia de dados

  4. Controle de acesso do usuário a dados.

  5.  Registros de eventos de acesso a dados

  6. Proteção de dados em implementações abrangentes em TI híbrida

Para fornecer uma solução turnkey, de forma completa e abrangente usamos ferramentas como :

  • Vormetric Data Security Platform.

  • Vormetric Transparent Encryption.

  • Vormetric Tokenization com Mascaramento Dinâmico de dados.

  • Gerenciamento Centralizado de Chaves.

  • CipherTrust Cloud Key Manager.