A Lei Geral de Proteção de Dados (LGPD) nº 13.709/2018, foi promulgada para criar mecanismos de proteção aos direitos fundamentais de liberdade e de privacidade de cada indivíduo. Com essa finalidade, o texto legal dispõe a respeito do tratamento de dados pessoais de pessoas físicas, feito por meio físico e digital, por pessoa física ou jurídica, no direito público ou privado.
Cabe primordialmente destacar, que esse tratamento de dados pode ser entendido como qualquer atividade que utiliza um dado pessoal de pessoa física na execução da sua operação. Além de que, esses dados são classificados no texto legal como dados pessoais e sensíveis e que podem se tornar anonimizados.
Segundo o artigo 5° e inciso I da LGPD, dado pessoal é uma informação que é relacionada a alguém identificado ou identificável. É notório que, o texto legal aborda dado pessoal como qualquer informação que possa ser utilizada para identificar uma pessoa, como RG, CPF, telefone, endereço, placa de um veículo, código do empregado dentro do sistema da empresa etc.
Já a respeito de dados sensíveis, a LGPD, no inciso II do artigo 5° prevê que são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e entre outros. Ou seja, são informações mais delicadas em que o tratamento pode ensejar a discriminação do seu titular.
Dentro desse contexto, como podemos definir os dados anonimizados?
Os dados anonimizados, previstos no inciso III do artigo 5° da LGPD, são aqueles relativos ao titular, mas que após a aplicação de medidas técnicas disponíveis no momento do tratamento passaram a não ter qualquer identificação, inclusive não podendo mais ser identificável ao respectivo titular.
Portanto, a anonimização é uma técnica de processamento de dados que não permite a identificação direta ou indireta da pessoa física. Em relação a esses dados, o que garante a segurança é que eles não podem ser convertidos em dados identificáveis, ou seja, em dados pessoais.
É importante destacar que, por mais que determinados dados não estejam anonimizados, a LGPD não veda que haja a coleta e o tratamento de dados em absoluto, trazendo, assim, dez bases legais que legitimam o respectivo manuseio de dados pessoais de pessoas físicas, como é o caso da proteção à vida ou da incolumidade física do titular ou terceiro; proteção ao crédito; cumprimento de obrigação legal ou regulatória pelo controlador (agente responsável por tomar as principais decisões referente ao tratamento de dados), ou ainda, para execução de um contrato, quando o titular de dados é uma das partes, ou para tomada de medidas pré-contratuais, bem como em casos de consentimento do titular e legítimo interesse do controlador, dentre outros. Portanto, para que as empresas estejam em conformidade com a LGPD, especialmente no que se refere à coleta e ao tratamento de dados pessoais de pessoas físicas até o fim do ciclo legal, faz-se necessária a regular assessoria jurídica e de profissionais relacionados à tecnologia e segurança da informação, inclusive com o objetivo de se mapear os tipos de dados tratados e as melhores medidas técnicas e organizacionais para mantê-los em segurança.
