A Lei Geral de Proteção de Dados Pessoais (LGPD) é um conjunto de práticas e exigências que as empresas devem cumprir para garantir a segurança das informações de seus clientes e parceiros. Essa é uma das principais responsabilidades de qualquer organização, e um dos métodos para alcançar esse objetivo é o uso de dados anonimizados.
Quanto mais dados seu negócio coleta ao longo do tempo, mais importante é adotar todas as medidas possíveis para prevenir seu vazamento. A anonimização é um dos caminhos mais eficazes, desde que você saiba como aplicá-la corretamente em seu planejamento.
Acompanhe e entenda mais sobre os dados anonimizados, qual é sua função, quando eles são necessários e algumas formas de tratá-los em seu negócio.
O que são dados anonimizados?
Chamamos de dados anonimizados informações sensíveis que tiveram seu conteúdo alterado de forma que não possam mais ser associadas à pessoa original. Assim, eles são desvinculados do usuário, o que evita que sua identidade seja reconhecida a partir deles. Também não é possível restabelecer essa conexão usando outros métodos ou ferramentas.
Dados sensíveis como CPF, nome e sobrenome, data de nascimento, endereços, trabalho, gênero, entre outros, são fundamentais para diversas atividades — especialmente em análises de mercado. Porém, caso essas informações sejam vazadas, pode expor essas pessoas a diversos riscos.
Quando esses dados são anonimizados, você ainda pode fazer uso dessas informações em suas análises sem expor seus clientes e parceiros a maiores riscos. É um passo fundamental para diversos processos nas empresas, principalmente se você trabalha com cloud computing.
Quando é necessário anonimizar dados?
A LGPD não estabelece a anonimização de dados como obrigatória. Sendo assim, uma empresa pode optar por não adotar essa medida de segurança. Existem também casos em que dados anonimizados perdem sua utilidade, como na identificação de clientes para processamento de pagamentos.
No entanto, é recomendado fazer sua anonimização sempre que essa identificação não for necessária. Esse é o caso de informações relacionadas a pesquisas, estatística, saúde pública e afins. Também há casos em que essas informações precisam ser eliminadas ou arquivadas, prevenindo seu vazamento no futuro.
Existe ainda a possibilidade de pseudonimização, em que os dados são desvinculados do usuário original, mas é possível refazer essa associação usando outras informações. Por exemplo, utilizar métodos de criptografia reversíveis. É uma opção caso seja necessário rastrear a pessoa no seu servidor futuro.
Como fazer o tratamento de dados anonimizados?
Fazer a anonimização de dados é uma tarefa importante para garantir a maior segurança das informações em sua empresa. Veja, a seguir, alguns métodos comuns de tratamento.
Mudança de caracteres
Esse é o método mais simples, mas ainda é eficaz. Você identifica as informações sensíveis contidas em sua base de dados, como nomes e datas, e troca os caracteres por outros aleatórios. Dessa maneira, a informação original se perde e não é mais possível associar os dados com a pessoa que os forneceu.
Com esse método, você consegue manter a proteção de informações em menor escala manualmente. Por exemplo, trocando as letras nos nomes de usuários em uma planilha simples. Assim, ainda é possível processar a informação de que precisa e há um nome para usar como referência. Ele só não está associado a nenhuma pessoa.
Criptografia
Outra ferramenta bastante útil para tratar dados anonimizados é a criptografia. Por meio de uma chave criptográfica, você pode codificar uma informação para que ela fique ilegível. Ou seja, você também pode esconder dados sensíveis para que não sejam violados.
A principal questão aqui é a possibilidade de reversão da criptografia. Em alguns métodos, a chave utilizada é retida, o que permite a reversão desse código, revelando a informação. Para garantir que os dados foram devidamente anonimizados, é preciso restringir o acesso a essa chave ou mesmo deletá-la. A partir disso, torna-se impossível rever o processo.
Generalização
Há casos em que a empresa precisa de parte da informação coletada sobre cada indivíduo, mas não de coisas associadas diretamente à sua pessoa. Nesse contexto, uma opção válida é a generalização dessa informação.
Como o nome diz, trata-se de substituir dados sensíveis específicos por informações genéricas, mas que seguem um propósito similar. Por exemplo, em vez de usar um endereço completo, você utiliza o CEP. Assim, não é possível apontar o indivíduo, mas os dados ainda são associados a uma área geográfica.
Perturbação
O método de perturbação consiste em mascarar os dados legítimos com dados fictícios, produzidos usando algoritmos e métodos aleatórios. Por exemplo, se um conjunto de informações é associado a uma pessoa chamada “João”, esse nome pode ser trocado por “Rebeca”. Se os dados incluem um endereço real, pode ser trocado por um que não existe.
Esse tipo de troca faz com que a informação pareça legítima, mesmo que não inclua nenhum dado sensível. Desse modo, os dados reais que forem mais relevantes também ficam “mascarados” em meio a várias informações falsas. Assim como na criptografia, é importante que o algoritmo usado não apresente nenhum método possível de reversão.
Mistura de dados
Alternativamente, você pode tratar dados anonimizados fazendo a mistura de informações de diferentes fontes. O processo é chamado de mistura de dados. Em vez de tentar esconder a informação coletada, você a organiza de maneira que os dados de uma pessoa específica não possam mais ser associados entre si.
Por exemplo, pode-se misturar nomes, datas de nascimento e localidades associados a várias pessoas em sua hospedagem, tornando impossível combinar esses dados para encontrar a pessoa real. Isso faz com que a informação ainda esteja presente e visível em seu sistema, mas não de uma forma que possa expor qualquer indivíduo.
Agora que você entende melhor o que são dados anonimizados e sua importância, é hora de incluir alguns desses métodos em seu planejamento de segurança digital. Mesmo que não seja uma prática obrigatória, ainda é essencial investir em ferramentas e metodologias para proteger os dados da sua equipe, dos seus clientes e dos seus parceiros de mercado.
Quer continuar acompanhando mais dicas na área de TI? Então, siga nossos perfis no Facebook, no Instagram e no LinkedIn agora mesmo!
