Imagine um cofre que guarda itens preciosos: os dados pessoais de um grupo de indiv\u00edduos. Para proteger esses itens, a chave que permite acess\u00e1-los \u00e9 armazenada em outro local seguro, longe do alcance de quem n\u00e3o deveria ter acesso. Essa \u00e9 a ess\u00eancia da pseudonimiza\u00e7\u00e3o: uma t\u00e9cnica que transforma dados identific\u00e1veis em c\u00f3digos incompreens\u00edveis, como embaralhar um quebra-cabe\u00e7a e esconder as pe\u00e7as-chave que permitiriam mont\u00e1-lo.<\/p>\n
Em janeiro de 2025, o Comit\u00ea Europeu de Prote\u00e7\u00e3o de Dados (EDPB) publicou as Diretrizes 01\/2025 sobre Pseudonimiza\u00e7\u00e3o<\/a>, que fornecem orienta\u00e7\u00f5es detalhadas sobre a aplica\u00e7\u00e3o da pseudonimiza\u00e7\u00e3o, destacando seus requisitos t\u00e9cnicos e legais. O conte\u00fado esteve em consulta p\u00fablica at\u00e9 a \u00faltima sexta-feira (28\/2)<\/a>.<\/p>\n De acordo com o artigo 4(5) do General Data Protection Regulation<\/em> (GDPR), a pseudonimiza\u00e7\u00e3o \u00e9 definida como o processamento de dados pessoais de forma que n\u00e3o possam mais ser atribu\u00eddos a um titular espec\u00edfico sem o uso de informa\u00e7\u00f5es adicionais. Tais informa\u00e7\u00f5es devem ser mantidas separadamente e protegidas por medidas t\u00e9cnicas e organizacionais. Essa t\u00e9cnica visa reduzir riscos de identifica\u00e7\u00e3o, minimizar o impacto de poss\u00edveis viola\u00e7\u00f5es de dados e permitir o uso de informa\u00e7\u00f5es para an\u00e1lise sem comprometer a privacidade dos titulares.<\/p>\n Um dos conceitos fundamentais abordados pelo EDPB \u00e9 o \u201cdom\u00ednio de pseudonimiza\u00e7\u00e3o\u201d, que define o contexto no qual a pseudonimiza\u00e7\u00e3o impede a atribui\u00e7\u00e3o dos dados a indiv\u00edduos e pode incluir departamentos espec\u00edficos, entidades controladas ou terceiros autorizados. Em outras palavras, trata-se do conjunto de regras, sistemas e atores que determinam quem pode acessar os dados pseudonimizados, sob quais condi\u00e7\u00f5es e com quais restri\u00e7\u00f5es.<\/p>\n As diretrizes do EDPB destacam duas t\u00e9cnicas principais de pseudonimiza\u00e7\u00e3o: transforma\u00e7\u00f5es criptogr\u00e1ficas, que utilizam fun\u00e7\u00f5es criptogr\u00e1ficas unidirecionais como hashes<\/em> com chaves secretas, e tabelas de consulta (lookup tables<\/em>), que atribuem pseud\u00f4nimos a identificadores reais, com a tabela de refer\u00eancia armazenada separadamente.<\/p>\n No entanto, a pseudonimiza\u00e7\u00e3o n\u00e3o \u00e9 infal\u00edvel. H\u00e1 riscos como a reidentifica\u00e7\u00e3o por meio de quase-identificadores, ataques por correla\u00e7\u00e3o com fontes externas e viola\u00e7\u00f5es de seguran\u00e7a que comprometeriam os segredos da pseudonimiza\u00e7\u00e3o.<\/p>\n Al\u00e9m das t\u00e9cnicas, as Diretrizes 01\/2025 do EDPB abordam quest\u00f5es legais fundamentais. O EDPB esclarece que os dados pseudonimizados continuam sendo dados pessoais sempre que puderem ser vinculados a um indiv\u00edduo, direta ou indiretamente, por meio de informa\u00e7\u00f5es adicionais, mesmo que estas estejam sob controle de terceiros.<\/p>\n Isso significa que, enquanto houver possibilidade razo\u00e1vel de reidentifica\u00e7\u00e3o, os dados n\u00e3o podem ser considerados anonimizados e seguem protegidos pelo GDPR. Portanto, a pseudonimiza\u00e7\u00e3o mitiga riscos, mas n\u00e3o dispensa salvaguardas t\u00e9cnicas e organizacionais adicionais para garantir a prote\u00e7\u00e3o efetiva dos titulares.<\/p>\n As diretrizes tamb\u00e9m indicam que a pseudonimiza\u00e7\u00e3o pode fortalecer a base legal de interesse leg\u00edtimo para o tratamento de dados, conforme o artigo 6(1)(f) do GDPR. Ao reduzir a possibilidade de identifica\u00e7\u00e3o, a t\u00e9cnica minimiza os riscos, facilitando a justificativa de que o tratamento atende ao interesse leg\u00edtimo do controlador sem comprometer indevidamente a privacidade dos titulares.<\/p>\n Mais ainda, a pseudonimiza\u00e7\u00e3o tamb\u00e9m pode promover a compatibilidade entre o prop\u00f3sito original da coleta de dados e usos secund\u00e1rios potenciais, conforme delineado no artigo 6(4) do GDPR. Isso possibilita que dados sejam reutilizados para novas finalidades, desde que alinhadas \u00e0s expectativas dos titulares e sem comprometer sua privacidade.<\/p>\n Um exemplo presente nas diretrizes envolve uma empresa de com\u00e9rcio eletr\u00f4nico, que utiliza o hist\u00f3rico de compras de seus clientes, originalmente armazenado para fins de acesso e gerenciamento das transa\u00e7\u00f5es, para realizar an\u00e1lises de padr\u00f5es de compra. Para garantir que essa nova finalidade seja compat\u00edvel com a original e evitar a cria\u00e7\u00e3o de perfis individuais, a empresa aplica a pseudonimiza\u00e7\u00e3o, removendo identificadores diretos e restringindo o acesso dos analistas a qualquer dado que possa ser revertido \u00e0 identidade dos clientes.<\/p>\n Outro ponto abordado \u00e9 o papel da pseudonimiza\u00e7\u00e3o nas transfer\u00eancias internacionais de dados. Quando informa\u00e7\u00f5es s\u00e3o enviadas para pa\u00edses sem n\u00edveis adequados de prote\u00e7\u00e3o, a t\u00e9cnica pode servir como uma salvaguarda adicional, minimizando os riscos de acesso indevido. No entanto, para ser eficaz, as informa\u00e7\u00f5es que permitem a reidentifica\u00e7\u00e3o devem permanecer sob o controle do exportador e protegidas contra acessos n\u00e3o autorizados.<\/p>\n Ao final do documento, o EDPB fornece exemplos concretos de implementa\u00e7\u00e3o da pseudonimiza\u00e7\u00e3o em diferentes cen\u00e1rios. Na \u00e1rea da sa\u00fade, a separa\u00e7\u00e3o da identidade dos pacientes dos dados cl\u00ednicos garante privacidade em pesquisas m\u00e9dicas. No setor de seguran\u00e7a da informa\u00e7\u00e3o, a pseudonimiza\u00e7\u00e3o permite o compartilhamento de padr\u00f5es de ataque cibern\u00e9tico sem expor dados pessoais sens\u00edveis. Esses exemplos ilustram como a pseudonimiza\u00e7\u00e3o pode ser aplicada para equilibrar a necessidade de tratamento de dados pessoais com a prote\u00e7\u00e3o dos direitos dos titulares.<\/p>\n No Brasil, a pseudonimiza\u00e7\u00e3o est\u00e1 expressamente prevista na Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD) nos artigos 13 e 13, \u00a74\u00ba, no contexto de estudos de sa\u00fade p\u00fablica conduzidos por \u00f3rg\u00e3os de pesquisa. Al\u00e9m disso, a t\u00e9cnica \u00e9 amplamente reconhecida como uma medida de seguran\u00e7a (art. 46) e um mecanismo para garantir o princ\u00edpio da necessidade (art. 6, III), ao contribuir para a minimiza\u00e7\u00e3o do tratamento de dados pessoais.<\/p>\n A Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD) abriu consulta p\u00fablica no in\u00edcio de 2024 a respeito de um guia relacionado \u00e0 anonimiza\u00e7\u00e3o e pseudonimiza\u00e7\u00e3o<\/a>, sinalizando avan\u00e7os na padroniza\u00e7\u00e3o e incentivo ao uso dessas t\u00e9cnicas. Al\u00e9m disso, a Resolu\u00e7\u00e3o 23\/2024, que define a Agenda Regulat\u00f3ria da ANPD para 2025-2026<\/a>, incluiu a pseudonimiza\u00e7\u00e3o entre os temas priorit\u00e1rios, prevendo a defini\u00e7\u00e3o de padr\u00f5es e t\u00e9cnicas para anonimiza\u00e7\u00e3o e pseudonimiza\u00e7\u00e3o, com o objetivo de fornecer orienta\u00e7\u00f5es e esclarecimentos sobre o tema.<\/p>\n As diretrizes do EDPB n\u00e3o apenas destacam o papel central da pseudonimiza\u00e7\u00e3o na prote\u00e7\u00e3o de dados, como tamb\u00e9m oferecem subs\u00eddios valiosos para que organiza\u00e7\u00f5es brasileiras acompanhem as evolu\u00e7\u00f5es regulat\u00f3rias. A pseudonimiza\u00e7\u00e3o, quando planejada e aplicada de forma estrat\u00e9gica, n\u00e3o \u00e9 apenas uma t\u00e9cnica, mas um pilar essencial para a preserva\u00e7\u00e3o da privacidade e para a constru\u00e7\u00e3o de uma cultura de prote\u00e7\u00e3o de dados na era digital.<\/p>","protected":false},"excerpt":{"rendered":" Imagine um cofre que guarda itens preciosos: os dados pessoais de um grupo de indiv\u00edduos. Para proteger esses itens, a chave que permite acess\u00e1-los \u00e9 armazenada em outro local seguro, longe do alcance de quem n\u00e3o deveria ter acesso. Essa \u00e9 a ess\u00eancia da pseudonimiza\u00e7\u00e3o: uma t\u00e9cnica que transforma dados identific\u00e1veis em c\u00f3digos incompreens\u00edveis, como […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/9317"}],"collection":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/comments?post=9317"}],"version-history":[{"count":0,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/9317\/revisions"}],"wp:attachment":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/media?parent=9317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/categories?post=9317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/tags?post=9317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Conhe\u00e7a o JOTA<\/span> PRO Poder, plataforma de monitoramento que oferece transpar\u00eancia e previsibilidade para empresas<\/span><\/a><\/h3>\n