Anonimização de dados: PME’s e a conformidade com a LGPD

O Brasil é um país com mais de um milhão de pequenas e médias empresas, incluindo os microempreendedores individuais (MEI). Isso significa que mais de 95% das empresas do país são representadas pelos pequenos negócios. Além da quantidade de empresas, esse segmento possui um forte impacto na economia, representando 52% dos empregos formais gerados no país (17 milhões de vagas com carteira assinada). A representatividade no PIB brasileiro também é significativa com 27% de participação e arrecadação de R$ 334 Bilhões de reais em tributos municipais, estaduais e federais (desde a implantação do Super Simples em 2007).

A Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020 e desde sua aprovação tornou-se uma preocupação imensa para este segmento de PME´s, visto que suas punições podem chegar a 2% do faturamento – limitado a 50 milhões por processo, o que certamente significaria o fechamento das portas da imensa maioria de tais companhias. Segundo levantamento da Serasa Experian, entre empresas pequenas (com até cinco funcionários), 28% têm pouco ou nenhum conhecimento a respeito da legislação.

As tecnologias em nuvem possibilitaram também para a as PME’s passarem por uma forte transformação digital. Contudo, segundo pesquisa do IDC Brasil, 70% delas enfrentam dificuldades nessa jornada. Boa parte dessa dificuldade está relacionada à segurança.

Garantir a segurança da informação é dos maiores desafios. Especificamente, a conformidade com a LGPD não é uma opção, mas uma obrigação que possui prazo para ser alcançada (agosto de 2020). Além dos eventuais prejuízos financeiros e à imagem da marca, a LGPD será a métrica que o mercado irá medir seus prestadores de serviços e as PME’s que não garantirem a segurança e a integridade dos dados de seus clientes perderão mercado.

Ameaças Digitais e as PME’s

As ameaças digitais são um fato e não se trata mais de perguntar se a empresa será atacada, mas quando ela será atacada. As ameaças digitais efetivamente incidem sobre o universo das PME’s, segundo dados do SonicWall Security Center, até julho/2018 ocorreram 175 milhões de ataques e 95 milhões de tentativas de invasão.

Uma pesquisa da National Cyber Security Alliance mostra que mais de 70% dos ataques são direcionados às PME’s onde os atacantes se aproveitam da fragilidade decorrente da falta de cultura de segurança e ausência de soluções de proteção específicas para esse segmento.

As ameaças mais preocupantes continuam sendo phishing e ransomware seguidas pelas vulnerabilidades de aplicações e infraestrutura. Segundo dados da Polícia Militar/SP de 2017, o resgate pelo sequestro de dados inicial de ransomware estava em R$ 10.000,00.

Contudo, nem sempre o fator financeiro é o pior, segundo pesquisa da Osterman Research (2018) com 1000 PME’s europeias, o maior prejuízo é o tempo parado decorrente da indisponibilidade de aplicações e dados críticos. Esse tempo de inatividade durante ataques variou de 25 a 100 horas.

Criptografia e Anonimização

Felizmente há uma opção que proporciona conformidade à LGPD e é acessível a este segmento de PME´s: a anonimização de dados, que nada mais é que descaracterizar a informação de forma que através dela uma pessoa não possa ser unicamente identificada.

O artigo 12º da LGPD discorre sobre anonimização de dados:

“Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”

A lei ainda cita que a informação é considerada anônima se esse processo de descaracterização não puder ser revertido através de meios próprios e esforços razoáveis.

O mecanismo tecnológico para promover anonimização é a criptografia. Contudo perante a lei, o dado é anônimo quando o processo não puder ser revertido, ou seja, quando a chave utilizada no processo for revogada (descartada). Assim, sem a chave o dado não pode ser descriptografado – através de meios próprios e recursos razoáveis.

A questão é que, para uma empresa, um dado anônimo (segundo a lei) também não pode ser utilizado em virtude da impossibilidade de descriptografá-lo para uso da organização. De fato, é a mesma coisa que apagar o dado.

Segundo o artigo 13º da LGPD “Art. 13. Para os efeitos deste artigo, a pseudoanonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”

A pseudoanonimização contribui para garantir uma maior segurança dos dados, podendo diminuir os danos causados por eventuais vazamentos, se os dados afetados forem somente aqueles não identificáveis, sem o acesso aos dados complementares mantidos de forma mascarada. Este cenário pode fazer com que eventuais indenizações sejam reduzidas ou mesmo não aplicáveis, considerando que os dados vazados não sejam capazes de gerar danos ao titular por serem incompreensíveis.

Se preparando para a LGPD

Muitas empresas estão adotando uma abordagem estruturada contratando consultorias especializadas que entregarão plano completos para adequação e gestão.

Contudo, dependendo da profundidade e detalhamento dessas consultorias, o prazo para entrega dos resultados posterior à implementação de processos, controles, ferramentas e indicadores pode ultrapassar a data de vigência da lei, e assim, expor as empresas ao risco de terem seus dados expostos.

Independente do escopo e abrangência, um tema será abordado em todos os relatórios consultivos sobre LGPD: anonimização e pseudoanonimização de dados. Somente através das tecnologias que promoverão essas facilidades será possível garantir que informações sensíveis não serão divulgadas.

Contrate consultoria e espere o resultado, mas enquanto isso promova a criptografia dos seus dados. Você estará se antecipando na proteção dos dados e ganhando tempo para se preparar para todas as outras disciplinas da legislação.

*Por José Ricardo Maia Moraes é Business Development Executive da Neotel.

**Sobre a Neotel: empresa brasileira focada em Segurança Digital com alianças tecnológicas com os principais provedores globais de tecnologia. De forma inovadora integra diversas soluções e serviços oferecendo uma plataforma que se diferencia pelo alinhamento aos objetivos de negócios, risco, exposição e Compliance dos Clientes. Entregamos soluções sob medida para cada vertical, negócio e situação.