Por Anderson Kenet de Oliveira, Valter da Conceição Faria Junior e Grupo de Estudos em Proteção de Dados MBA[i]
[i] Este artigo foi elaborado a partir de contribuições escritas e dos debates realizados no Grupo de Estudos em Proteção de Dados MBA, coordenado por Vander M. Cristaldo – advogado e DPO, membro da CEA-LGPD e do Comitê Técnico para implementação da LGPD da OAB/MS.
A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – estabelece princípios e regras para o tratamento de dados pessoais no Brasil, incluindo diretrizes claras sobre o encerramento do tratamento. Dentre as hipóteses previstas no art. 15 da Lei, a eliminação dos dados após o término da finalidade é a medida mais frequentemente adotada.
No entanto, surge uma indagação relevante: poderia a anonimização eficaz, irreversível e bem documentada, ser juridicamente reconhecida como evidência de encerramento do tratamento de dados pessoais?
O presente artigo busca analisar essa possibilidade sob as perspectivas jurídica, técnica e estratégica, especialmente para fins de auditoria da ANPD ou em eventuais litígios envolvendo o ciclo de vida dos dados. A proposta não é substituir a exclusão onde ela for obrigatória, mas explorar cenários legítimos em que a anonimização possa funcionar como solução alternativa e proporcional, alinhada à boa-fé, à responsabilidade e à finalidade do tratamento.
- O que diz a LGPD sobre anonimização?
O conceito de anonimização é introduzido nos incisos III e XI do art. 5º da LGPD, que a definem como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento que eliminem a possibilidade de associação, direta ou indireta, entre um dado e uma pessoa natural.
O art. 12 reforça que dados anonimizados não são considerados dados pessoais, salvo se o processo for reversível com meios próprios ou razoáveis. Ou seja, a eficácia da anonimização deve ser contextual e mensurável.
A leitura integrada com o art. 15, que trata do término do tratamento, e com os arts. 16 (retenção) e 18 (direitos do titular), permite interpretar que, em determinadas situações, a anonimização bem conduzida pode descaracterizar a relação entre o dado e o titular, rompendo o vínculo jurídico e técnico que caracteriza o tratamento.
- Anonimização sob a ótica da ANPD: processo, risco e responsabilidade
O Estudo Técnico nº 1/2023 da Autoridade Nacional de Proteção de Dados (ANPD) trouxe relevantes esclarecimentos sobre o processo de anonimização. A Autoridade o caracteriza como um processo contínuo de gestão de risco, cuja efetividade depende da relação entre:
- Risco de Reidentificação Mensurado (RRM), e
- Risco de Reidentificação Aceitável (RRA).
A anonimização será considerada válida somente se o RRM for inferior ao RRA, levando em conta fatores como:
- Volume e sensibilidade dos dados;
- Técnicas aplicadas (ex.: supressão, generalização, permutação, adição de ruído);
- A finalidade do uso residual;
- A disponibilidade tecnológica no tempo do tratamento.
Além disso, o processo requer:
- Testes técnicos de reidentificação;
- Registro documental do método adotado;
- Avaliação de contexto e proporcionalidade;
- Preservação de valor estatístico (quando aplicável) e segurança informacional.
Diagrama simplificado do processo de anonimização:
Essa abordagem evidencia que a anonimização não é um evento isolado, mas um procedimento com requisitos técnicos, jurídicos e operacionais que precisam ser demonstrados em auditorias ou litígios.
- Fundamentos jurídicos para sustentar a anonimização como encerramento
O art. 15 da LGPD prevê que o tratamento de dados pessoais será encerrado nas seguintes hipóteses:
“I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento; ou
IV – determinação da autoridade nacional.”
O art. 16, por sua vez, permite a conservação dos dados anonimizados para uso exclusivo do controlador, desde que vedado o acesso por terceiros. Já o art. 18, VI, garante ao titular o direito à eliminação dos dados tratados com consentimento, salvo nas exceções legais.
A conjugação desses dispositivos permite argumentar que, uma vez que os dados tenham sido efetivamente anonimizados, eliminando a possibilidade de identificação do titular, não há mais “tratamento de dado pessoal” a ser encerrado, pois o vínculo jurídico com a LGPD deixa de existir.
Desde que acompanhado de documentação que comprove:
- A irreversibilidade prática do processo;
- A inexistência de riscos de reidentificação razoáveis;
- A finalidade legítima e o uso interno, conforme art. 16;
Assim a anonimização pode ser invocada como evidência de encerramento de tratamento, cumprindo a função de garantir conformidade e segurança jurídica ao controlador.
- Aplicação prática e estratégica em ambientes jurídicos
Nos escritórios de advocacia, especialmente os que atuam com contencioso de massa, é comum a retenção de grandes volumes de dados pessoais processuais por longos períodos. Muitos desses dados são sensíveis ou com algum grau de sensibilidade (ex.: nome, CPF, informações bancárias ou de saúde).
Após o término dos prazos legais de retenção, surge a necessidade de encerrar o tratamento desses dados, mas sem perder a riqueza histórica e estratégica das informações.
A anonimização, quando bem aplicada, pode oferecer vantagens como:
- Manutenção de estatísticas sobre padrões de litígios;
- Preservação de histórico de teses jurídicas e jurisprudência aplicada;
- Redução de riscos regulatórios (por não manter dados pessoais desnecessários);
- Demonstração de diligência e responsabilidade (accountability), conforme art. 6º, X da LGPD.
Essa prática, embora ainda pouco consolidada, antecipa exigências regulatórias, prepara o controlador para auditorias e reforça a cultura de governança de dados com responsabilidade.
- Limites, cuidados e riscos associados
Importante destacar que anonimização não deve ser usada de forma genérica ou superficial para substituir a eliminação de dados. O próprio art. 52 da LGPD prevê sanções administrativas nos casos de falha na segurança ou no tratamento inadequado de dados pessoais – inclusive quando mascarado sob o rótulo de “anonimização”.
Alguns cuidados essenciais:
- Evitar anonimizações fracas ou reversíveis, como meras remoções de campos identificadores;
- Definir claramente a finalidade do uso residual dos dados;
- Controlar rigorosamente o acesso aos dados anonimizados;
- Registrar tecnicamente os métodos e testes aplicados, criando trilhas de auditoria;
- Reavaliar periodicamente a efetividade da anonimização, dado o avanço tecnológico.
Em suma, o uso da anonimização como estratégia de encerramento exige responsabilidade técnica, cautela jurídica e maturidade organizacional.
Conclusão
A LGPD não equipara explicitamente anonimização a exclusão, mas sua estrutura normativa e os posicionamentos da ANPD permitem afirmar que, em determinadas circunstâncias, a anonimização irreversível, tecnicamente robusta e bem documentada pode sim ser apresentada como evidência de encerramento do tratamento de dados pessoais.
Essa interpretação, encontra respaldo na leitura sistemática da lei e nas práticas recomendadas pela ANPD.
A adoção dessa estratégia deve ser sempre proporcional, contextualizada e nunca utilizada como subterfúgio para evitar obrigações legais, mas como uma forma legítima de compatibilizar o interesse do controlador com a preservação da privacidade dos titulares e o respeito aos princípios da boa-fé, finalidade, necessidade e responsabilização.
