5 e 6/11 – ESPM SÃO PAULO
Anonimização de dados na prática: aspectos técnicos e jurídicos
Enquanto juristas e programadores costumam discutir questões relacionadas a dados separadamente, nesta atividade, o bacharel em direito Sinuhe Cruz e o desenvolvedor Lucas Lago apresentaram uma nova visão interdisciplinar sobre o assunto.
A dupla deu início ao workshop com Sinuhe traçando um panorama legal sobre a anonimização de dados. O palestrante comentou as diferenças entre dados, dados pessoais e dados anonimizados, e introduziu as duas principais e opostas correntes de pensamento sobre dados pessoais: a expansionista e a reducionista. Ele ainda pontuou como os principais dispositivos legais sobre o tema adotaram uma visão expansionista, como é o caso da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), da Lei de Proteção de Dados Europeia (General Data Protection Regulation) e, no Brasil, do Marco Civil da Internet (MCI), da Lei de Acesso à Informação (LAI) e da Lei Geral de Proteção de Dados (LGPD).
Tratando do conceito de anonimização, Sinuhe defendeu que o essencial é entender que a técnica não é absoluta. Mas constitui um processo passível de falhas e reversões, sujeito à uma balança de razoabilidade que aponta se um dado pessoal foi aceitavelmente anonimizado para ser publicado.
O instrutor finalizou sua exposição levantando o debate entre proteção de dados e transparência, e criticou o tratamento de tais áreas como opostas, uma vez que, na verdade, se complementam entre si. Sinuhe citou ainda o exemplo dos microdados do Censo Escolar e ENEM, que foram ocultados de forma equivocada pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP), sob a justificativa de adequação à LGPD.
Na segunda parte da oficina, Lucas Lagos apresentou nove técnicas de anonimização: supressão de atributos, supressão de registros, mascaramento, pseudonimização, generalização, troca, perturbação, agregação e fabricação de dados sintéticos. O palestrante detalhou ainda o cenário mais apropriado para a utilização de cada uma e apontou suas limitações.
Lucas destacou que, dentre as nove, a supressão de atributos é a mais poderosa. A partir de uma dinâmica com os participantes, também mostrou as limitações da técnica de mascaramento, utilizada com frequência pela administração pública para anonimizar números de CPF. Por fim, o instrutor comentou como usou pseudonimização no site que construiu utilizando o “dossiê antifascista”, relatório vazado produzido pela Secretaria de Operações Integradas do Ministério da Justiça contra servidores federais e estaduais ditos “antifascistas”. Na plataforma Web, a técnica de pseudonimização transformou o nome dos servidores em hashes, assim a busca funcionou sem expor as pessoas e sem circular o relatório que continha diversos dados pessoais.
SINUHE NASCIMENTO E CRUZ
Bacharel em Direito pela Universidade de São Paulo e Analista Acadêmico do Data Privacy Brasil. Possui 8 anos de experiência acadêmica e profissional nas áreas de privacidade, proteção de dados e regulação de novas tecnologias. Interesses incluem: arranjos institucionais e enforcement na proteção de dados pessoais, Governança da Internet, proteção de dados e transparência pública, regulação da inteligência artificial e explicabilidade algorítmica.
LUCAS LAGO
Graduado e Mestre em Engenharia da Computação pela Escola Politécnica, onde pesquisou confiabilidade de software. Foi bolsista do Media Democracy Fund da Mozilla em 2018 atuando como techfellow no InternetLab. É Colaborador no Centro de Estudos Sociedade e Tecnologia na Universidade de São Paulo e no Núcleo Jornalismo. Mantém o “projeto7c0”, uma iniciativa de código aberto com foco em transparência do discurso político e combate a desinformação.
REALIZAÇÃO
DESENVOLVIDO COM
APOIO
Nosso conteúdo está disponível sob a licença Creative Commons Atribuição 4.0 Internacional, e pode ser compartilhado e reutilizado para trabalhos derivados, desde que citada a fonte.