A anonimização como possível evidência de encerramento do tratamento de dados pessoais: Uma análise jurídica, técnica e estratégica

A lei 13.709/18 - LGPD - Lei Geral de Proteção de Dados Pessoais - estabelece princípios e regras para o tratamento de dados pessoais no Brasil, incluindo diretrizes claras sobre o encerramento do tratamento. Dentre as hipóteses previstas no art. 15 da lei, a eliminação dos dados após o término da finalidade é a medida mais frequentemente adotada.

No entanto, surge uma indagação relevante: poderia a anonimização eficaz, irreversível e bem documentada, ser juridicamente reconhecida como evidência de encerramento do tratamento de dados pessoais?

O presente artigo busca analisar essa possibilidade sob as perspectivas jurídica, técnica e estratégica, especialmente para fins de auditoria da ANPD ou em eventuais litígios envolvendo o ciclo de vida dos dados. A proposta não é substituir a exclusão onde ela for obrigatória, mas explorar cenários legítimos em que a anonimização possa funcionar como solução alternativa e proporcional, alinhada à boa-fé, à responsabilidade e à finalidade do tratamento.

1. O que diz a LGPD sobre anonimização?

O conceito de anonimização é introduzido nos incisos III e XI do art. 5º da LGPD, que a definem como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento que eliminem a possibilidade de associação, direta ou indireta, entre um dado e uma pessoa natural.

O art. 12 reforça que dados anonimizados não são considerados dados pessoais, salvo se o processo for reversível com meios próprios ou razoáveis. Ou seja, a eficácia da anonimização deve ser contextual e mensurável.

A leitura integrada com o art. 15, que trata do término do tratamento, e com os arts. 16 (retenção) e 18 (direitos do titular), permite interpretar que, em determinadas situações, a anonimização bem conduzida pode descaracterizar a relação entre o dado e o titular, rompendo o vínculo jurídico e técnico que caracteriza o tratamento.

2. Anonimização sob a ótica da ANPD: Processo, risco e responsabilidade

O estudo técnico 1/23 da ANPD - Autoridade Nacional de Proteção de Dados trouxe relevantes esclarecimentos sobre o processo de anonimização. A Autoridade o caracteriza como um processo contínuo de gestão de risco, cuja efetividade depende da relação entre:

• RRM - Risco de Reidentificação Mensurado, e
• RRA - Risco de Reidentificação Aceitável.

A anonimização será considerada válida somente se o RRM for inferior ao RRA, levando em conta fatores como:

• Volume e sensibilidade dos dados;
• Técnicas aplicadas (ex.: supressão, generalização, permutação, adição de ruído);
• A finalidade do uso residual;
• A disponibilidade tecnológica no tempo do tratamento.

Além disso, o processo requer:

• Testes técnicos de reidentificação;
• Registro documental do método adotado;
• Avaliação de contexto e proporcionalidade;
• Preservação de valor estatístico (quando aplicável) e segurança informacional.

Diagrama simplificado do processo de anonimização:

Essa abordagem evidencia que a anonimização não é um evento isolado, mas um procedimento com requisitos técnicos, jurídicos e operacionais que precisam ser demonstrados em auditorias ou litígios.

3. Fundamentos jurídicos para sustentar a anonimização como encerramento

O art. 15 da LGPD prevê que o tratamento de dados pessoais será encerrado nas seguintes hipóteses:

"I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento; ou

IV - determinação da autoridade nacional."

O art. 16, por sua vez, permite a conservação dos dados anonimizados para uso exclusivo do controlador, desde que vedado o acesso por terceiros. Já o art. 18, VI, garante ao titular o direito à eliminação dos dados tratados com consentimento, salvo nas exceções legais.

A conjugação desses dispositivos permite argumentar que, uma vez que os dados tenham sido efetivamente anonimizados, eliminando a possibilidade de identificação do titular, não há mais "tratamento de dado pessoal" a ser encerrado, pois o vínculo jurídico com a LGPD deixa de existir.

Desde que acompanhado de documentação que comprove:

• A irreversibilidade prática do processo;
• A inexistência de riscos de reidentificação razoáveis;
• A finalidade legítima e o uso interno, conforme art. 16;

Assim a anonimização pode ser invocada como evidência de encerramento de tratamento, cumprindo a função de garantir conformidade e segurança jurídica ao controlador.

4. Aplicação prática e estratégica em ambientes jurídicos

Nos escritórios de advocacia, especialmente os que atuam com contencioso de massa, é comum a retenção de grandes volumes de dados pessoais processuais por longos períodos. Muitos desses dados são sensíveis ou com algum grau de sensibilidade (ex.: nome, CPF, informações bancárias ou de saúde).

Após o término dos prazos legais de retenção, surge a necessidade de encerrar o tratamento desses dados, mas sem perder a riqueza histórica e estratégica das informações.

A anonimização, quando bem aplicada, pode oferecer vantagens como:

• Manutenção de estatísticas sobre padrões de litígios;
• Preservação de histórico de teses jurídicas e jurisprudência aplicada;
• Redução de riscos regulatórios (por não manter dados pessoais desnecessários);
• Demonstração de diligência e responsabilidade (accountability), conforme art. 6º, X da LGPD.

Essa prática, embora ainda pouco consolidada, antecipa exigências regulatórias, prepara o controlador para auditorias e reforça a cultura de governança de dados com responsabilidade.

5. Limites, cuidados e riscos associados

Importante destacar que anonimização não deve ser usada de forma genérica ou superficial para substituir a eliminação de dados. O próprio art. 52 da LGPD prevê sanções administrativas nos casos de falha na segurança ou no tratamento inadequado de dados pessoais - inclusive quando mascarado sob o rótulo de "anonimização".

Alguns cuidados essenciais:

• Evitar anonimizações fracas ou reversíveis, como meras remoções de campos identificadores;
• Definir claramente a finalidade do uso residual dos dados;
• Controlar rigorosamente o acesso aos dados anonimizados;
• Registrar tecnicamente os métodos e testes aplicados, criando trilhas de auditoria;
• Reavaliar periodicamente a efetividade da anonimização, dado o avanço tecnológico.

Em suma, o uso da anonimização como estratégia de encerramento exige responsabilidade técnica, cautela jurídica e maturidade organizacional.

Conclusão

A LGPD não equipara explicitamente anonimização a exclusão, mas sua estrutura normativa e os posicionamentos da ANPD permitem afirmar que, em determinadas circunstâncias, a anonimização irreversível, tecnicamente robusta e bem documentada pode sim ser apresentada como evidência de encerramento do tratamento de dados pessoais.

Essa interpretação, encontra respaldo na leitura sistemática da lei e nas práticas recomendadas pela ANPD.

A adoção dessa estratégia deve ser sempre proporcional, contextualizada e nunca utilizada como subterfúgio para evitar obrigações legais, mas como uma forma legítima de compatibilizar o interesse do controlador com a preservação da privacidade dos titulares e o respeito aos princípios da boa-fé, finalidade, necessidade e responsabilização.