Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

Existe uma brecha na aplicação da LGPD que a ANPD pode ainda não ter percebido?

‎Por Calza Neto

Desde a promulgação da Lei Geral de Proteção de Dados (LGPD), o Brasil deu passos importantes para alinhar seu arcabouço legal às melhores práticas internacionais de proteção da privacidade. A criação da Autoridade Nacional de Proteção de Dados (ANPD) foi um marco institucional necessário para a efetiva fiscalização e orientação das organizações. No entanto, como ocorre em qualquer processo regulatório em construção, existem lacunas que ainda não foram plenamente abordadas — e uma delas começa a se tornar crítica: o uso de dados anonimizados com reidentificação indireta.

A LGPD traça uma linha tênue: dados anonimizados estão fora do seu alcance, desde que a anonimização seja verdadeiramente irreversível. Mas aqui reside o paradoxo: o que é irreversível hoje pode ser facilmente desmontado amanhã. Com o avanço implacável do machine learning, da mineração de dados e do cruzamento massivo de bases públicas e privadas, a reidentificação deixou de ser hipótese e virou mercado.

Este é nos parece um ponto cego que a ANPD pode ainda não ter percebido: um território ainda pouco explorado, onde a lei parece clara, mas a realidade é turva. Empresas estão navegando sob a bandeira da “anonimização”, mas com bússolas apontadas para a reidentificação. Coletam, tratam e comercializam dados que, em tese, são neutros — mas na prática, podem ser revertidos com um clique e um algoritmo.

Criou-se assim uma zona cinzenta regulatória, onde o que parece legal esconde um risco latente à privacidade individual. De um lado, temos o conforto jurídico de um rótulo (“dados anônimos”). Do outro, a instabilidade de uma bomba-relógio tecnológica.

A ausência de critérios técnicos, métricas auditáveis e metodologias confiáveis sobre o que, de fato, constitui uma anonimização robusta é o que alimenta esse vácuo normativo. Enquanto isso, o cidadão se torna um personagem invisível em um jogo de dados onde as regras ainda estão sendo escritas — ou pior, ignoradas.

O problema se agrava quando esses dados são utilizados para fins como scoring de crédito, direcionamento de anúncios, tomada de decisão automatizada ou definição de elegibilidade para serviços essenciais. Nesses casos, mesmo sem saber exatamente quem é o titular, as empresas conseguem inferir perfis de comportamento com alto grau de precisão, afetando diretamente a vida dos indivíduos. O risco não é hipotético. Ele já está em operação — e muitas vezes sem qualquer transparência.

Há uma dimensão que vai além da letra fria da lei e que toca diretamente no coração ético da LGPD: o direito de cada cidadão a ter controle genuíno sobre seus dados pessoais. Esse é o espírito que dá vida à norma. Mas quando esse controle é driblado por artifícios técnicos, como a chamada anonimização reversível, não estamos apenas diante de uma brecha. Estamos diante de um desvio de finalidade.

O que se apresenta como solução tecnológica pode, na verdade, ser uma cortina de fumaça. Uma estratégia para manter o poder nas mãos de quem detém os dados, e não de quem é dono de si.

É preciso sair do plano da aparência de conformidade e mergulhar no que realmente importa: o impacto concreto na vida das pessoas. É hora de superar a fiscalização ritualística e adotar uma postura de vigilância ética e substancial. Não basta que a operação esteja em conformidade com a letra da lei. Ela precisa estar alinhada com o princípio fundamental da proteção da dignidade informacional.

Enquanto essa virada não acontece, o risco persiste. O cidadão continua vulnerável, entregando sua privacidade a um jogo técnico que ele nem sequer vê acontecendo.

A questão da reidentificação se torna ainda mais delicada quando falamos de dados sensíveis, como origem racial, religião, orientação sexual ou dados de saúde. Mesmo que removidos os identificadores diretos, a combinação de padrões e comportamentos pode levar a inferências perigosas. Isso fere não apenas a privacidade, mas também os princípios de não discriminação, equidade e justiça previstos na própria LGPD.

Outro ponto de atenção é a atuação das chamadas data brokers — empresas especializadas na coleta, processamento e comercialização de grandes volumes de dados. Muitas operam sob o argumento de que lidam apenas com dados anonimizados. No entanto, seu modelo de negócio depende justamente da capacidade de transformar dados dispersos em perfis acionáveis. Isso cria um paradoxo: quanto mais eficaz o modelo, mais frágil a anonimização.

A ausência de um padrão técnico nacional para anonimização, semelhante ao que o NIST (National Institute of Standards and Technology) oferece nos Estados Unidos, enfraquece a capacidade de fiscalizar práticas com base objetiva. O que se vê são organizações adotando critérios próprios — ou convenientes — para classificar dados como anônimos, sem qualquer validação externa. A autorregulação, nesse campo, mostra-se insuficiente.

É preciso que se avance na definição de critérios mais rigorosos, tanto para a anonimização quanto para a pseudonimização, distinguindo claramente seus efeitos legais e seus limites operacionais. Além disso, deve-se considerar a criação de mecanismos de certificação ou selos de boas práticas que sinalizem ao mercado e ao consumidor o grau de segurança adotado pelas empresas quanto ao uso de dados potencialmente reidentificáveis.

Outro caminho é promover a transparência algorítmica como forma de compensar essa assimetria de poder informacional. Empresas que operam com dados anonimizados — especialmente em decisões automatizadas — deveriam ser obrigadas a prestar contas sobre os critérios utilizados, os níveis de risco de reidentificação e os mecanismos de mitigação aplicados. Isso seria um avanço importante na proteção dos direitos dos titulares.

A realidade é que a linha entre dados pessoais e dados anonimizados tornou-se tênue com o avanço das tecnologias. A regulação precisa acompanhar essa transformação. Não basta repetir que dados anonimizados estão fora do escopo da LGPD — é necessário reconhecer que a anonimização não é um estado absoluto, mas um espectro de risco que precisa ser gerido de forma contínua.

Outro aspecto ignorado na discussão regulatória atual é o uso de dados anonimizados por sistemas de inteligência artificial generativa. Quando grandes modelos de linguagem são treinados em dados extraídos de interações humanas, há sempre o risco de que informações sensíveis reapareçam como outputs inesperados. A LGPD ainda não oferece diretrizes claras sobre como esses dados devem ser tratados — e isso precisa mudar.

O atual foco em fiscalizações reativas, aquelas que respondem a denúncias ou incidentes, é importante, mas está longe de ser suficiente. A urgência do cenário exige uma postura mais proativa, com auditorias temáticas, investigações orientadas por riscos sistêmicos e uma atuação mais estratégica. A reidentificação de dados é um desses riscos. E justamente por operar de forma silenciosa, longe dos olhos do consumidor comum, torna-se ainda mais perigosa.

Também cabe à sociedade civil sair da inércia e cobrar avanços. A baixa visibilidade desse tema faz com que ele desperte pouco interesse popular, mas seus efeitos são profundos e coletivos. Quando algoritmos utilizam dados supostamente anônimos para excluir pessoas de oportunidades, manipular decisões ou reforçar preconceitos, o dano ultrapassa o individual. Ele atinge a própria integridade do tecido social.

A proteção de dados precisa ser compreendida como um bem público. E todo bem público exige vigilância constante, participação ativa e uma visão crítica diante dos atalhos técnicos que comprometem direitos fundamentais.

Do ponto de vista jurídico, há espaço para interpretações mais corajosas. Tribunais poderiam aplicar os princípios da LGPD mesmo em casos de anonimização falha, com base na finalidade do tratamento e no risco de dano. A jurisprudência brasileira ainda está se formando nesse campo, mas poderia desempenhar um papel relevante no fechamento dessas lacunas.

Empresas responsáveis devem se antecipar ao movimento regulatório. Investir em anonimização robusta, fazer testes reais de reidentificação, contratar auditorias independentes e documentar todo o processo são boas práticas que reforçam a confiança do mercado. Esperar por uma sanção para agir é uma estratégia cada vez mais arriscada — e reputacionalmente cara.

A brecha da reidentificação é um sinal de alerta sobre os caminhos futuros da proteção de dados. O mesmo avanço tecnológico que tornou esse risco possível exige agora uma regulação mais ágil, baseada em evidências concretas e guiada por princípios sólidos. Não se trata apenas de acompanhar o ritmo da inovação, mas de antecipar seus efeitos e proteger o que há de mais essencial: a liberdade informacional das pessoas.

A ANPD ocupa uma posição estratégica nessa transformação. Seu papel é garantir que a regulação não seja apenas uma resposta atrasada, mas uma força capaz de moldar um ecossistema digital mais justo e seguro. Para isso, é fundamental agir com prontidão e visão de futuro. Porque o que hoje parece um risco invisível pode, em pouco tempo, se transformar em um problema incontornável.

Conclusão

A proteção de dados no Brasil chegou a um ponto de inflexão. A LGPD foi um avanço essencial, mas sua efetividade depende de uma leitura dinâmica, crítica e conectada com a realidade tecnológica. A brecha da reidentificação não é apenas uma falha técnica. É uma falha sistêmica que desafia a própria essência da regulação: proteger pessoas em um mundo onde dados são poder.

Ignorar esse ponto cego é permitir que a engenharia da privacidade seja substituída pela engenharia da aparência. É permitir que empresas continuem a explorar zonas cinzentas enquanto indivíduos têm suas vidas moldadas por decisões invisíveis, algoritmos opacos e perfis construídos sem consentimento.

A ANPD, enquanto guardiã desse novo território digital, está em posição estratégica para liderar os próximos avanços na proteção de dados no Brasil. Mais do que reagir a riscos já consolidados, é hora de fortalecer seu papel como protagonista na construção de um ambiente regulatório que seja tecnicamente robusto, socialmente responsável e alinhado com os princípios da LGPD.

Isso passa por fomentar diretrizes técnicas claras, estimular boas práticas baseadas em evidências e desenvolver mecanismos de fiscalização orientados por riscos concretos. Também é importante reconhecer que a anonimização não deve ser tratada como um estado definitivo, mas como um processo contínuo, que requer acompanhamento constante, transparência nos métodos utilizados e compromisso ético com os direitos dos titulares.

Mais do que um imperativo legal, a proteção contra reidentificação é um compromisso civilizatório. Proteger a dignidade informacional do cidadão é proteger a democracia em tempos de dados. E isso não pode esperar.

Calza-Neto2101

CONSELHEIR@

Walter Calza Neto

Walter Calza Neto, fundador do CNK Advogados, com 25 anos de experiência nos campos de Direito Digital, Privacidade, Cibersegurança e Propriedade Intelectual, além de atuar como perito judicial no Tribunal de Justiça de São Paulo (TJSP). Formei-me em Direito pela Universidade Presbiteriana Mackenzie em 1998 e sou membro das Comissões de Proteção de Dados do Instituto dos Advogados de São Paulo (IASP) e de Inovação e Tecnologia da OAB/SP.

Ao longo da minha trajetória, busquei me especializar por meio de qualificações de destaque internacional, como o curso “Computer Science for Lawyers” (CS50L) pela Harvard Law School, “Cybersecurity Essentials” pela Cisco Networking Academy, “Digital Transformation” pelo International Business Management Institute, na Alemanha, e “Data Privacy Awareness” pela Rolls Royce, na Inglaterra. Também tenho formação em investigações corporativas e compliance pela Fundação Getulio Vargas (FGV) e pela Legal Ethics & Compliance (LEC/FGV).

Atuo como DPO as a Service, atendendo clientes como Sport Club Corinthians Paulista, Sparco Automotive, Garrett Motion, Delta Global Bank, DentallPar, entre outros. Minha experiência inclui liderar projetos de adequação à LGPD, gestão de segurança da informação e resposta a incidentes cibernéticos, auxiliando empresas a mitigar riscos, investigar violações e implementar soluções eficazes para prevenir novos ataques. Meu foco é oferecer soluções personalizadas e estratégicas, alinhando tecnologia, legislação e governança para atender às necessidades específicas de cada cliente.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.