Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Anonimização, pseudonimização e redução de risco na exposição de dados

Capítulo 10

Tempo estimado de leitura: 13 minutos

+ Exercício

Por que anonimização e pseudonimização reduzem risco (e quando não resolvem)

Anonimização e pseudonimização são técnicas usadas para reduzir o risco associado ao uso, compartilhamento e exposição de dados pessoais. Elas ajudam a limitar impactos em caso de incidente, viabilizam análises com menor sensibilidade e permitem que áreas de negócio usem dados com menos dependência de identificadores diretos. Na prática, essas técnicas não são “sinônimos de segurança”: elas reduzem probabilidade e impacto de reidentificação, mas não eliminam todos os riscos, especialmente quando há dados auxiliares (dados externos, bases públicas, logs, metadados) que podem permitir inferências.

Para fins de conformidade com a LGPD, é essencial distinguir: (1) quando um conjunto de dados deixa de ser pessoal por estar efetivamente anonimizado e (2) quando permanece sendo dado pessoal, ainda que protegido por pseudonimização. Essa distinção muda obrigações, controles e decisões de compartilhamento.

Conceitos essenciais

Dado anonimizado

Dado anonimizado é aquele que não permite identificar o titular, considerando meios técnicos razoáveis e disponíveis no momento do tratamento. O ponto central é a irreversibilidade prática: não deve ser possível voltar ao indivíduo, nem direta nem indiretamente, com esforço razoável. Isso inclui resistir a tentativas de reidentificação por combinação com outras fontes.

Exemplo: uma tabela de vendas em que foram removidos identificadores diretos e, além disso, as variáveis foram generalizadas e agregadas de forma que não seja possível isolar uma pessoa (por exemplo, “faixa etária” em vez de data de nascimento, “região” em vez de CEP completo, e contagens mínimas por grupo).

Dado pseudonimizado

Pseudonimização é a substituição de identificadores por um pseudônimo (token, código, hash, chave substituta), mantendo a possibilidade de reidentificação mediante informação adicional separada (por exemplo, uma tabela de correspondência). Em termos práticos, pseudonimização reduz exposição e facilita controles de acesso, mas o dado continua sendo pessoal, porque a reidentificação é possível para quem possui a “chave” (tabela de mapeamento, segredo, token vault).

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Exemplo: trocar CPF por um identificador interno aleatório (ID 9f3a...) e guardar a tabela CPF↔ID em um repositório segregado, com acesso restrito.

Diferença prática entre as duas

  • Anonimização: objetivo é impedir reidentificação de forma razoável; ideal para analytics e compartilhamento com terceiros quando não há necessidade de identificar indivíduos.
  • Pseudonimização: objetivo é reduzir exposição mantendo capacidade controlada de reidentificar (ex.: suporte, antifraude, reconciliação); útil quando processos exigem vínculo com o titular.
  • Risco residual: anonimização mal feita pode ser revertida por correlação; pseudonimização sempre tem risco residual porque existe “chave” de reversão.

Ameaças comuns: como ocorre reidentificação na prática

Entender como a reidentificação acontece ajuda a escolher técnicas adequadas e a testar a robustez do resultado.

Vínculo por quasi-identificadores

Mesmo sem nome/CPF, combinações como data de nascimento + sexo + CEP podem identificar pessoas em muitas populações. Esses atributos são chamados de quasi-identificadores: isoladamente parecem inofensivos, mas juntos podem ser únicos.

Inferência por atributos sensíveis

Às vezes o objetivo do atacante não é descobrir “quem é”, mas inferir algo sensível sobre um grupo pequeno. Se uma tabela mostra que em um bairro com poucos registros há alta incidência de determinada condição, pode haver exposição indireta.

Dados auxiliares e vazamentos laterais

Reidentificação pode ocorrer ao cruzar dados pseudonimizados com logs, IDs de dispositivos, eventos de navegação, ou bases públicas. Um dataset “anônimo” pode deixar de ser anônimo quando combinado com outra fonte.

Quando usar cada abordagem

Cenários típicos para anonimização

  • Relatórios gerenciais e BI em que não há necessidade de identificar indivíduos.
  • Compartilhamento com parceiros para estudos de mercado, planejamento de demanda, análises estatísticas.
  • Publicação de dados (internamente ou externamente) em que o risco de reidentificação precisa ser minimizado.

Cenários típicos para pseudonimização

  • Ambientes de desenvolvimento e teste quando é necessário manter consistência referencial (mesmo cliente em várias tabelas) sem expor identificadores reais.
  • Detecção de fraude e segurança onde é útil correlacionar eventos por usuário sem revelar identidade para todos os analistas.
  • Atendimento e operações em que apenas um grupo restrito pode reidentificar, sob necessidade e registro.

Técnicas de anonimização: o que funciona e o que costuma falhar

Remoção de identificadores diretos (insuficiente)

Excluir nome, CPF, e-mail e telefone é um primeiro passo, mas raramente torna o dado anônimo. Quasi-identificadores permanecem e podem reidentificar.

Generalização e agregação

Generalização reduz granularidade (idade em faixas, endereço em região). Agregação troca registros individuais por estatísticas (contagens, médias). Em geral, agregação é mais robusta, mas pode reduzir utilidade analítica.

Supressão e amostragem

Supressão remove campos ou registros de alto risco (outliers, combinações raras). Amostragem reduz risco ao não expor a população completa, mas não garante anonimato se o conjunto ainda tiver unicidade.

Perturbação e ruído

Adicionar ruído controlado (por exemplo, variar valores numéricos dentro de limites) pode reduzir reidentificação, mas exige cuidado para não distorcer análises críticas. Para alguns casos, técnicas inspiradas em privacidade diferencial podem ser consideradas, especialmente em consultas e estatísticas.

k-anonimato, l-diversidade e t-closeness (como critérios práticos)

Esses modelos ajudam a avaliar risco:

  • k-anonimato: cada combinação de quasi-identificadores deve aparecer em pelo menos k registros. Se k=10, cada “grupo” tem no mínimo 10 pessoas, reduzindo unicidade.
  • l-diversidade: dentro de cada grupo k-anônimo, o atributo sensível deve ter diversidade suficiente (evita que todos no grupo compartilhem o mesmo diagnóstico, por exemplo).
  • t-closeness: a distribuição do atributo sensível no grupo deve ser próxima da distribuição global (reduz inferência).

Esses critérios não são “certificados” automáticos, mas são úteis para orientar decisões e documentar racionalidade técnica.

Técnicas de pseudonimização: escolhas e armadilhas

Tokenização (recomendável para reversão controlada)

Tokenização substitui um identificador por um token aleatório, e a reversão depende de um cofre (vault) ou tabela de mapeamento. É adequada quando é necessário reidentificar sob controle. O token deve ser não derivável (não pode ser “adivinhado”).

Hash (cuidado com reversão por dicionário)

Hash de CPF/e-mail parece seguro, mas pode ser revertido por ataques de dicionário e força bruta, porque o espaço de valores é limitado e previsível. Para reduzir esse risco, usa-se salt (valor aleatório) e, em alguns casos, pepper (segredo adicional). Mesmo assim, hash não é tokenização: não há “vault”, e a gestão de segredos vira ponto crítico.

Criptografia como pseudonimização

Criptografar um campo e expor apenas o ciphertext pode funcionar como pseudonimização se a chave estiver segregada e o acesso for restrito. Porém, se a mesma equipe e sistema têm acesso fácil à chave, o ganho prático de redução de exposição pode ser pequeno.

Mascaramento (parcial) para uso operacional

Mascaramento exibe apenas parte do dado (ex.: mostrar apenas 4 últimos dígitos). É útil para telas e relatórios operacionais, mas não é anonimização e pode ser insuficiente para datasets completos.

Passo a passo prático: como desenhar um processo de anonimização para analytics

1) Defina o objetivo e o nível de utilidade necessário

Liste quais perguntas o time precisa responder (ex.: taxa de conversão por região e faixa etária). Isso evita manter variáveis desnecessárias e orienta o nível de granularidade.

2) Classifique campos em: identificadores diretos, quasi-identificadores e sensíveis

  • Diretos: nome, CPF, e-mail, telefone, matrícula.
  • Quasi-identificadores: data de nascimento, CEP, profissão, geolocalização, timestamps detalhados.
  • Sensíveis (contextuais): saúde, biometria, religião, dados financeiros, ou qualquer atributo que gere alto impacto se inferido.

3) Escolha transformações por categoria

  • Diretos: remover ou substituir por agregação (em geral, não devem ir para analytics se o objetivo é anonimização).
  • Quasi-identificadores: generalizar (faixas), truncar (CEP 5 dígitos para 3), reduzir precisão temporal (dia em vez de minuto), ou suprimir.
  • Sensíveis: preferir agregação, aplicar l-diversidade/t-closeness, ou remover se não for essencial.

4) Aplique regras de “tamanho mínimo de grupo”

Defina um limiar (ex.: não publicar/entregar recortes com menos de 10 registros). Em BI, isso pode ser implementado como regra de supressão: se a contagem for menor que o limiar, o sistema retorna “insuficiente”.

5) Teste risco de reidentificação (unicidade e linkage)

Faça testes simples e repetíveis:

  • Unicidade: quantos registros têm combinação única de quasi-identificadores?
  • Linkage interno: é possível cruzar com outra tabela interna e reidentificar?
  • Linkage externo: existe base pública plausível para cruzamento (ex.: dados eleitorais, redes sociais, cadastros vazados)?

Documente resultados e ajustes. Se a unicidade estiver alta, aumente generalização, agregue mais, ou suprima variáveis.

6) Valide utilidade analítica

Compare métricas antes/depois (ex.: médias, distribuições, correlações relevantes). Se a transformação destrói o valor do dado, reavalie o objetivo ou use pseudonimização com controles mais fortes em vez de tentar “forçar” anonimização.

7) Formalize o artefato de anonimização

Crie um “perfil” versionado com regras aplicadas (ex.: idade: faixas de 5 anos; CEP: 3 dígitos; tempo: semana; supressão: grupos < 10). Isso permite reprodutibilidade e auditoria técnica.

Passo a passo prático: pseudonimização com tokenização e segregação

1) Defina quais identificadores precisam ser correlacionáveis

Exemplo: para detectar fraude, você quer correlacionar transações do mesmo cliente sem expor CPF. Então o CPF vira token, mas o token deve ser estável (o mesmo CPF gera o mesmo token) dentro do contexto permitido.

2) Escolha o tipo de token

  • Token aleatório com vault: mais seguro, requer infraestrutura de mapeamento.
  • Token determinístico: útil para consistência; deve ser protegido contra enumeração e acesso indevido ao mecanismo.

3) Separe a “informação adicional” (tabela de mapeamento)

A tabela CPF↔token deve ficar em ambiente segregado, com acesso mínimo e trilha de auditoria. A equipe que analisa dados pseudonimizados não deve ter acesso padrão ao vault.

4) Controle o fluxo de reidentificação

Defina um procedimento: quem pode solicitar reidentificação, em quais casos, com qual justificativa e qual evidência. Na prática, isso reduz o risco de “reidentificação por conveniência”.

5) Proteja contra vazamentos por metadados

Mesmo com token, outros campos podem reidentificar (endereço, geolocalização, timestamps). Aplique também generalização/supressão quando necessário. Pseudonimização não substitui análise de quasi-identificadores.

6) Teste ataques básicos

  • Enumeração: é possível gerar tokens válidos por tentativa?
  • Reuso indevido: o token é o mesmo em múltiplos sistemas, permitindo correlação excessiva?
  • Vazamento do vault: quais seriam os impactos e como detectar?

Redução de risco na exposição: padrões práticos de arquitetura e operação

Separação por camadas de dados

Um padrão comum é manter camadas com diferentes níveis de sensibilidade:

  • Camada identificável: dados completos, acesso altamente restrito.
  • Camada pseudonimizada: para operações e análises internas com menor exposição.
  • Camada anonimizada/agregada: para BI amplo e compartilhamentos.

Esse desenho reduz o “raio de explosão” quando ocorre incidente em uma camada menos sensível.

Minimização de atributos de alto risco em datasets de trabalho

Mesmo sem repetir princípios gerais, na prática vale uma regra operacional: se um atributo não muda decisões, ele não deve estar no dataset. Geolocalização precisa, timestamps em segundos e identificadores de dispositivo são exemplos de campos que frequentemente aumentam risco sem benefício proporcional.

Política de recortes e anti-singularização

Em relatórios, dashboards e exports, implemente controles para evitar recortes que isolam indivíduos: filtros combinados (ex.: “cidade pequena + idade exata + cargo”) podem gerar grupos de 1. A regra de tamanho mínimo de grupo deve valer também para exportações manuais.

Gestão de datasets derivados

Um risco recorrente é a proliferação de “cópias” e “extratos” com diferentes níveis de anonimização/pseudonimização. Trate datasets derivados como produtos: nome, versão, responsável, finalidade, regras aplicadas e prazo de retenção. Isso evita que um extrato antigo e mais identificável continue circulando.

Exemplos práticos

Exemplo 1: base de atendimento para treinamento de modelos

Objetivo: treinar um classificador de temas de chamados. Não é necessário identificar o cliente.

  • Remover: nome, e-mail, telefone, número do documento.
  • Generalizar: data/hora do chamado para “semana do ano”; localização para “UF”.
  • Tratar texto livre: aplicar detecção e remoção de entidades (PII) no corpo do chamado (nomes, telefones, e-mails). Texto livre é uma das maiores fontes de vazamento.
  • Aplicar regra de grupos mínimos: não permitir exportar subconjuntos com poucos registros por categoria rara.

Exemplo 2: antifraude com pseudonimização

Objetivo: correlacionar transações por usuário e dispositivo, com reidentificação apenas quando houver alerta.

  • Tokenizar: CPF e e-mail com vault.
  • Reduzir granularidade: geolocalização em nível de cidade; timestamps em janelas de 15 minutos.
  • Segregar: time de análise vê tokens; time de investigação, mediante solicitação, reidentifica via vault.
  • Testar: garantir que tokens não sejam reutilizados entre domínios (ex.: tokens diferentes para marketing e antifraude) para reduzir correlação indevida.

Checklist técnico de qualidade (para revisão antes de liberar um dataset)

  • Identificadores diretos foram removidos ou substituídos de forma adequada ao objetivo?
  • Quasi-identificadores foram avaliados quanto a unicidade e generalizados/suprimidos quando necessário?
  • Existe regra de tamanho mínimo de grupo para evitar singularização em recortes?
  • Há teste documentado de risco de linkage com outras fontes internas e externas plausíveis?
  • Se for pseudonimizado: a informação adicional (mapeamento) está segregada e com acesso restrito?
  • Texto livre e anexos foram tratados para remoção de PII?
  • O dataset derivado está versionado e com regras de transformação registradas?
# Exemplo ilustrativo de regras (pseudo-especificação) para anonimização de dataset de vendas
- Remover: nome_cliente, email, telefone, cpf
- Transformar: data_nascimento -> faixa_etaria (18-24, 25-34, 35-44, 45-54, 55+)
- Transformar: cep -> cep3 (primeiros 3 dígitos)
- Transformar: data_compra -> semana_ano
- Suprimir: registros com combinações raras onde count(cep3, faixa_etaria, semana_ano) < 10
- Validar: unicidade(quasi_ids) < 1% e métricas agregadas preservadas (diferença < 5%)

Agora responda o exercício sobre o conteúdo:

Qual afirmação descreve corretamente a diferença entre anonimização e pseudonimização e seu efeito no risco de reidentificação?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Anonimização visa impedir reidentificação de forma razoável (idealmente irreversível na prática). Pseudonimização troca identificadores por pseudônimos, mas a reidentificação pode ocorrer via informação adicional (ex.: tabela de mapeamento), então o dado continua sendo pessoal.

Próximo capitúlo

Gestão de vulnerabilidades, correções e validação de controles técnicos

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store