A LGPD trata de forma muito diferente dois conceitos que costumam ser confundidos: dado anonimizado e dado pseudonimizado. Saber a diferença é o que define se o dado continua ou não sob a regulação — e isso muda completamente as obrigações da sua empresa.
Dado anonimizado: fora do escopo da LGPD
Segundo o Art. 5º, III, dado anonimizado é aquele que perdeu, de forma irreversível, a possibilidade de identificar o titular — considerando meios técnicos razoáveis disponíveis na época. Quando um dado é genuinamente anonimizado, ele deixa de ser dado pessoal e, portanto, sai do alcance da LGPD.
Dado pseudonimizado: continua sendo dado pessoal
Pseudonimização (Art. 13, §4º) é uma medida de segurança onde o dado pode ser reidentificado, mas só com uma chave separada (ex.: substituir o CPF por um identificador interno). É excelente para reduzir risco em pesquisa, analytics e desenvolvimento — mas o dado continua sendo pessoal e todas as obrigações da LGPD se aplicam.
Quando usar cada técnica
- •Anonimização: relatórios públicos, BI agregado, indicadores de mercado.
- •Pseudonimização: ambientes de teste, analytics interno, machine learning, compartilhamento controlado.
- •Nenhuma das duas substitui a base legal — você ainda precisa de fundamento (Art. 7º) para tratar o dado.
Erros comuns que vemos em PMEs
- •Chamar de 'anonimizado' um dado apenas mascarado (ex.: 'Maria S.') — segue identificável.
- •Guardar a chave de reversão no mesmo banco do dado pseudonimizado, anulando a proteção.
- •Excluir as obrigações de ROPA por achar que o dado 'já é anônimo'.