“Técnicas de anonimização de

bases de dados conforme a

LGPD”
SIL-022
Agenda
• Unidade 1: Fundamentação Teórica
➔Ciclo de vida
➔Anonimização (Prática)

• Unidade 2: Estudo de Caso

➔Pseudonimização (Prática)
➔Criptografia (Prática)
Agenda

• Unidade 3: Ferramentas para Tratamentos de Dados

➔Embaralhamento (Prática)
➔Mascaramento (Prática)

• Unidade 4: Fechamento do Estudo de Caso

➔Desenvolvimento
➔Descaracterização (Prática)
 Unidade 1:
Fundamentação Teórica
A importância da “Segurança da Informação”

● A “informação” tem sido um bem valioso para a

humanidade e sua evolução;
● Os acessos aos dados em meio digital rapidamente
tomaram o lugar que, antes, era ocupados por livros e
jornais;
● A sociedade comporta-se como um ente “Global” onde
todos estão conectados pela informação.
Crescimento Global de Dados: 2005-2019

The Age of Algorithms- https://www.slideshare.net/AnsgarKoene/the-age-of-algorithms

Acesso em 01/10/2021
 Quanto ao acesso,
toda a informação deveria ser
“pública”?
Princípios da Segurança da Informação

● Confidencialidade

Em sistemas considerados seguros, a confidencialidade

deve garantir que apenas o receptor possa ver quais
dados foram comunicados;

● Confiabilidade

De acordo com o conceito, um servidor ou usuário

confiável tem permissão para executar ações confidenciais
ou potencialmente prejudiciais.
 Um sistema pode ser confiável
independente do usuário final?
Princípios da Segurança da Informação

● Integridade
A integridade da informação ajuda a determinar se, no
exemplo de sistema crítico, os arquivos de dados foram
adulterados ou alterados.

● Disponibilidade
Garantia de que uma informação permaneça disponíveis
pela maior quantidade de tempo possível.
Princípios da Segurança da Informação

● Autenticidade
A integridade da informação ajuda a determinar se, no
exemplo de sistema crítico, os arquivos de dados foram
adulterados ou alterados.
Proteção de Dados Pessoais

Conjunto de práticas as quais ditam que o bom

manuseio de informações garantindo, desta forma, que
as informações pessoais sejam precisas, relevantes e
seguras.
Carreiras Emergentes
(DAVOS, 2020)
Proteção de Dados Pessoais
• Especialista em Inteligência
Artificial;
• Cientista de Dados;
• Engenheiro de Dados;
• Desenvolvedor em Big Data;
• Analista de Dados;
• Especialista em Analytics;
• Consultor de Dados;
• Analista de Insights;
• Desenvolvedor de Business
Intelligence;
• Consultor de Analytics.
Sobre a LGPD

A Lei nº. 13.709/2018, chamada de Lei Geral de Proteção

de Dados Pessoais (LGPD), é estruturada em artigos que
definem conceitos, estabelecem princípios, criam
estruturas da Administração Pública Federal e da
sociedade civil e conjugam direitos e deveres de pessoas
físicas e jurídicas.
LGPD: Tipos de Dados

● Dados Pessoais

● Dados Pessoais Sensíveis (Dados Sensíveis)

● Dados Anonimizados
Direitos Fundamentais

A LGPD foi promulgada para proteger os direitos

fundamentais de liberdade e de privacidade e a livre
formação da personalidade de cada indivíduo. Essa Lei
versa sobre o tratamento de dados pessoais, dispostos em
meio físico ou digital, feito por pessoa física ou jurídica de
direito público ou privado e engloba um amplo conjunto de
operações efetuadas em meios manuais ou digitais.
Tratamento dos Dados Pessoais
Coleta
• recolhimento de dados com finalidade específica;

Processamento

• ato ou efeito de processar dados visando organizá-los para

obtenção de um resultado determinado;
Eliminação

• ato ou efeito de excluir ou destruir dado do repositório;

Coletando os dados pessoais
www.google.com

3
2 4
Na Célula A1, digitar a fórmula:

=IMPORTDATA("https://bit.ly/3nlvbqg")
Modifique o nome da planilha para “Dados Pessoais”
Formate a “Data de Nascimento” para DIA/MÊS/ANO
Salvando a planilha Dados Pessoais
Salvando a planilha Dados Pessoais
Tratamento dos Dados Pessoais

A LGPD autoriza realizar o tratamento de dados pessoais, desde que

as hipóteses de tratamento sejam informadas ao titular.
Informações dos titulares
Ciclo de Vida dos Dados Pessoais

É necessário entender o ciclo de vida de um dado pessoal

antes de definir os procedimentos que devem ser adotados para
adequar determinada empresa à lei, bem como evitar a
exposição indevida dos dados pessoais.
Coleta

Tendo em vista que a coleta é a operação inicial de tratamento

dos dados pessoais, a realização de tal operação pela instituição
somente deve ser realizada mediante o atendimento das
hipóteses de tratamento, das medidas de segurança, dos
princípios, dos direitos do titular e demais regras dispostas pela
LGPD.
Tamires Vitorio, do CNN Brasil Business, em São Paulo

https://www.cnnbrasil.com.br/business/vazamento-historico-de-8-4-bilhoes-de-senhas-pode-nao-ser-tao-grave-entenda/
11/06/2021 às 12:38
 As chaves PIX podem comprometer a
segurança dos clientes do banco? Por quê?
Processamento

Os dados devem estar em concordância com a infraestrutura da

empresa, tendo em vista as premissas de, por exemplo:

● Armazenamento
● Perfis de Acesso
Processamento

Anonimização

Os dados anonimizados são a antítese dos dados pessoais: enquanto o

tratamento destes últimos (isoladamente ou combinados entre si e com
outras informações) permite a identificação do indivíduo, o tratamento
dos primeiros não é suficiente (mesmo quando combinados) para se
chegar a qualquer conclusão sobre a pessoa natural a quem se referem
(BIONI, 2019).
Processamento

Identificador Direto
É um atributo de dados que por si só identifica um indivíduo (como no
caso da impressão digital) ou foi atribuído a um indivíduo
(ilustrativamente, o número de CPF).
Identificadores Diretos
Processamento

Identificador indireto
Um atributo de dados que, por si só, não identifica um indivíduo, mas
pode fazê-lo em combinação com outra informação.
Identificadores Indiretos
Análise

Os dados básicos deverão estar devidamente íntegros de acordo com a

sua finalidade, visando garantir que os mesmos possam ser
posteriormente consultados por diversos sistemas ou por tipos
específicos de usuários, ou grupos.
Armazenamento

O arquivamento ou armazenamento de dados pessoais independente do

meio utilizado (documento em papel, documento eletrônico, banco de
dados, etc.).
Reutilização

O dado poderá ser utilizado pela empresa em várias circunstâncias, desde

que seja objetivamente para os fins contratados previamente.
Compartilhamento
Consiste nas tratativas de qualquer operação que envolva transmissão,
distribuição, comunicação, transferência, difusão e compartilhamento de
dados pessoais.
 Quem, de maneira geral,
compartilha as informações?
Eliminação
Contempla descarte dos ativos organizacionais nos casos necessários ao negócio da
instituição.
Prática: Anonimização 1
Criar a página “Anonimização 1”
Referência: Dados Pessoais x Anonimização 1

Célula A1: Texto “IDENTIFICADOR”

Célula A2: Fórmula

='Página1'!A2
Arrastar a referência da Fórmula até a célula
“A126”
 Anonimização do CPF

Célula B1: Texto “DOCUMENTO”

Célula B2: Fórmula

=LEFT('Página1'!B2; 3) & "..."

Coluna DOCUMENTO: CPF (Dados Pessoais)
Coluna DOCUMENTO: CPF (Dados Pessoais)
 Quais as vantagens da
“anonimização” dos dados?
Por Valor Online

https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/procon-sp-notifica-serasa-pedindo-explicacoes-sobre-vazamento-de-dados.ghtml
28/01/2021 10h15
 Unidade 2:
Estudo de Caso
Estudo de Caso
● Empresa: Condomínio Empresarial Ltda.
● A planilha “Dados Pessoais” possui as informações dos condôminos e
precisarão ser disponibilizadas para cadastro biométrico no
fornecedor de Segurança Predial;
● Para fins de “controle” a empresa de segurança pediu os dados de
todos os condôminos.
Etapas para o Desenvolvimento
Coleta e Retenção

Os dados já encontram-se em posse do condomínio e precisarão ser

transmitidos de maneira a não identificar as informações pessoais;

Processamento

Serão realizadas as operações de “anonimização” para garantir que

pessoas não autorizadas possam receber informações inadequadas;
Etapas para o Desenvolvimento
Compartilhamento

Apenas os dados devidamente anonimizados e que possam ser

identificados apenas pelo condomínio poderão ser enviados;

Eliminação

Deveria haver uma garantia de que, mesmo em posse de dados anônimos,

a empresa de segurança formalize a eliminação das informações
temporariamente permitidas.
Pseudonimização

Os identificadores serão mantidos de forma separada e, assim

sendo, limitar o processamento de dados permitindo que as
informações restantes identifiquem um indivíduo indiretamente.
Pseudonimização
Generalização

Mantém as características primárias do dado;

Mixagem
Mistura os campos de dados para que os dados gerais ainda pareçam os
mesmos;
Perturbação

Modifica as características primárias do dado.

Prática: Pseudonimização
Criar a página “Pseudonimização”
Referência: Dados Pessoais x Pseudonimização

Célula A1: Texto “IDENTIFICADOR”

Célula A2: Fórmula

='Página1'!A2
Arrastar a referência da Fórmula até a célula
“A126”
Referência: Data de Nascimento

Célula B1: Texto “DATA ORIGINAL”

Célula B2: Fórmula

='Página1'!G2

Pressione <ENTER>
Data de Nascimento: Mês e Ano
Célula C1: Texto “MÊS ORIGINAL”

Célula C2: Fórmula

=MONTH(B2)

Pressione <ENTER>

Célula D1: Texto “ANO ORIGINAL”

Célula D2: Fórmula

=YEAR(B2)

Pressione <ENTER>
Data de Nascimento: Última Data do Mês
Célula E1: Texto “ÚLTIMA DATA DO
MÊS ORIGINAL”

Célula E2: Fórmula

=EOMONTH(B2; 0)

Pressione <ENTER>
Data de Nascimento: Último Dia do Mês

Célula F1: Texto “ÚLTIMO DIA MÊS

ORIGINAL”

Célula F2: Fórmula

=DAY(E2)

Pressione <ENTER>
Generalização: Dia do Nascimento
Célula G1: Texto “DIA GENÉRICO”

Célula G2: Fórmula

=RANDBETWEEN(1; F2)

Pressione <ENTER>
Generalização: DATA do Nascimento
Célula H1: Texto
“GENERALIZAÇÃO”

Célula H2: Fórmula

=DATE(D2; C2; G2)

Pressione <ENTER>

Na fórmula DATE, temos:

DATE( ANO; MÊS; DIA )

Perturbação: Data do Nascimento (Generalizada)

Célula I1: Texto “PERTURBAÇÃO”

Célula I2: Fórmula

=H2+RANDBETWEEN(-1000; 1000)

Pressione <ENTER>

Serão acrescidos ou decrescidos 1.000 (mil) dias à Data de Nascimento de maneira aleatória.
Criptografia

Criptografia é sobre codificar e decodificar dados. Basicamente,

ela consiste em uma prática na qual um dado é codificado por
meio de um algoritmo, este algoritmo trabalha de forma
conjunta com uma chave, que define como a mensagem será
cifrada (codificada).
Criptografia
● Simétrica

Uma única chave é utilizada para codificar e decodificar os dados;

● Assimétrica

Uma chave é utilizada para codificar os dados (“chave pública”) e uma

outra é utilizada para decodificar os dados (“chave privada”).
Prática: Criptografia
Criar a página “Criptografia 1”
Acessando o “Editor de script”
 Google Scripts
Permite criar elementos
específicos de acordo com a
documentação do Google;

Neste exemplo, poderão ser

criadas funções específicas para
cada tipo de criptografia ou
finalidade do tratamento de
dados.
 Script: CRYPTO1
Os scripts são salvos em projeto
que podes ser compartilhados
com outros documentos do
Google;

Existirão formas específicas de

codificação conforme a
documentação abrangente
encontrada no site do fabricante.
Função CRYPTO1()

function CRYPTO1(text) {
return Utilities.base64Encode(
Utilities.computeDigest(Utilities.DigestAlgorithm.MD5, text)
);
}
Salvando o Projeto
 Você sabe o que são os
algoritmos de MD5 e Base64?
 Base64
É um método para codificação de
dados para transferência na
Internet (codificação MIME para
transferência de conteúdo). É
utilizado frequentemente para
transmitir dados binários por meios
de transmissão que lidam apenas
com texto, como por exemplo para
enviar arquivos anexos por e-mail.

Disponível em https://pt.wikipedia.org/wiki/Base64. Acesso em 10/10/2021.

 MD5
O algoritmo de sintetização de
mensagem MD5 é uma função hash
amplamente utilizada.

Embora o MD5 tenha sido projetado

inicialmente para ser usado como uma
função hash criptográfica, foi
constatado que ele sofre de extensas
vulnerabilidades.

Ele ainda pode ser usado como uma

soma de verificação para checar a
integridade de dados.

Disponível em: https://pt.wikipedia.org/wiki/MD5. Acesso em 10/10/2021.

Aplicando a função CRYPTO1

● Retornar para a abra do navegador em que está aberta a planilha de

“Dados Pessoais”;
● Posicionar na página “Criptografia 1”.
 Referência: Dados Pessoais x Criptografia 1

Célula A1: Texto “IDENTIFICADOR”

Célula A2: Fórmula

='Página1'!A2
Arrastar a referência da Fórmula até a célula
“A126”
Fórmula: CRYPTO1
Célula B1: Texto “IDENTIFICADOR
CRYPTO1”

Célula B2: Fórmula

=CRYPTO1(A2)

Pressione <ENTER>

A Coluna IDENTIFICADOR CRYPTO1 será o resultado

entre o IDENTIFICADOR e os algoritmos matemáticos MD5 e BASE64, respectivamente
 Existem vantagens em utilizar-se
das técnicas de “Criptografia”? Quais?
Você saberia dizer qual é a senha
mais segura que existe?
Criptografia Assimétrica: Gerando Senhas Seguras
https://keepass.info
Adicionando uma entrada no Banco de Dados
• Cada entrada deveria corresponder a um
serviço;

• Sugere-se data de expiração, conforme o

fabricante ou conforme a utilização do serviço;

• É possível configurar a geração da senha

conforme as regras de segurança corporativa,
integrando-se com ferramentas através de
“plug-ins”.
Anexando Arquivos no Banco de Dados
Criptografado
Plugins: keepass.info/plugin.html
Menu: Tools > Plugins...
 Unidade 3:
Ferramentas para tratamento
dos dados
Estudo de Caso
● Iremos implementar uma base de dados anonimizada para que, em
seguida, possa ser transmitida do Condomínio Empresarial Ltda.
para a Empresa de Segurança;
● As técnicas aplicadas anteriormente serão necessárias para a melhor
execução dos trabalhos.
Missão
Missão
● CPF

○ Mascaramento: 123.456.789-00 > 123.000.00-XX

● Nome Completo

○ Embaralhamento: Maria Alves Silva > Maria VNWOX

● Fone

○ Mascaramento: (12) 1234-5678 > 1234-XXXX

● Data de Nascimento

○ Perturbação: data aleatória entre 01/01/1940 e 31/12/2020

Missão
● CEP

○ Mascaramento: 12345-678 > XX345-XX8

● Endereço Residencial

○ Descaracterização: Rua Princesa Isabel, 123 > Princesa Isabel

● Bairro, Cidade e Estado

○ Deverão permanecer inalterados

● Número do Cartão

○ Mascaramento: 1234 **** **** 5678 > 1234 **** **** 78XX
Missão
● Sexo, Estado Civil e Bandeira do Cartão

○ Não poderão constar na base final

● Email

○ Mascaramento: email@provedor.com > e***@provedor.com

Ferramentas
● Armazenamento e Processamento

Google Sheets;

● Análise de Contexto

○ Os dados não poderão ser identificados facilmente pela Empresa de

Segurança.
Embaralhamento

Esta técnica requer conhecimento tanto sobre a estrutura da

base quanto sobre o conteúdo gravado e quanto relevante este
dado é para o desenvolvimento e testes.
Embaralhamento

Nome Completo Algoritmo de Embaralhamento

Ágatha Almeida Barros Áhtaga Aliemda Baorrs
Alex Almeida Araujo Aelx Aliemda Arjuao
Alice Almeida Araujo Acile Aliemda Arjuao
Aline Almeida Araujo Anile Aliemda Arjuao
Amanda Almeida Araujo Adnama Aliemda Arjuao
Ana Almeida Barbosa Ana Aliemda Basobra
André Almeida Alves Ardné Aliemda Asevl
Anna Almeida Alves Anna Aliemda Asevl
Antônio Almeida Azevedo Annôtio Aliemda Azevedo
 Esta técnica é adequada
para anonimizar os dados?
Prática: Embaralhamento 1
Criar a página “Embaralhamento 1”
Perturbação: Data do Nascimento
(Generalizada)
Célula A1: Texto “NOME
COMPLETO”

Célula A2: Fórmula

='Página1'!C2

Pressione <ENTER>
Acessando o “Editor de script”
Script: RANDALPHA
Criará caracteres aleatórios com base no
tamanho do texto;

Diferente do Embaralhamento simples de

texto, este algoritmo não permitirá a
identificação do texto randomicamente
embaralhado.
RANDALPHA.gs
RANDALPHA.gs
Embaralhamento: Preparação
Célula B1: Texto “NOME”

Célula C1: Texto “SOBRENOME”

Célula D1: Texto “NOME FAMÍLIA”

Célula B2: Fórmula

=SPLIT(A2; " ")

Pressione <ENTER>
Embaralhamento: NOME FAMÍLIA

Célula E1: Texto “TEXTO ALEATÓRIO”

Célula E2: Fórmula

=RANDALPHA(LEN(D2))

Pressione <ENTER>
Embaralhamento

Célula F1: Texto “EMBARALHAMENTO”

Célula F2: Fórmula

=B2 & " " & LEFT(C2; 1) & " " & E2

Pressione <ENTER>
Embaralhamento
“Embaralhar” ou “Criptografar”?
Eis a questão...
Embaralhamento

Célula G1: Texto “CRIPTOGRAFIA NOME FAMÍLIA”

Célula G2: Fórmula

=B2 & " " & LEFT(C2; 1) & " " & CRYPTO1(D2)

Pressione <ENTER>
Embaralhamento x Criptografia
 Um arquivo de texto com 100 GB compartilhado em um fórum de hackers expôs mais de 8,4
bilhões de senhas na internet. Esse vazamento é considerado o maior da história, de acordo
com especialistas da área de segurança cibernética.

Por Karol Albuquerque, editado por Wharrysson Lacerda

https://olhardigital.com.br/2021/06/08/seguranca/maior-vazamento-de-senhas-tem-mais-de-8-bilhoes-expostas/
10/08/2021 18h39
Mascaramento

O mascaramento limita a exposição de dados

confidenciais aplicando uma máscara para usuários
sem privilégios.
Prática: Mascaramento 1
Criar a página “Mascaramento 1”
Mascaramento: CPF

Célula A1: Texto “CPF ORIGINAL”

Célula A2: Fórmula

='Página1'!B2

Pressione <ENTER>
Arrastar a referência da Fórmula até a célula
“A126”
Mascaramento: CPF

Célula B1: Texto “MASCARAMENTO”

Célula B2: Fórmula

=LEFT(A2; 3) & ".XXX.XXX-" & RIGHT(A2; 2)

Pressione <ENTER>
 Mascaramento
Visa identificar o tipo específico
do dado com base em seu
formato padrão;

Ao leitor do dado, cabe saber

apenas a parte do elemento,
desde que o mesmo não seja
facilmente identificável.
Como funciona isso no mundo real?
 Dados dos Nome: John Doe
Sistemas CPF: 123.456.789-00
Nome: J*** D***
ID: X1 (CPF Criptografado)
Políticas de Ambiente de
Segurança Homologação

Banco de
Dados Ambiente de
Desenvolvimento

DADOS
EXTERNOS
DPO
ID: Y1 (Data Protection Office)
Nome: Taylor J Penteado ID: X1
Sexo: Masculino ID: Y1 (X1 Criptografado)
CPF: 001.123.456-01 CARACTERISTICA: Gênero, Faixa Etária..
Nascimento: 01/01/1980
Dados Anonimizados
Eliminação

No final da etapa de processamento e após os dados estarem

devidamente anonimizados, os demais dados deverão ser eliminados ou
movidos para uma base segura, conforme as políticas de governança de
dados da empresa.
 Unidade 4:
Fechamento do estudo de caso
Estudo de Caso
Proteção

Ferramentas como, por exemplo, o Google Sheets garantem que os

dados não podem ser invadidos por ataques;

Criptografia

Os dados deveriam, preferencialmente, estar criptografados durante a

transmissão do Condomínio Empresarial Ltda para a Empresa de
Segurança.
Descaracterização

Os dados podem receber outros identificadores os

quais poderão não representar o dado original.
Prática: Descaracterização
Acessando o “Editor de script”
Editor de Scripts
Script: PHONENUMBER
Irá remover o DDD do número
do telefone com a finalidade
de retirar a identificação direta
do número.
Script PHONENUMBER.gs
Script PHONENUMBER.gs
Descaracterização: Número do Telefone
Unificando os Dados e Verificando os Resultados

CPF: 123.456.789-00 > 123.000.00-XX

Prática: Nome Randômico
Acessando o “Editor de script”
Editor de Scripts
Script: RANDNAME
Irá criar o Embaralhamento do
primeiro nome com o último
nome randômico.
Embaralhamento: Nome Randômico
RANDNAME.gs
Unificando os Dados e Verificando os Resultados

Nome Completo: Maria Alves Silva > Maria CHITH

Unificando os Dados e Verificando os Resultados

Fone: (12) 1234-5678 > 1234-XXXX

Unificando os Dados e Verificando os Resultados

Data de Nascimento: aleatória entre 1940 e 2020

Unificando os Dados e Verificando os Resultados

CEP: 12345-678 > XX345-XX8

Prática: Endereço Personalizado
Acessando o “Editor de script”
Editor de Scripts
Script: HOMEADDRESS
Remove o Tipo do Logradouro
e o Número Residencial do
endereço.
Script HOMEADDRESS.gs
Script HOMEADDRESS.gs
Unificando os Dados e Verificando os Resultados

Endereço Residencial: Rua Princesa Isabel, 123 > Princesa Isabel

Unificando os Dados e Verificando os Resultados

Número do Cartão: 1234 **** **** 5678 > 1234 **** **** 56XX
Prática: Mascaramento de Email
Acessando o “Editor de script”
Editor de Scripts
Script: MASKEMAIL
Retira a identificação do
usuário do email.
MASKEMAIL.gs
MASKEMAIL.gs
Unificando os Dados e Verificando os Resultados

Email: email@provedor.com > e***@provedor.com

Enriquecimento

Utilizar-se de fontes externas para enriquecer os dados a fim de

melhorar a utilização estatística da amostra de dados.
E no mundo real?
Consolidar

Agora que você tem posse de todas as informações e aprendeu as

principais técnicas de anonimização envolvendo a LGDP, chegou a sua
hora!

Crie uma planilha chamada DADOS ANONIMIZADOS e preencha todas

as linhas conforme a MISSÃO.
Compartilhar
Para a consolidação da sua jornada, compartilhe com a equipe do QualiFacti a planilha gerada em aula
até o dia 23/02, seguindo as orientações abaixo:
1ª
➔Envie um e-mail, com o arquivo anexo da planilha para organizacao.qualifacti@facti.com.br
parte
➔Insira no título do e-mail: Consolidação Segurança da Informação - Turma 22 - Seu Nome
Completo

➔Atenção: essa etapa é muito importante, não deixe de realizá-la : )

O objetivo do QualiFacti é contribuir com a capacitação e qualificação gratuita de pessoas em uma

imersão tecnológica, com conteúdos inéditos e consistentes, para que se tornem aptas a encarar os
desafios que o mercado apresenta. Desta forma, pedimos que, por favor, compartilhe em suas redes
sociais, até o dia 23/02, um post contendo:
2ª
parte
➔ A imagem que será enviada por e-mail para você, pelo QualiFacti, até o dia 21/02.
➔ Um texto contando um pouco da sua experiência e também algo relevante, que tenha aprendido
no curso Segurança da Informação: “Técnicas de anonimização de bases de dados conforme a
LGPD”
➔ Nas publicações , use as hashtags: #Facti, #QualiFacti e #Turma22, para que possamos interagir!