O grande desafio para as organizações é garantir a preservação da privacidade ao disponibilizar dados sensíveis, pois corre-se o risco de que seja obtida correlação dos dados privados com base de dados pública, o que pode levar a quebra de confidencialidade. O objetivo deste artigo é demonstrar que existem meios de minimizar problemas relacionados à divulgação de dados sensíveis. Por meio da estrutura de dados disponibilizada no padrão TISS – Troca de Informação em Saúde Suplementar, foi simulada uma base de dados que recebeu generalização e supressão, operações do modelo K-anonimato. Posteriormente foram efetuados ataques, identificando possíveis vulnerabilidades na base de dados, com a finalidade de validar o processo de anonimização. A retirada dos identificadores não é suficiente para atingir o anonimato, pois ao combinar atributos de base de dados privada com públicas é possível à revelação de informações confidenciais, inclusive o atacante pode utilizar-se do conhecimento prévio e correlacionar com os dados disponíveis, principalmente quando a quantidade de semi-identificadores é expressiva na tabela de dados. Com o aumento na coleta e compartilhamento de dados, conjuntamente com a necessidade de acesso, torna-se relevante o estudo e a análise dos aspectos que implicam na disponibilização dos dados e na preservação da privacidade.

The major challenge for organizations is to ensure the privacy preservation by providing sensitive data, as it runs the risk that a correlation of private data based on public data, is obtained, leading to a breakdown in the confidentiality. The purpose of this article is to demonstrate there are ways to minimize problems related to the disclosure of sensitive data. Through the data structure available in standard TISS - Information Exchange Standard, a database that received generalization and suppression operations stipulated by the K-anonymity model was simulated. Subsequently attacks were performed, identifying possible vulnerability in the database, in order to validate the anonymizing process. The removal of the identifiers is not enough to achieve anonymity because when combining attributes present in a private database with public, may cause to the disclosure of confidential information, moreover, the attacker may use the prior knowledge correlate to the available data, mainly when the amount of semi-identifiers is significant in the data table. With the increase in the collection and sharing of data, together with the need to allow them the access, it brings the necessity of a study and analysis of the aspects that involve the data provision and the privacy preservation.