Explicando o que são dados pessoais

Por

Talvez você tenha se assustado com o título desta postagem: “Explicando o que são dados pessoais”. Mas como assim? É só olhar para os incisos I e II do Art. 5º da LGPD que já está claro o que são dados pessoais, certo?

Art. 5º Para os fins desta Lei [LGPD], considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Pois então… Nem sempre. O assunto é tão relevante que na verdade será uma série de postagens explicando o que são dados pessoais. Isto porque muitas vezes precisamos “voltar ao básico” e compreender bem o que é isto para que seja possível analisar o restante da proteção de dados – especialmente quando vemos alguns “absurdos” por aí.

Vou aqui me basear na explicação da ICO a respeito deste conceito. A tradução e a adaptação à LGPD são minhas.

O que é dado pessoal?

  • Dados pessoais incluem apenas informações relativas a pessoas físicas que:
    • possam ser identificadas ou que sejam identificáveis, diretamente a partir das informações em questão; ou
    • que podem ser identificados indiretamente a partir dessas informações em combinação com outras informações.
  • Os dados pessoais também podem incluir categorias especiais de dados pessoais ou dados sobre condenações penais e infrações. Estes são considerados mais sensíveis e você só pode tratá-los em circunstâncias mais limitadas.
  • Dados pseudonimizados podem ajudar a reduzir os riscos de privacidade, tornando mais difícil a identificação de pessoas, mas ainda assim são dados pessoais.
  • Se os dados pessoais podem ser verdadeiramente anonimizados, então os dados anonimizados não estão sujeitos à LGPD. É importante entender o que são dados pessoais para entender se os dados foram anonimizados.
  • Os dados sobre uma pessoa falecida não constituem dados pessoais e, portanto, não estão sujeitas à LGPD.
  • As informações sobre empresas ou autoridades públicas não são dados pessoais.
  • No entanto, informações sobre indivíduos agindo como comerciantes individuais, funcionários, parceiros e diretores de empresas onde são individualmente identificáveis e as informações a eles relacionadas como indivíduo podem constituir dados pessoais.

O que são identificadores e fatores relacionados?

  • Uma pessoa é “identificado” ou “identificável” se você puder distingui-la de outras.
  • Um nome é talvez o meio mais comum de identificar alguém. No entanto, saber se algum identificador potencial realmente identifica uma pessoa depende do contexto.
  • Uma combinação de identificadores pode ser necessária para identificar uma pessoa.
  • Outros fatores também podem identificar uma pessoa, sempre a depender do contexto.

Podemos identificar uma pessoa diretamente a partir das informações que temos?

  • Se você, olhando apenas as informações que você está tratando, puder distinguir uma pessoa das outras, essa pessoa será identificada (ou identificável).
  • Você não precisa saber o nome de alguém para que ele seja diretamente identificável: uma combinação de outros identificadores pode ser suficiente para identificar a pessoa.
  • Se uma pessoa for diretamente identificável a partir da informação, isto constitui dados pessoais.

Podemos identificar uma pessoa indiretamente a partir das informações de que dispomos (juntamente com outras informações disponíveis)?

  • É importante estar ciente de que as informações que você possui podem identificar indiretamente uma pessoa e, portanto, podem constituir dados pessoais.
  • Mesmo que você possa precisar de informações adicionais para poder identificar alguém, elas ainda podem ser identificáveis.
  • Essas informações adicionais podem ser informações que você já possui, ou podem ser informações que você precisa obter de outra fonte.
  • Em algumas circunstâncias, pode haver uma pequena possibilidade hipotética de que alguém possa ser capaz de reconstruir os dados de forma a identificar a pessoa. No entanto, isto não é necessariamente suficiente para tornar o indivíduo identificável. Deve-se considerar todo o contexto em que os dados são tratados.
  • Ao considerar se as pessoas podem ser identificadas, você pode ter que avaliar os meios que poderiam ser utilizados por uma pessoa interessada e suficientemente determinada.
  • Você tem uma obrigação contínua de considerar se a probabilidade de identificação mudou com o tempo (por exemplo, como resultado de desenvolvimentos tecnológicos).

Qual é o significado de “relacionar-se a”?

  • As informações devem “relacionar-se à” pessoa identificável para serem dados pessoais.
  • Isto significa que ela faz mais do que simplesmente identificá-los – deve dizer respeito à pessoa de alguma forma.
  • Para decidir se os dados se relacionam ou não com uma pessoa, talvez você precise considerar:
    • o conteúdo dos dados – trata-se diretamente da pessoa ou de suas atividades?
    • a finalidade para a qual você tratará os dados; e
    • os resultados ou efeitos do tratamento dos dados sobre a pessoa.
  • Os dados podem fazer referência a uma pessoa identificável e não ser dados pessoais sobre essa pessoa, pois as informações não se relacionam a ela.
  • Haverá circunstâncias em que poderá ser difícil determinar se os dados são dados pessoais. Se este for o caso, como uma questão de boa prática, você deve tratar as informações com cuidado, garantir que você tenha uma razão clara para tratar os dados e, em particular, assegurar-se de que você os detém e os descarta com segurança.
  • Informações imprecisas ainda podem ser dados pessoais se estiverem relacionadas a uma pessoa identificável.

O que acontece quando organizações diferentes tratam os mesmos dados para fins diferentes?

  • É possível que, embora os dados não se relacionem a uma pessoa identificável para um controlador, nas mãos de outro controlador, eles o sejam.
  • Este é particularmente o caso quando, para os fins de um controlador, a identidade das pessoas é irrelevante e, portanto, os dados não se relacionam com elas.
  • No entanto, quando usados para um propósito diferente, ou em conjunto com informações adicionais disponíveis por outro controlador, os dados se relacionam com a pessoa identificável.
  • Portanto, é necessário considerar cuidadosamente a finalidade para a qual o controlador está utilizando os dados a fim de decidir se eles se relacionam com uma pessoa.
  • Deve-se tomar cuidado quando se faz uma análise desta natureza.

E então, o que você achou da proposta da série “Explicando o que são dados pessoais”? Acha necessário? Deixe abaixo sua opinião!