O que são os dados pessoais?

O artigo 5º da Lei Geral de Proteção de Dados Pessoais define dados pessoais como toda “informação relacionada a pessoa natural identificada ou identificável”. Dados Pessoais são, assim, informações que isoladamente (identificador direto) ou em conjunto com outras informações (identificador indireto) são capazes de identificar um indivíduo.

Dados pessoais podem ser exemplificados como nome, números de documentos RG, CPF, retratos fotográficos, endereço, dados bancários, hábitos de consumo, dados de localização GPS, e-mail, endereços de IP, cookies, e número de telefone, entre outros.

Já os dados pessoais sensíveis são definidos na legislação como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

São as características mais íntimas de um indivíduo, como a religião, etnia, sexo, posicionamento político, orientação sexual, filiação sindical, dados bancários, dados genéticos, biométricos, relacionados à saúde, entre outros.

Esses dados possuem um grande potencial discriminatório, por essa razão possuem maior proteção pela LGPD, exigindo maior cuidado com a segurança da informação e a garantia dos direitos fundamentais de liberdade, privacidade, livre desenvolvimento e dignidade da pessoa natural pelos agentes de tratamento, uma vez que eventuais incidentes trazem consequências maiores aos titulares.

Não são todas as bases legais inicialmente previstas para o tratamento de dados pessoais que são autorizadas para o tratamento de dados sensíveis. Há vedação para o tratamento pautado com base na execução de contrato, no legítimo interesse ou para a proteção de crédito. As demais hipóteses são aplicáveis, mas com algumas restrições.

Quando o tratamento envolver dados  de menores de idade, é fundamental que haja o consentimento específico dos pais ou responsáveis legais, pelo titular dos dados, devendo ser coletados somente os estritamente necessários para o tratamento,.

A única exceção de coleta de dados pessoais de crianças e adolescentes sem a obtenção de consentimento é visando o contato com os seus pais ou representantes legais, de única utilização e sem possibilidade de armazenamento, bem como para a sua proteção. Em ambos os casos, não está autorizado o compartilhamento de dados a terceiros.

Portanto, quanto mais dados pessoais a empresa tratar e mais sensíveis eles forem, maior o risco assumido e, por conseguinte, maior a responsabilidade, assim como as sanções impostas em caso de incidentes de segurança.

O que é tratamento de dados pessoais? 

O artigo 5º, inciso, X, estabelece que tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

É toda a operação realizada envolvendo todas as possibilidades do manuseio das informações das pessoas naturais. Estas operações devem estar em conformidade com regras estabelecidas na Lei Geral de Proteção de Dados.

É um procedimento muito abrangente, como se pode aferir na norma acima mencionada, contendo várias hipóteses e ações que envolvem todo o fluxo do tratamento de dados.

No entanto, a LGPD além de determinar a maneira como os dados serão tratados, também, exige que para que possa haver o tratamento deve estar pautado em uma autorização legal, elencando as bases legais autorizadoras.

 Quem são os responsáveis pelo tratamento de dados de acordo com a LGPD

A Lei Geral de Proteção de Dados definiu a figura do Controlador e Operador como agentes de tratamento de dados.

O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as principais decisões referentes ao tratamento de dados pessoais e definir a finalidade deste tratamento.

O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Existe, ainda, a figura do Encarregado, ou Data Protection Officer – DPO que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

Esse profissional atuará conjuntamente com a empresa na definição da política de proteção de dados a ser implementada, devendo orientar e fiscalizar os colaboradores no seu cumprimento. No entanto, o encarregado não é um agente de tratamento de dados.

Etapas do tratamento de dados

Da leitura do dispositivo legal, verifica-se que o tratamento de dados inicia-se com a coleta de dados que são obtidos pela empresa.  Os dados podem ter origens em diversos setores, como o comercial, contratual, relações trabalhistas, parcerias com outras empresas, entre outras fontes, devendo ser classificados como pessoais sensíveis ou não, uma vez que, como já visto neste artigo, a depender da sua natureza, recebem um tratamento diferenciado, mais rigoroso, no caso de dados pessoais sensíveis e de menores de idade.

Classificados os dados, realiza-se a identificação de quais são necessários para permanecerem armazenados e continuarem a serem manipulados pelos agentes de tratamento e quais não possuem mais finalidade que justifique o seu armazenamento, devendo ser excluídos.

As informações que não atenderem à finalidade, que ultrapassarem o período de tratamento, não forem mais interesse da empresa, por requisição do titular ou da Autoridade Nacional de Proteção de Dados, devem ser excluídas.

Dados pessoais podem ser armazenados no chamado banco de dados, que consiste em um conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

 Privacy by design – entenda o conceito

É um termo que se relaciona bastante com a LGPD, que consiste na ideia de que a privacidade do usuário deve ser a principal preocupação da empresa desde a concepção do produto e durante todo o fluxo da sua atividade.

Dessa forma, restringe a coleta de dados apenas àqueles essenciais para a prestação do serviço ou do produto oferecido pelo agente de tratamento, com uma finalidade bem definida e, total transparência na ciência do titular sobre o tratamento realizado.

Bases Legais para tratamento de dados na LGPD.

1. Legítimo interesse:O legítimo interesse é uma base legal que fundamenta o tratamento de dados pessoais, sem o consentimento do titular, para finalidades legítimas como para o apoio e promoção das atividades do Controlador; para proteção, em relação ao titular, do exercício regular dos seus direitos ou prestação de serviços que o beneficiem, respeitando as suas expectativas e os direitos e liberdades fundamentais.Somente poderão ser tratados, com base no legítimo interesse, dados estritamente necessários para a finalidade pretendida, adotando-se medidas que garantam a transparência do tratamento.Para que o tratamento de dados pautado no legítimo interesse seja adequado, é necessário avaliar (previamente ao tratamento) sua viabilidade, através da análise de quatro itens: a legitimidade do tratamento, sua necessidade, sua proporcionalidade (o chamado balanceamento), e a presença de salvaguardas, de modo a mitigar riscos. Uma das formas de verificar se o legítimo interesse está em conformidade com a Lei Geral de Proteção de Dados é realizando consistente em uma avaliação muito utilizada pelos países europeus, o LIA – Legitimate Interests Asessment.É recomendável cautela no uso dessa base legal diante da sua grande margem de interpretação.  É muito importante que o Controlador mantenha o registro das operações de tratamento de dados, sobretudo quando fundamentado no legítimo interesse.Por fim, cumpre destacar que os dados pessoais sensíveis não podem ser tratados com base no legítimo interesse, já que esta possibilidade não está prevista na LGPD.
2. ConsentimentoO titular do dado é o protagonista em todo processo de tratamento de dados..Sendo assim, o consentimento configura uma base legal, tanto para dados pessoais quanto para dados pessoais sensíveis. Deve estar pautado em uma finalidade bem específica que justifique o tratamento.A obtenção do consentimento para tratamento de dados pessoais sensíveis deve considerar cuidados especiais, fornecendo ao titular de dados todas as informações sobre o tratamento e sobre as suas prerrogativas de forma transparente.Cabe aqui ressaltar que a LGPD prevê diversos direitos do titular de dados que podem ser usufruídos ativamente durante todo o processo de manuseio das suas informações, como confirmação da existência de tratamento adequado; acesso aos dados; correção dos dados incompletos, inexatos ou desatualizados; anonimização, bloqueio e eliminação de dados pessoais; portabilidade; informações sobre compartilhamento das informações com terceiros; ser informado sobre a possibilidade de não fornecer o consentimento; bem como de revogar o seu consentimento.Somente será possível o tratamento de dado sensível sem o consentimento do titular quando for indispensável para o cumprimento de uma obrigação legal, implementação de políticas públicas, estudos a órgão de pesquisa, exercício regular de direitos, preservação da vida e integridade física da pessoa, à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
3. Princípios impactados (finalidade, adequação e transparência)O tratamento de dados pessoais está pautado em princípios que norteiam a aplicação da LGPD, como os princípios da finalidade, da adequação e da transparência.O princípio da finalidade orienta que o tratamento de dados esteja motivado em propósitos legítimos, específicos, explícitos e informados ao titular de dados. A legitimidade do propósito é definida pela sua legalidade e pela boa-fé. A especificidade do propósito consiste em um tratamento com um objetivo determinado e relevante. E propósitos explícitos requerem que o objetivo do tratamento seja claro e bem delimitado, desprovido de qualquer ambiguidade ou equívocos que gerem dúvidas sobre o seu conteúdo.Todos esses fatores integram o princípio da finalidade e devem ser informados aos titulares de dados.Já o princípio da adequação se relaciona com o contexto do tratamento, exigindo a compatibilidade do tratamento com as finalidades especificadas ao titular. Deve haver uma pertinência entre o tratamento e a sua finalidade para que aquele esteja em conformidade com a LGPD.E o princípio da transparência preceitua que deve ser garantido aos titulares de dados o fornecimento de informações claras, precisas, acessíveis e completas sobre todo o tratamento de dados realizado e sobre os agentes de tratamento envolvidos. Esse princípio destaca a importância do titular como protagonista no tratamento de dados.Dessa forma, não se pode oferecer informações excessivamente técnicas que não sejam de fácil compreensão do titular. É preciso que qualquer pessoa, seja qual for o seu grau de instrução, possa compreender o conteúdo das informações dadas.A exceção se aplica para a proteção de segredos comerciais e industriais que os agentes de tratamento de dados detenham, configurando uma relativização do princípio da transparência para esses casos.
4. Princípios de segurança, prevenção e não discriminaçãoO princípio da segurança determina que os agentes de tratamento devem adotar todas as medidas técnicas e administrativas para proteger os dados pessoais dos titulares de incidentes de segurança, entendidos na LGPD como  acessos não autorizados ou situações acidentais ou ilícitas de perda, alteração, compartilhamento não autorizado e roubo de dados.A ANPD definiu em fevereiro de 2021 um incidente de segurança como qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.O armazenamento de bancos de dados deve ser feito em locais de extrema segurança por meio de ferramentas modernas e atualizadas, bem como os processos internos envolvendo o tratamento de dados devem ser sempre aprimorados. É obrigação dos agentes de tratamento tomar medidas concretas de prevenção de incidentes de segurança, evitando sua ocorrência, respeitando, assim, o princípio previsto no art. 6º, VIII da LGPD.Por fim, o princípio da não discriminação (Art. 6º, IX) determina a impossibilidade de realização de tratamento de dados para fins discriminatórios ilícitos ou abusivos.

O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.