O que são os dados pessoais?
O artigo 5º da Lei Geral de Proteção de Dados Pessoais define dados pessoais como toda “informação relacionada a pessoa natural identificada ou identificável”. Dados Pessoais são, assim, informações que isoladamente (identificador direto) ou em conjunto com outras informações (identificador indireto) são capazes de identificar um indivíduo.
Dados pessoais podem ser exemplificados como nome, números de documentos RG, CPF, retratos fotográficos, endereço, dados bancários, hábitos de consumo, dados de localização GPS, e-mail, endereços de IP, cookies, e número de telefone, entre outros.
Já os dados pessoais sensíveis são definidos na legislação como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
São as características mais íntimas de um indivíduo, como a religião, etnia, sexo, posicionamento político, orientação sexual, filiação sindical, dados bancários, dados genéticos, biométricos, relacionados à saúde, entre outros.
Esses dados possuem um grande potencial discriminatório, por essa razão possuem maior proteção pela LGPD, exigindo maior cuidado com a segurança da informação e a garantia dos direitos fundamentais de liberdade, privacidade, livre desenvolvimento e dignidade da pessoa natural pelos agentes de tratamento, uma vez que eventuais incidentes trazem consequências maiores aos titulares.
Não são todas as bases legais inicialmente previstas para o tratamento de dados pessoais que são autorizadas para o tratamento de dados sensíveis. Há vedação para o tratamento pautado com base na execução de contrato, no legítimo interesse ou para a proteção de crédito. As demais hipóteses são aplicáveis, mas com algumas restrições.
Quando o tratamento envolver dados de menores de idade, é fundamental que haja o consentimento específico dos pais ou responsáveis legais, pelo titular dos dados, devendo ser coletados somente os estritamente necessários para o tratamento,.
A única exceção de coleta de dados pessoais de crianças e adolescentes sem a obtenção de consentimento é visando o contato com os seus pais ou representantes legais, de única utilização e sem possibilidade de armazenamento, bem como para a sua proteção. Em ambos os casos, não está autorizado o compartilhamento de dados a terceiros.
Portanto, quanto mais dados pessoais a empresa tratar e mais sensíveis eles forem, maior o risco assumido e, por conseguinte, maior a responsabilidade, assim como as sanções impostas em caso de incidentes de segurança.
O que é tratamento de dados pessoais?
O artigo 5º, inciso, X, estabelece que tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
É toda a operação realizada envolvendo todas as possibilidades do manuseio das informações das pessoas naturais. Estas operações devem estar em conformidade com regras estabelecidas na Lei Geral de Proteção de Dados.
É um procedimento muito abrangente, como se pode aferir na norma acima mencionada, contendo várias hipóteses e ações que envolvem todo o fluxo do tratamento de dados.
No entanto, a LGPD além de determinar a maneira como os dados serão tratados, também, exige que para que possa haver o tratamento deve estar pautado em uma autorização legal, elencando as bases legais autorizadoras.
Quem são os responsáveis pelo tratamento de dados de acordo com a LGPD
A Lei Geral de Proteção de Dados definiu a figura do Controlador e Operador como agentes de tratamento de dados.
O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as principais decisões referentes ao tratamento de dados pessoais e definir a finalidade deste tratamento.
O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Existe, ainda, a figura do Encarregado, ou Data Protection Officer – DPO que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.
Esse profissional atuará conjuntamente com a empresa na definição da política de proteção de dados a ser implementada, devendo orientar e fiscalizar os colaboradores no seu cumprimento. No entanto, o encarregado não é um agente de tratamento de dados.
Etapas do tratamento de dados
Da leitura do dispositivo legal, verifica-se que o tratamento de dados inicia-se com a coleta de dados que são obtidos pela empresa. Os dados podem ter origens em diversos setores, como o comercial, contratual, relações trabalhistas, parcerias com outras empresas, entre outras fontes, devendo ser classificados como pessoais sensíveis ou não, uma vez que, como já visto neste artigo, a depender da sua natureza, recebem um tratamento diferenciado, mais rigoroso, no caso de dados pessoais sensíveis e de menores de idade.
Classificados os dados, realiza-se a identificação de quais são necessários para permanecerem armazenados e continuarem a serem manipulados pelos agentes de tratamento e quais não possuem mais finalidade que justifique o seu armazenamento, devendo ser excluídos.
As informações que não atenderem à finalidade, que ultrapassarem o período de tratamento, não forem mais interesse da empresa, por requisição do titular ou da Autoridade Nacional de Proteção de Dados, devem ser excluídas.
Dados pessoais podem ser armazenados no chamado banco de dados, que consiste em um conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Privacy by design – entenda o conceito
É um termo que se relaciona bastante com a LGPD, que consiste na ideia de que a privacidade do usuário deve ser a principal preocupação da empresa desde a concepção do produto e durante todo o fluxo da sua atividade.
Dessa forma, restringe a coleta de dados apenas àqueles essenciais para a prestação do serviço ou do produto oferecido pelo agente de tratamento, com uma finalidade bem definida e, total transparência na ciência do titular sobre o tratamento realizado.
Bases Legais para tratamento de dados na LGPD.
O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.