Que informações são consideradas como dados pessoais de acordo com a Lei geral de proteção de dados?

Ape­sar de a Lei Ger­al de Pro­teção de Dados (LGPD) só entrar em vig­or no próx­i­mo ano, as empre­sas já devem começar a se ade­quar à nova regulamentação. 

Para uma tran­sição efi­ciente e sem pre­juí­zos é fun­da­men­tal con­hecer bem as novas regras que serão imple­men­tadas. E isso inclui os con­ceitos e nomen­clat­uras que a LGPD vai intro­duzir no mer­ca­do brasileiro.

A seguir, sep­a­ramos 11 ter­mos que você pre­cisa con­hecer para se ade­quar a LGPD. 

Autori­dade nacional: de acor­do com o tex­to da Lei Ger­al de Pro­teção de Dados a Autori­dade Nacional de Pro­teção de Dados (ANPD) é uma enti­dade que vai aju­dar a reg­u­lar e fis­calizar o cumpri­men­to da LGPD. 

Esse órgão já era cita­do no tex­to orig­i­nal, mas a medi­da pro­visória 869/18 foi respon­sáv­el por car­ac­ter­izá-lo como uma autori­dade públi­ca inte­grante da Presidên­cia da República. 

A medi­da pro­visória tam­bém detal­hou os atrib­u­tos da ANPD, que se resumem em edi­tar as nor­mas de pro­teção de dados, mon­i­torar o cumpri­men­to da lei, imple­men­tar fer­ra­men­tas que mel­horem a comu­ni­cação entre empre­sas, autori­dades e tit­u­lares, faz­er estu­dos sobre pro­teção de dados no exte­ri­or e aplicar sanções. 

Con­tro­lador: a lei define como con­tro­lador a “pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, a quem com­petem as decisões ref­er­entes ao trata­men­to de dados pes­soais”. Em out­ras palavras, toda pes­soa físi­ca ou jurídi­ca que recol­ha infor­mações pes­soais é con­sid­er­a­da um controlador. 

É impor­tante fris­ar que o con­tro­lador só pode recol­her dados caso o tit­u­lar ten­ha autor­iza­do ou em algu­mas situ­ações especí­fi­cas, como em casos de pesquisa. Tam­bém cabe ao con­tro­lador man­ter o sig­i­lo dos dados con­fi­a­dos a ele e prestar con­tas às autoridades. 

Encar­rega­do: o encar­rega­do é a figu­ra que faz a inter­me­di­ação entre o con­tro­lador, o tit­u­lar e a ANPD. Tam­bém chama­do de DPO (Data Pro­tec­tion Offi­cer), essa pes­soa físi­ca ou jurídi­ca é indi­ca­da por quem está recol­hen­do os dados.

De acor­do com o tex­to da lei de pro­teção de dados, as atribuições do encar­rega­do são: aceitar recla­mações dos tit­u­lares, prestar esclarec­i­men­tos e ado­tar providên­cias; rece­ber comu­ni­cações da autori­dade nacional e ado­tar providên­cias; ori­en­tar os fun­cionários e os con­trata­dos da enti­dade a respeito das práti­cas a serem tomadas em relação à pro­teção de dados pes­soais e exe­cu­tar as demais atribuições deter­mi­nadas pelo con­tro­lador ou esta­b­ele­ci­das em nor­mas complementares.

Dado pes­soal: a lei 13709/18 con­sid­era como dado pes­soal a “infor­mação rela­ciona­da a pes­soa nat­ur­al iden­ti­fi­ca­da ou iden­ti­ficáv­el”. Ou seja, tudo que pud­er aju­dar a iden­ti­ficar uma pes­soa pode ser con­sid­er­a­do dado pessoal. 

Nesse sen­ti­do, além de infor­mações como endereço, nome com­ple­to e CPF, por exem­p­lo, fotografias, gravações de vídeo e áudio, e‑mails, prefer­ên­cias de com­pras e dados bancários tam­bém podem ser encar­a­dos como dados pessoais. 

A LGPD abor­da out­ros dois tipos de dados, os anon­i­miza­dos e os sensíveis. 

Dado anon­i­miza­do: é descrito como “dado rel­a­ti­vo ao tit­u­lar que não pos­sa ser iden­ti­fi­ca­do, con­sideran­do a uti­liza­ção de meios téc­ni­cos razoáveis e disponíveis na ocasião de seu trata­men­to”. Em out­ras palavras, tra­ta-se de uma infor­mação que foi descar­ac­ter­i­za­da em algum nív­el para que o seu tit­u­lar não pos­sa mais ser iden­ti­fi­ca­do, mas que ain­da é impor­tante para o controlador. 

O arti­go 12 ain­da afir­ma que os dados anon­i­miza­dos não são con­sid­er­a­dos pes­soais e a leg­is­lação não se apli­ca a eles, sal­vo em casos em que o proces­so de anon­i­miza­ção for revertido. 

Esse pon­to abre espaço para que se imag­ine que é pos­sív­el iden­ti­ficar o tit­u­lar de um dado ano­miza­do de algu­ma maneira. 

Dado sen­sív­el: são infor­mações bem par­tic­u­lares e ínti­mas do tit­u­lar, como dados rel­a­tivos à etnia, opinião políti­ca, con­vicção reli­giosa ou sex­u­al. Essas infor­mações são tidas como mais del­i­cadas e, por isso, o con­tro­lador só deve solic­itá-las para final­i­dades bas­tante específicas. 

Ape­sar dis­so, os dados sen­síveis tam­bém podem ser cole­ta­dos sem o con­sen­ti­men­to do tit­u­lar ou de seu respon­sáv­el, des­de que seja necessário para o cumpri­men­to da leg­is­lação, solic­i­ta­do pela admin­is­tração públi­ca, uti­liza­do em pesquisas, para ser reg­u­lador de dire­itos ou ain­da para a tutela da vida e da saúde. 

Oper­ador: é a empre­sa ou profis­sion­al dire­ta­mente respon­sáv­el pelo trata­men­to dos dados. Tan­to o oper­ador quan­to o con­tro­lador devem man­ter reg­istros sobre o trata­men­to de dados. A ANPD pode solic­i­tar ess­es relatórios para ver­i­ficar se os pro­ced­i­men­tos estão em con­formi­dade com a lei.

O con­tro­lador e o oper­ador tam­bém têm respon­s­abil­i­dade sobre o vaza­men­to ou qual­quer tipo de danos cau­sa­dos aos tit­u­lares. A seção que tra­ta sobre ressarci­men­to de danos deter­mi­na que “o oper­ador responde sol­i­dari­a­mente pelos danos cau­sa­dos pelo trata­men­to quan­do des­cumprir as obri­gações da leg­is­lação de pro­teção de dados ou quan­do não tiv­er segui­do as instruções líc­i­tas do con­tro­lador, hipótese em que o oper­ador equipara-se ao con­tro­lador, sal­vo nos casos de exclusão pre­vis­tos no art. 43 des­ta Lei”

Porta­bil­i­dade de dados: o tex­to da LGPD não tem um con­ceito definido para porta­bil­i­dade de dados, mas podemos con­sid­er­ar que se tra­ta da migração de infor­mações de um canal para o outro. 

Por exem­p­lo, caso você ten­ha con­trata­do um plano de tele­fo­nia com uma empre­sa e dese­ja migrar para out­ra oper­ado­ra, a primeira com­pan­hia deve facil­i­tar o proces­so e enviar suas infor­mações para a nova contratada. 

Impor­tante diz­er que a porta­bil­i­dade deve ser solic­i­ta­da pelo tit­u­lar e que a anti­ga con­tro­lado­ra não pode reter nen­hum tipo de informação. 

Relatório de impacto: é descrito como uma “doc­u­men­tação do con­tro­lador que con­tém a descrição dos proces­sos de trata­men­to de dados pes­soais que podem ger­ar riscos às liber­dades civis e aos dire­itos fun­da­men­tais, bem como medi­das, sal­va­guardas e mecan­is­mos de mit­i­gação de risco”. 

Como men­cionamos, ess­es relatórios devem ser feitos pelo oper­ador e pelo con­tro­lador e podem ser solic­i­ta­dos pela ANPD. Neste mate­r­i­al podem ser suprim­i­das infor­mações de seg­re­dos com­er­cial e industrial. 

Trata­men­to de dados: toda oper­ação que uti­liza infor­mações pes­soais, incluin­do a cole­ta, clas­si­fi­cação, repro­dução, trans­mis­são e armazena­men­to. Para efeitos legais, qual­quer empre­sa ou pes­soa físi­ca que faça trata­men­to de dados deve obser­var as ori­en­tações da Lei Ger­al de Pro­teção de Dados e se ade­quar a ela. 

Uso com­par­til­ha­do de dados: é o com­par­til­hamen­to de infor­mações pes­soais por duas ou mais empre­sas, órgãos ou pessoas. 

É legal se tiv­er como final­i­dade o cumpri­men­to de suas com­petên­cias legais e se hou­ver autor­iza­ção especí­fi­ca. Caso o com­par­til­hamen­to de dados sen­síveis este­ja lig­a­do a van­ta­gens econômi­cas, poderá ser obje­to de vedação e sanções legais. E isso deve valer para enti­dades públi­cas e privadas. 

O tit­u­lar tem o dire­ito de saber se os dados pes­soais que com­par­til­hou com uma empre­sa estão sendo com­par­til­ha­dos com out­ras com­pan­hias e qual a final­i­dade da partilha. 

Que tipo de dados são considerados pela LGPD?

Quais são os dados que a LGPD protege?

Quais são os dados pessoais sensíveis LGPD?

Quais dados pessoais são considerados como dados pessoais de categoria especial?