A Lei Geral de Proteção de Dados (LGPD) mudará a maneira como terceiros coletam e utilizam nossas informações. No entanto, é importante definir o que são alguns dos termos mais utilizados para evitar confusões. Para isso, montamos um glossário abaixo com as principais palavras empregadas na LGPD e explicamos as diferenças entre alguns deles.
O que a LGPD define como dado pessoal?
A LGPD define dado pessoal como informação relacionada a pessoa natural identificada ou identificável. E, essa identificação pode ocorrer por meio de dado único ou de cruzamento dados.
São exemplos de dados pessoais, de acordo com os preceitos da LGPD:
– Nome, sobrenome, pseudônimo, data de nascimento;
– Fotos, registros de voz;
– Número de telefone fixo ou celular, endereço postal, endereço de e-mail;
– Número de IP, identificação de conexão do computador ou identificação de cookie;
– Impressão digital, da retina, da palma da mão;
– Placa do carro; número de CPF e da carteira de identidade;
– Dados de uso em um programa, aplicativo, dos comentários, etc.
Veja também: Blog Solere: A LGPD e a responsabilidade dos agentes com os dados pessoais
O que a LGPD entende como um dado sensível?
Outra classificação de dados prevista pela Lei é a de dados sensíveis. Referem-se às informações mais delicadas e cujas chances de mau uso são mais altos.
Os dados considerados sensíveis são aqueles relacionados a:
– origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
– a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Veja também: Blog Solere: Dados pessoais no marketing político
A diferença entre anonimização e pseudoinimização
Em seguida no nosso glossário LGPD, temos a diferença entre anonimização ou pseudoinimização. Para impedir que a pessoa natural seja identificada a partir dos dados, o responsável pelo tratamento de dados pode realizar processos anonimização ou pseudonimização.
A anonimização é utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. É, portanto, um processo irreversível.
E, em razão dessa irreversibilidade, os dados não são mais considerados dados pessoais e os requisitos da LGPD não são mais aplicáveis.
Recomenda-se que um conjunto de dados brutos jamais seja considerado como anônimos. Pois, para tanto ele deve ser resultado, necessariamente, de um processo de anonimização que eliminará qualquer possibilidade de re-identificação de indivíduos, seja por:
– Individualização – não é possível isolar uma parte ou a totalidade das informações relativo a um indivíduo.
– Correlação – o conjunto de dados não permite associar que dois dados ou mais se referem a mesma pessoa ou a um grupo de pessoas.
– Inferência – será impossível deduzir o valor de um atributo de uma pessoa a partir das informações internas ou externas do conjunto de dados;
Como na maioria dos casos o processo de anonimização de dados envolve uma perda de qualidade sobre o conjunto de dados produzidos, a escolha de anonimizar ou não os dados deve ser feita caso a caso, de acordo com os contextos de uso e de necessidade (natureza dos dados, utilidade dos dados, riscos para as pessoas, etc). A mesma lógica é aplicada na seleção de uma técnica de anonimização.
Por sua vez, o processo de pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Veja também: Blog Solere: A LGPD e o princípio da limitação da conservação de dados
Na prática, a pseudonimização consiste em substituir os dados de identificação direta (nome, sobrenome, etc) de um conjunto de dados por dados de identificação indireta (código de identificação) a fim de reduzir sua sensibilidade. Essa substituição pode resultar de um hash criptográfico dos dados dos indivíduos.
Logo, diferente da anonimização, o processo de pseudonimização é reversível, além dos dados resultantes de um processo de pseudonimização continuarem sendo considerados dados pessoais, e como tal, permanecem sujeitos às obrigações da LGPD.
Por fim, apesar de continuarem enquadrados como dados pessoais, a utilização do processo de pseudonimização no tratamento de dados é incentivada por permitir a redução dos riscos para as pessoas envolvidas e contribui para o cumprimento da lei.
Em conclusão, este texto procura tratar sobre o glossário básico dos termos mais utilizados na LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Adobe Stock