A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/18) foi promulgada em 14.08.2018 e entrará em vigor em maio de 2021. A nova legislação busca proteger a privacidade e garantir o exercício de direitos dos titulares de dados pessoais. Mas o que seriam dados pessoais?
A lei brasileira tem inspiração no Regulamento Geral sobre a Proteção de Dados Pessoais da União Europeia – RGPD e utiliza em seu artigo 5º o mesmo conceito empregado pelo Regulamento Europeu. Segundo sua previsão, considera-se dado pessoal: “informação relacionada a pessoa natural identificada ou identificável”.
Veja também: Blog Solere: A LGPD e o interesse legítimo para tratamento de dados
Desta forma, somente pessoas físicas podem ser titulares de dados pessoais e, para serem assim considerados, esses dados devem identificá-la ou levar diretamente a sua identificação. Como exemplos de dados pessoais podemos citar: nome, endereço de residência, e-mail pessoal, endereço de IP, dentre outros.
Além do conceito de dado pessoal, a LGPD cria uma categoria de dados que requerem uma proteção específica, os chamados dados pessoais sensíveis. De acordo com o artigo 5º, II, são dados pessoais sensíveis aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Via de regra, o tratamento de dados pessoais sensíveis requer o consentimento específico do seu titular e gera obrigações mais rígidas ao controlador e ao operador.
Veja também: Blog Solere: A LGPD e o direito à oposição pelo titular dos dados
Na contramão do conceito de dado pessoal, temos os dados anonimizados que são os dados relativos a uma pessoa natural que deixam de ser considerados dados pessoais após a utilização de meios técnicos razoáveis que impeçam a associação direta ou indireta ao seu titular (art. 5º, III).
Para além da anonimização, a LGPD também trata da pseudonimização em seu artigo 13, § 4º que é “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. Diferentemente da anonimização que impede completamente a associação do dado ao indivíduo e o mesmo perde assim a sua condição de dado pessoal, com a pseudonimização ainda é possível a identificação, mas apenas com informações exclusivas do controlador.
Veja também: Blog Solere: Como exercer o direito à portabilidade de dados na LGPD?
Em conclusão, este texto procura tratar sobre a LGPD e a sua definição do conceito de dados pessoais. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Unsplash