Dados pessoais: entendendo melhor os conceitos de dados pessoais sensíveis e ordinários

Entenda melhor os conceitos e fique por dentro das mudanças trazidas pela LGPD

Em setembro de 2020, a chamada Lei Geral de Proteção de Dados entrou em vigor, significando que todos os aspectos regulatórios nela contidos passaram a valer. Em linhas gerais, a referida Lei versa sobre o tratamento de dados pessoais e tem como foco proteger os direitos fundamentais de liberdade, de privacidade, bem como da personalidade da pessoa natural.

Mas, e na prática?

Como saber se a sua empresa está tratando dados pessoais e o que fazer para continuar o seu negócio estando em conformidade com a Lei?

O objetivo desse texto é justamente te ajudar a entender melhor o que são dados pessoais e como adequar a vigência da LGPD à sua atividade.

  • O que são dados pessoais?

Ao contrário do que muitos pensam, dados pessoais não se limitam a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, razão pela qual vale a pena mencionar a autora Patrícia Peck Pinheiro e deixar claro que tal definição engloba também “dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, ente outros. ” (PINHEIRO, 2018, p 26)

  • Dados pessoais e a LGPD: dados ordinários e dados sensíveis

Em seu Art. 5ª, inciso primeiro, a LGPD traz o conceito de dados pessoais ordinários, dispondo que dado pessoal é toda informação relacionada à pessoa natural identificada ou identificável. Tal conceito pode ser compreendido da seguinte maneira: ou os dados por si só serão capazes de identificar uma pessoa, ou, ao serem agrupados a outros e interpretados em conjunto, também levarão à identificação de algum sujeito.

Portanto, um dado pessoal pode ser definido como uma única informação capaz de identificar diretamente um indivíduo, ou então, um conjunto de informações que, quando agrupadas, também serão capazes de identificá-lo, de modo que, a LGPD não se aplica a outros tipos de dados que não identificam ou identificariam uma pessoa natural (como por exemplo, dados de uma empresa, sua razão social, número de CNPJ, dentre outros).

Na sequência, no inciso II do mesmo artigo, a lei traz a definição de dado pessoal sensível, como sendo o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Ou seja, são dados que, dependendo do contexto do tratamento, poderão implicar em riscos significativos para os direitos e liberdades fundamentais dos titulares, bem como podem gerar algum tipo de discriminação.

Em seguida, no inciso X, a lei traz o conceito de tratamento dos dados pessoais, que é definido como toda operação realizada desde a coleta, passando por classificação, utilização, acesso, reprodução, transmissão, distribuição até o arquivamento, armazenamento e eliminação. Em outras palavras, tudo o que é feito com um dado pessoal é uma operação de tratamento.

  • Buscando a conformidade: impactos e relevância da adequação

Se você é uma pessoa natural ou jurídica, de direito público ou privado, que oferta ou fornece bens ou serviços e realiza, para tanto, o tratamento de dados pessoais, você se enquadra no conceito de agente de tratamento, definido pela LGPD. Isso significa que, como um agente de tratamento, sob o olhar da Lei, você passa a ter direitos e, principalmente, deveres perante o titular de dados pessoais.

A Lei discrimina em uma série de artigos como deve o agente de tratamento agir. As hipóteses lá previstas funcionam como um guia de boas práticas para as empresas, que devem o mais rápido possível se familiarizar aos pontos ali colocados, se certificando de que a atividade continue a se desenvolver dentro dos parâmetros legais. Contudo, como gostamos de pontuar, cada caso é um caso e as particularidades e o apetite por risco de cada empresa vão impactar diretamente nas medidas adotadas.

O foco nesse momento é justamente possibilitar que a coexistência entre a troca informacional, indispensável à atividade empresária, e o crescimento econômico ocorra de modo adequado.

Se por um lado traçar um plano de ação para a construção de um programa de privacidade e, consequentemente, se adequar à LGPD garante o crescimento da empresa a partir de um fluxo informacional seguro, por outro, a não conformidade pode gerar danos gravíssimos à saúde tanto financeira quanto reputacional da empresa.

Neste aspecto, importante ressaltar que muito além das altas multas previstas na LGPD em razão da não observância de suas normas, as empresas arcam também com o custo reputacional (inclusive, o dano à reputação, por vezes, é até maior do que as multas em si).

É crucial ter em mente que a confiabilidade de uma empresa, muitas vezes construída ao longo de anos, pode ser facilmente derrubada a partir da ocorrência de um incidente de vazamento de dados, por exemplo.

Dados obtidos a partir de um relatório elaborado pela GlobalScape, empresa norte-americana líder mundial em fluxo seguro e integração de dados, apontaram que o custo suportado pelas empresas por não estarem em conformidade chega a ser 2,71 vezes maior do que o custo para manter a sua adequação. Em outras palavras, privacidade e proteção de dados é um investimento, não um custo.

Logo, não há dúvidas de que o melhor caminho para manter o seu negócio em desenvolvimento, afastando os possíveis riscos inerentes ao tratamento de dados pessoais é traçando um plano de ação que resulte em uma solução integrada.

O que isso quer dizer?

Um plano de sucesso que vise o compliance da atividade empresária à LGPD requer uma abordagem multidisciplinar, significando que para atingir um nível recomendável de conformidade, é necessária uma análise que avalie tanto a vertente regulatória em si, como também as vertentes de segurança da informação (aplicável tanto aos processos, quanto ao ambiente tecnológico).

Entenda mais sobre o conceito de solução integrada nesse texto já postado em nosso blog, em que falamos sobre Políticas de Segurança da Informação x LGPD.

Por fim, já de posse das informações acima sobre o que são dados pessoais, como se classificam e como o tratamento impacta diretamente a sua empresa, não há dúvidas de que o próximo passo é conversar com um especialista na área e iniciar o quanto antes a elaboração de um plano de ação específico e completo que atenda à sua demanda e alcance a conformidade com a LGPD nos três níveis necessários, regulatório, processual e tecnológico.

Conheça mais do nosso trabalho clicando aqui.