jusbrasil.com.br
26 de Outubro de 2021

Conceito de Dados Pessoais abarcados pela Lei Geral de Proteção de Dados Pessoais (LGPD)

Débora Minuncio Nascimento, Advogado
há 2 anos

Autora: Débora Minuncio Nascimento

Publicado em: 5 de julho de 2019

INTRODUÇÃO

No dia 25 de maio de 2018 o Regulamento Geral de Proteção de Dados (RGPD), ou General Data Protection Regulation (GDPR)[1], entrou em vigor (o qual tinha sido publicado na data de 15 de abril de 2016), sendo considerado a lei de proteção de dados da União Europeia. A consequência é que qualquer empresa que negocie com países do bloco europeu, independentemente de onde estão localizadas as suas sedes, deverão prestar informações e tratamentos acerca dos dados coletados dentro do território europeu ou com relação direta a Europa.

Nas palavras de Ronaldo Lemos[2], advogado especializado em Direito Digital e professor visitante da Columbia University, em uma entrevista concedida para a newsletter M&M: “A regulação foi desenhada para ter efeito viral. Uma vez que uma empresa passa a cumprir seus requisitos, começa a exigir que outras da cadeia cumpram também”.

Algumas das decorrências do GDPR analisadas até então são: as saídas do bloco europeu de empresas que não querem se adequar ao regulamento, como ocorreu com a Verve e a Drawbridge; acionamento judicial e aplicação de multas como ocorreu com o Google, Facebook, Oi Telefônica; readaptação de políticas de privacidade e termos de consentimento; mudança de cultura e aplicação do compliance; investimento em segurança de dados; novas legislações mundiais para adequação ao GDPR.

Neste último viés entra o Brasil com a recente publicação da Lei nº 13.709[3], de 14 de agosto de 2018, que “dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet)”. Essa lei tem sido citada como LGPD (lei geral de proteção de dados) ou LGPDP (lei geral de proteção de dados pessoais) e há uma Proposta de Emenda à Constituição, conhecida como PEC 17/2019[4] e já aprovada pelo Senado Federal, que visa incluir o inciso XII-A no artigo da Constituição Federal (CF), ditando que é “assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais”.

Desde então já houve algumas alterações, pela Medida Provisória (MP) nº 869 de 27 de dezembro de 2018[5], em tópicos como dos dados sensíveis referentes ao ramo da saúde, a revisão por pessoa natural de dados tratados de forma automatizada, a qualificação e conhecimentos do encarregado pelo tratamento dos dados pessoais (ETD ou DPO - data protection officer), as sanções como a suspensão do funcionamento de bancos de dados por um período de 6 meses e prorrogáveis por mais 6 meses, a data de vigência que inicialmente estava prevista para fevereiro de 2020 e passou para agosto de 2020, a criação da Autoridade Nacional de Proteção de Dados (ANPD).

O questionamento primordial e fundamental que se deve fazer para uma maior compreensão, implementação e efetivação da legislação é: o que são esses dados pessoais?

CONCEITO DE DADOS PESSOAIS ABARCADOS PELA LGDP

O artigo 1º da LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

É importante frisar que a lei salienta diretamente sobre “dados pessoais”, não se confundindo com dados secundários, algoritmos, segredos de negócio e semelhantes que possuem embasamentos legais em demais diplomas como a Lei de Direitos Autorais e a Lei de Propriedade Industrial. Além disso, o artigo explicita o termo “inclusive nos meios digitais”, ou seja, além dos meios físicos englobam também os produzidos na esfera digital (e não unicamente o meio digital como muitos assim tem interpretado). Por fim, direciona-se ao interesse de toda a sociedade por englobar pessoa física e jurídica, direito público e privado.

Todo o intuito de se proteger os dados pessoais está envolto em um contexto histórico muito bem explicado no livro do Rafael Fernandes Maciel[6], onde inicialmente em 1824 a Constituição do Império reconhece o direito à privacidade quando protege o segredo da carta e a inviolabilidade da casa. Em 1890 o artigo “The Right to Privacy”, de dois advogados americanos, aguça a ampliação do direito à privacidade para que saísse do viés de propriedade e alcançassem direitos individuais e de personalidade. Em 1948 a Declaração Universal dos Direitos Humanos torna o direito à privacidade como um direito fundamental do homem.

Em 1970 a Alemanha cria a primeira lei mundial de proteção aos dados pessoais e desde então surgem diversos regulamentos internacionais sobre o tema, com grande destaque para a GDPR que entrou em vigor em 2018. O Brasil se atenta para essa proteção de dados em 1990 com o Código de Defesa dos Consumidores, em 2002 com o Código Civil e os direitos de personalidade, em 2011 com a Lei do Cadastro Positivo e a Lei de Acesso a Informacao, em 2013 com o Decreto do Comércio Eletrônico, em 2014 com o Marco Civil da Internet e, atualmente, a LGDP publicada em 2018 e com entrada em vigor em agosto de 2020. O marco nacional mais recente foi a aprovação pelo Senado Federal da PEC 17/2019 a qual considera o direito à proteção de dados pessoais como um direito fundamental.

É ponderoso reproduzir os dizeres de Viviane Maldonado e Renato Opice Blum[7]: “Assim, a LGPD busca a proteção de direitos e garantias fundamentais da pessoa natural, equilibradamente, mediante a harmonização e atualização de conceitos de modo a mitigar riscos e estabelecer regras bem definidas sobre o tratamento de dados pessoais. Entidades públicas e privadas que enxergarem tais proteções como direitos dos cidadãos e não somente como obrigações a serem cumpridas estarão um passo à frente dessa nova fase do Compliance, que agora, além do combate a corrupção, visa o uso seguro e ético dos dados pessoais. E a LGPD, logo em seu art. 1º, enfatiza essa questão, trazendo como objetivo da Lei a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

O artigo 3º da LGPD ressalta que “esta lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados...”, além dos incisos e parágrafos.

A observação se dá no sentido de que não interessa o meio como será analisado e tratado o dado, mas sim a adequação desse tratamento conforme a legislação. A pessoa natural ou física, conforme artigos , , , 12 e 20 do Código Civil[8], é o ser humano capaz de direitos e obrigações na esfera civil e essa personalidade se inicia do nascimento com vida e se encerra com a morte (ressalvados direito do nascituro e direito de personalidade do falecido).

Define-se pessoa jurídica como sendo um conjunto de pessoas ou bens que possuem personalidade jurídica própria, com licitude de propósitos ou fins e capacidade jurídica na forma legal. Conforme artigos 40, 41 e 44 do Código Civil, as pessoas jurídicas de direito público são a União, Estados, Distrito Federal e territórios, Municípios, autarquias inclusive as associações públicas, demais entidades de caráter público criadas por lei, os Estados estrangeiros e todas as pessoas que forem regidas pelo direito internacional público. Considera-se pessoa jurídica de direito privado as associações, sociedades, fundações, organizações religiosas, partidos políticos, empresas individuais de responsabilidade limitada.

Prosseguindo com a LGPD, o artigo 4º da lei traz exceções de situações das quais ela não será aplicada ao tratamento de dados pessoais, como quando “realizado por pessoa natural para fins exclusivamente particulares e não econômicos; com fins exclusivamente jornalístico, artístico e acadêmico; para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei”.

Todas as exceções devem ser analisadas de modo limitativo e restritivo, direcionando para situações que de fato sejam relevantes e coloquem risco aos direitos de privacidade e personalidade e que respeitem o direito à liberdade de expressão, de informação, de comunicação, de opinião, a Constituição Federal e legislações já existentes como as de segurança pública.

Alcança-se então o artigo 5º da LGPD, que conceitua expressamente dado pessoal, dado pessoal sensível e dado anonimizado. O dado pessoal, que consta no inciso I, é definido como sendo a “informação relacionada a pessoa natural identificada ou identificável”. Em consonância com o GDPR, a LGDP não trata de qualquer tipo de dado, mas somente de dados pessoais, ou seja, que estejam coadunados a uma pessoa e a caracterizem com personalidade específica.

Replicando Viviane Maldonado e Renato Opice Blum[9]: “O Brasil adotou o conceito expansionista de dado pessoal, pelo qual não somente a informação relativa a pessoa diretamente identificada estará protegida pela Lei, mas também aquela informação que possa - tem o potencial de - tornar a pessoa identificável. Assim, nome, prenome, RG, CPF, título de eleitor, número de passaporte, endereço, estado civil, gênero, profissão, origem social e étnica; informações relativas à saúde, à genética, à orientação sexual, às convicções políticas, religiosas e filosóficas; números de telefone, registros de ligações, protocolos de internet, registros de conexão, registros de acesso a aplicações de internet, contas de e-mail, cookies, hábitos, gostos e interesses, são apenas alguns exemplos de dados pessoais que pautam a atual vida em sociedade”.

Continuam: “Portanto, assim como ocorre no GDPR, a LGPD não se preocupa com quaisquer dados ou informações corporativas em sua essência, sigilosas ou confidenciais, públicas ou privadas, como planejamentos estratégicos, balanços financeiros, sistemas em desenvolvimento, protótipos, fórmulas, outras inovações ou qualquer outro tipo de documento corporativo, os quais, se contiverem dados pessoais, somente estes estarão protegidos pela Lei em estudo”.

Nas palavras de Rafael Fernandes Maciel[10]: “Dado pessoal é toda informação que pode identificar um indivíduo ainda que não diretamente. Portanto, incluem-se na referida definição, por exemplo, os números de Internet Protocol - IP, número de identificação de funcionário dentro de uma empresa, e até mesmo características físicas. Isso em razão da presença do léxico “identificável”, que amplia a definição de dados pessoais. [...] Há dados que sozinhos não podem identificar uma pessoa, porém quando agregados a outros passam a ter essa capacidade. Nessa hipótese, também devem ser considerados dados pessoais. Nomes de empresas, CNPJ e informações que não sejam relacionadas à pessoa natural não são dados pessoais”.

Bruno Ricardo Bioni é pesquisador em estudos sobre vigilância, tecnologia e sociedade, advogado especialista em privacidade e autor de diversos livros. Em um artigo para o blog Genjurídico[11] ele ressalta: “O fluxo das nossas informações pessoais é exponencial e os caminhos por ele percorrido estão, em tese, descritos nas políticas de privacidade, cujos textos são longos, de difícil compreensão e nos deixam poucas escolhas. É intuitivo o questionamento: as pessoas têm realmente controle sobre seus dados pessoais. Historicamente, a proteção dos dados pessoais tem sido compreendida como o direito de o indivíduo autodeterminar as suas informações pessoais: autodeterminação informacional. Recorre-se, por isso, à técnica legislativa de eleger o consentimento do titular dos dados pessoais como seu pilar normativo. Por meio do consentimento, o cidadão emitiria autorizações sobre o fluxo dos seus dados pessoais, controlando-os”.

Acerca do dado pessoal sensível a lei pronuncia no inciso II do artigo 5º ser um “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Segundo Paula Tudisco[12], “A distinção entre dado pessoal não sensível e dado pessoal sensível não é muito nítida, pois a análise deve ser dinâmica e vai sempre depender do contexto. A partir do dado pessoal não sensível é possível chegar ao dado pessoal sensível, especialmente por meio da inteligência artificial e dos algoritmos. Um dado sensível contém informações que ninguém gostaria que fossem compartilhadas e que podem causar uma grande exposição tanto na vida social quanto profissional do cidadão. Essa preocupação com os dados sensíveis advém do fenômeno da publicidade comportamental, utilizada para formação de perfis das pessoas. Os dados sensíveis possibilitam conclusões a respeito de um indivíduo, como por exemplo, a sua orientação sexual, sua religião, alguma doença que possa ter e com essas informações, torna-se muito perigoso que as pessoas venham a ser classificadas de forma preconceituosa, interferindo diretamente em seus direitos e liberdades individuais”.

Viviane Maldonado e Renato Opice Blum[13] sublinham: “O conceito de dado pessoal sensível no GDPR é ainda mais claro que a LGPD no sentido da conclusão anterior, pois utiliza o verbo revelar, ao dispor que é proibido o tratamento dos dados pessoais que “revelem a origem racial ou étnica [...]”, enquanto que a LGPD prevê, diretamente, “dado pessoal sobre origem racial ou étnica, convicção religiosa [...]”. [...] Por fim, para melhor compreensão da abrangência de alguns dos dados sensíveis previstos na LGPD, o GDPR serve, mais uma vez, como ótimo parâmetro”.

Nos ditames de Rafael Fernandes Maciel[14]: “Uma categoria especial de dados pessoais é a denominada dados sensíveis. Diferentemente do GDPR, a lei brasileira colocou essa categoria com uma única definição. [...] Tais dados podem gerar riscos significativos para os direitos e liberdades fundamentais a depender do contexto de sua utilização e, por essa razão, são submetidos a um regime especial para tratamento mais rigoroso”.

Em relação ao dado anonimizado, o inciso III do artigo 5º delineia como “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.

Consoante Ordélio Porto Júnior[15], “no tocante à anonimização [...] sua definição é importante uma vez que a LGPD não se aplica à utilização de dados anonimizados, permitindo uma maior liberdade no tratamento dessa categoria de dados. Os dados anonimizados se encontram fora do escopo da LGPD, uma vez que não se associam a uma pessoa natural, não recaindo sobre ele portanto toda a carga regulatória presente na lei. É importante destacar que o resultado do processo de anonimização é contextual, uma vez que uma técnica utilizada em determinado momento pode, no futuro, tornar-se ineficiente, permitindo que os dados sejam reidentificados e, caso isso ocorra, os dados anonimizados passarão a ser considerados dados pessoais novamente. [...] Já o conceito de pseudonimização da LGPD é definido de forma semelhante à GDPR, entretanto, ele somente é citado no artigo 13 da nossa lei, que dispõe sobre a realização de estudos em saúde pública: “Art. 13. § 4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.”.

Na linha de pensamento de Pedro Silveira Campos Soares[16], “no Direito brasileiro, que ainda não traçou os limites da anonimização. Vale buscar subsídios na experiência europeia derivada da aplicação de sua legislação sobre proteção de dados, que serviu de inspiração para a LGPD. No âmbito europeu, a questão foi esclarecida por um órgão técnico consultivo sobre privacidade, no Parecer 05/2014 sobre Técnicas de Anonimização, segundo o qual não são considerados anônimos os dados que permitam a individualização da pessoa (singling-out); permitam estabelecer vínculos com outros dados que, por sua vez, possibilitem a identificação da pessoa (linkability); ou possuam elementos que permitam inferir dados pessoais (inference)”.

Cabe concluir, conforme Rafael Fernandes Maciel[17], que os “titulares de dados pessoais são apenas as pessoas naturais. Excluem-se do conceito e, consequentemente do escopo da LGPD, os dados de pessoas jurídicas. Importante atentar-se, todavia, para os dados de pessoas naturais representantes legais de pessoas jurídicas que são coletados e tratados numa operação que a princípio seria apenas entre pessoas jurídicas. Os dados desses representantes legais também estão sujeitos às regras de tratamento e, portanto, também esses terão direitos como titulares”.

CONCLUSÃO

Nota-se que a LGPD teve grande inspiração e incentivo no regulamento europeu GDPR e, apesar de recente e após ter passado por algumas alterações importantes antes mesmo de ter entrado em vigência, é de interesse de toda a sociedade já que afinal envolve direito de personalidade e caminha para elencar o rol de direitos e garantias fundamentais da Constituição Federal.

Conceituar direitos pessoais não é tão simples quanto parece, visto que a definição é bastante ampla e abrange diversos gêneros. Resta então uma análise minuciosa caso a caso e correlacionar dada situação concreta com a LGPD e demais legislações disponíveis em nosso ordenamento.

Ultima-se com considerações de Patrícia Peck e Marcelo Crespo[18]: “O cidadão deve ter o direito de ser proprietário da sua própria informação e poder negociar livremente a mesma. O governo e as empresas podem tratar dados, mas o indivíduo tem o direito de saber quais dados estão sendo coletados e com que estão sendo compartilhados e para quais finalidades. Deve haver uma base de princípios e regras a serem seguidas, e respeitar a capacidade jurídica de se contratar e a liberdade para tanto. É importante destacar que as relações negociais dependem diretamente dos dados para garantir a segurança jurídica das partes, evitar golpes, fraudes, inadimplência e oferecer melhores experiências na oferta de produtos e serviços, otimizando mão-de-obra e especializando negócios. Informação verdadeira e transparente, utilizada de forma legítima e proporcional, garante crescimento econômico e segurança jurídica. Nesta perspectiva, o Brasil debateu bastante a matéria de proteção de dados pessoais pois é uma pauta que exige não apenas a implementação de uma Lei, mas sim a mudança da cultura da empresa e dos próprios usuários”.


[1] General Data Protection Regulation - GDPR. Publicado em: 15 de abril de 2016. Disponível em: <https://gdpr-info.eu/>. Acesso em: 4 de julho de 2019.

[2] LEMOS, Ronaldo; PACETE, Luiz Gustavo. A GDPR terá um efeito viral. Publicado em: 21 de maio de 2018. Disponível em: <https://www.meioemensagem.com.br/home/midia/2018/05/21/a-gdpr-tera-um-efeito-viral.html>. Acesso em: 4 de julho de 2019.

[3] Lei nº 13.709 de 14 de agosto de 2018. Publicada em: 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 4 de julho de 2019.

[4] PEC 17 de 2019. Publicada em: 3 de julho de 2019. Disponível em: <https://www25.senado.leg.br/web/atividade/materias/-/materia/135594/pdf>. Acesso em: 4 de julho de 2019

[5] MP nº 869 de 27 de dezembro de 2018. Publicada em: 27 de dezembro de 2018. Disponível em: <https://www.câmara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=3F819C5AF13141FA2EBC55C4829B9F17.proposicoesWebExterno2?codteor=1703516&filename=MPV+869/2018>. Acesso em: 4 de julho de 2019.

[6] MACIEL, Rafael Fernandes. Manual prático sobre a lei geral de proteção de dados pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia-GO. 2019. Capítulo 1.

[7] MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice. LGPD: Lei Geral de Proteção de Dados comentada. Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores. São Paulo: Thomson Reuters Brasil. 2019, p. 23.

[8] Lei nº 10.406 de 10 de janeiro de 2002. Publicada em: 10 de janeiro de 2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm>. Acesso em: 4 de julho de 2019.

[9] MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice. LGPD: Lei Geral de Proteção de Dados comentada. Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores. São Paulo: Thomson Reuters Brasil. 2019, p. 89 e 90.

[10] MACIEL, Rafael Fernandes. Manual prático sobre a lei geral de proteção de dados pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia-GO. 2019. Capítulo 2.

[11] BIONI, Bruno. Proteção de Dados Pessoais: O que você sabe sobre o assunto? Publicado em: 29 de novembro de 2018. Disponível em: <http://genjuridico.com.br/2018/11/29/bruno-bioni/>. Acesso em: 4 de julho de 2019.

[12] TUDISCO, Paula Melina Firmiano. LGPD e o tratamento dos dados pessoais sensíveis e de crianças e adolescentes. Publicado em: 31 de janeiro de 2019. Disponível em: <http://www.kustermachado.adv.br/lgpdeo-tratamento-dos-dados-pessoais-sensiveisede-criancaseadolescentes/>. Acesso em: 4 de julho de 2019.

[13] MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice. LGPD: Lei Geral de Proteção de Dados comentada. Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores. São Paulo: Thomson Reuters Brasil. 2019, p. 94.

[14] MACIEL, Rafael Fernandes. Manual prático sobre a lei geral de proteção de dados pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia-GO. 2019. Capítulo 2.

[15] JÚNIOR, Odélio Porto. Anonimização e pseudonimização: conceitos e diferenças na LGPD. Publicado em: 29 de maio de 2019. Disponível em: <https://baptistaluz.com.br/espacostartup/anonimizacaoepseudonimizacao-conceitosediferencas-na-lgpd/>. Acesso em: 4 de julho de 2019.

[16] SOARES, Pedro Silveira Campos. Anonimização na Lei Geral de Proteção de Dados requer posição da ANDP. Publicado em: 10 de março de 2019. Disponível em: <https://www.conjur.com.br/2019-mar-10/pedro-soares-anonimizacao-lei-geral-proteçâo-dados>. Acesso em: 4 de julho de 2019.

[17] MACIEL, Rafael Fernandes. Manual prático sobre a lei geral de proteção de dados pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia-GO. 2019. Capítulo 3.

[18] PECK, Patrícia; CRESPO, Marcelo. Brasil a um passo de ter sua Lei de Proteção de Dados Pessoais. Publicado em: 11 de julho de 2018. Disponível em: < https://cio.com.br/brasilaum-passo-de-ter-lei-de-proteçâo-de-dados-pessoais/>. Acesso em: 4 de julho de 2019.

Postado por: Débora Minuncio Nascimento

https://deboramnascimento.com.br/

https://linktr.ee/deboramnascimentoadv

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)