O que são dados pessoais na Lei Geral de Proteção de Dados?
Como a LGPD define os dados pessoais?
A Lei Geral de Proteção de Dados chegou causando, e fez com que a proteção de dados pessoais se tornasse o tema do momento. Inúmeras dúvidas surgiram, com foco principal em quem precisaria ou não se adequar e a como esse processo deveria ser conduzido. No entanto, para entendermos a LGPD, precisamos voltar um passo e analisar qual o objeto que ela aborda. Afinal, o que são os tais dados pessoais? Esse é o conceito em torno do qual a Lei Geral de Proteção de Dados se estrutura, por isso, sem compreendê-lo não poderemos ter mais que um conhecimento superficial dessa Lei.
Segundo a definição da própria LGPD, são dados pessoais informações relacionadas a pessoa natural identificada ou identificável. Decifrando a linguagem jurídica, são aquelas informações que podem ser relacionadas direta ou indiretamente a um ser humano.
A definição trazida pela LGPD já deixa bem claro uma categoria de dados que está excluída da proteção da Lei: os dados de empresas, desde que não digam estejam relacionados a uma pessoa específica. Mas existem ainda outras categorias de dados que precisamos conhecer.
Categorias de dados pessoais
A definição principal da LGPD para dados pessoais é bastante simples. No entanto, é preciso também diferenciar dois diferentes tipos de dados: os dados sensíveis e os dados anonimizados. Essas categorias estão presentes na Lei Geral de Proteção de Dados, e são tratadas de forma diferente dos dados pessoais comuns.
Os dados sensíveis são aqueles que podem fazer com que a pessoa sofra algum tipo de discriminação. No artigo 5º, que trata das definições utilizadas, a LGPD traz uma lista de tipos de informações que são incluídas nessa categoria, como dados de origem racial ou étnica, convicção religiosa, dados de saúde, entre outros.
Compreender os dados sensíveis é essencial para aplicar a LGPD corretamente, já que eles recebem tratamento diferente em questões de grande importância. Há inclusive uma parte específica da Lei dedicada a eles, na qual são determinadas situações que permitem o tratamento desse tipo de dado, que não são as mesmas dos dados pessoais comuns. Em casos de casamento, eles também representam um risco maior para as empresas que tratam as informações.
Já quanto aos dados anonimizados devem ser identificados para próprio benefício da empresa: eles não são protegidos pela LGPD. Considera-se dados anonimizados aqueles que não podem ser conectados com a pessoa a quem dizem respeito, e, por isso, eles não entram na definição de dados pessoais que define o escopo da Lei.
Mas atenção! Temos também os dados pseudonimizados, que são aqueles que, quando olhamos apenas a informação, não é possível associar com a pessoas natural. Porém quando analisado em conjunto com outra informação, permite a identificação. Por isso, esses dados estão protegidos pela LGPD.
Como os dados pessoais estão protegidos na lei?
Agora que já conhecemos o conceito de dados pessoais e podemos identificá-los, vamos entender como a LGPD funciona para protegê-los.
A Lei Geral de Proteção de Dados foi estruturada com base em princípios. São regras mais ou menos abstratas, que devem guiar as medidas adotadas, mas que não prescrevem condutas específicas. Dois exemplos são os princípios da finalidade e da transparência, segundo os quais os dados precisam ser coletados com um objetivo determinado, e o titular deve ser informado acerca de como seus dados são tratados. Porém, não há uma determinação de quais as finalidades legais ou da forma como as informações devem ser passadas ao titular.
Esses princípios funcionam como guias para a aplicação de regras específicas trazidas pela Lei, entre as quais vale a pena mencionar os direitos dos titulares e as bases legais para tratamento de dados pessoais.
Os direitos dos titulares são mecanismos que permitem que a pessoas por trás dos dados exerça maior controle sobre suas informações, determinando com elas serão tratadas e, principalmente, tendo conhecimento do que será feito. Dessa forma, o titular pode ser um participante ativo no processo de proteger seus dados pessoais.
Já as bases legais funcionam de maneira mais restritiva. Elas são as hipóteses nas quais os dados pessoais podem ser tratados, de acordo com a LGPD. Existem dez bases legais para dados pessoais, e oito para dados sensíveis. Cada processo que envolver dados pessoais deverá estar de acordo com uma das bases legais da Lei. Caso contrário, esse tratamento será considerado ilegal, e poderá levar a aplicação de sanções.
Por fim, é necessário comentarmos também acerca das penalidades previstas pela Lei Geral de Proteção de Dados. Eles são a forma escolhida pelo legislador para garantir que as determinações legais serão cumpridas, sob o risco de a empresa sofrer consequências graves. As penalidades são graduais, e vão desde uma advertência até eliminação dos dados, incluindo sanções monetárias e reputacionais.
Vazamento de dados pessoais: o que é e como me proteger?
Chamamos de vazamentos de dados o incidente que expõe informações de uma base de dados particular. Essas informações podem ser vistas, copiadas, transmitidas ou utilizadas para os mais diversos fins, inclusive fraudulentos. Não é necessário que haja divulgação em massa das informações, tampouco que o incidente ocorra por ataque externo. Muitas vezes, os vazamentos, na verdade, acontecem em razão de falhas na configuração de sistemas, que os deixam frágeis e, muitas vezes, expõe dados.
Um dos princípios da LGPD é o da segurança, segundo o qual a empresa que trabalha com os dados tem a obrigação de empregar medidas para evitar, dentro das suas possibilidades, a ocorrência de incidentes.
Entre as medidas que podem ser adotadas para cumprir essa obrigação, algumas são bastante simples, como utilizar antivírus nos computadores, treinar os colaboradores para identificarem situações de risco, usar senhas fortes para os sistemas internos da empresa e trocá-las com frequências.
Além dessas medidas, outras ações que também devem ser adotadas são a exigência contratual de adoção de medidas semelhantes por parte dos seus fornecedores, a realização de testes frequentes para apurar a segurança dos sistemas utilizados, investir em criptografia dos dados mais sensíveis, entre outros.
Responsabilidade das empresas?
Em caso de vazamentos ou de qualquer outro incidente envolvendo dados pessoais, a empresa envolvida poderá ser responsabilizada, de acordo com a LGPD. Nesse caso, alguns fatores são importantes para amenizar as penalidades.
Primeiramente, será levada em consideração a gravidade do incidente. Nesse critério, podem ser consideradas tanto a natureza dos dados envolvidos (se mais ou menos sensíveis), o volume dos dados, os tipos de titulares (se maiores ou menores de idade, por exemplo), entre outros critérios. O grau de dano gerado para os titulares de dados também será levado em consideração.
Em segundo lugar, será levada em consideração a postura da empresa. A boa-fé é um fator avaliado, assim como o grau de cooperação da infratora com as investigações. A adoção de medidas anteriores capazes de mitigar os dados também será considerada, ou seja, a existência de um projeto de adequação bem estruturado e efetivamente aplicado, buscando evitar incidentes.
Agora que conhecemos os conceitos básicos para a proteção dos dados pessoais e podemos compreender a LGPD com mais profundidade, fica clara a complexidade dessa Lei. Sabendo o escopo envolvido na definição de “dados pessoais”, percebemos que não se trará apenas de proteger informações como nome e CPF, mas são muitas as frentes que devem ser consideradas.
Se você está na dúvida acerca da aplicação da LGPD à sua empresa, entre em contanto conosco! Estamos à disposição para ajudá-lo a adequar seu negócio á Lei Geral de Proteção de Dados, com profissionais especializados acompanhando de perto todo o processo e prontos para tirar dúvidas e encontrar as melhores saídas para a sua empresa!