3/5 Série Dados, Privacidade, Empresas e a Nova LGPD – Aspectos práticos dos dados pessoais, sensíveis e possibilidades do seu tratamento.

Nos artigos anteriores falamos um pouco sobre a desproteção e o gigantismo das relações digitais hoje em dia e o grande desafio da nova regulação brasileira para disciplinar essas relações e direitos (AQUI) e também sobre a amplitude da LGPD e seus princípios de aplicação (AQUI).

Mas é fundamental prestarmos atenção no conceito expansionista do inciso I do artigo 5º da LGPD, segundo o qual trata-se de qualquer “informação relacionada a pessoa natural identificada ou identificável”.

Nessa linha de raciocínio, tudo é dado pessoal – desde os já manjados dados de documentos, endereço, número de telefone e afins, mas também passos dados, uma fotografia, um vídeo de vigilância, tipo de cabelo, placa do carro, transações do cartão de crédito, IMEI do Smartphone, enfim, tudo o que torna uma pessoa identificável.

Senão vejamos nesse exemplo fictício:No Brasil há cerca de 2oo milhões de brasileiros, dos quais 10 milhões são sócios ou titulares de empresas registradas no CNPJ. Desses 10 milhões, 50 mil são residentes no Distrito Federal, dos quais 25 mil são mulheres. Dessas 25 mil mulheres, 10 residem na quadra 305 da Asa Sul. E, por fim, dessas 10 apenas 1 é ruiva.De um conjunto de dados mais “abertos” chegamos numa pessoa identificada e sabemos que, dependendo da conjugação desses dados, todas elas são identificáveis, da forma como disse a lei.

Enfim, também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.É necessário consentimento formal para obter os dados pessoais de alguém e agora com muito mais limites impostos pela LGPD.

O tratamento dos dados de todos e de cada um

Via de regra, é necessário que o titular dos dados autorize que estes sejam tratados, já que existe um ciclo de vida de dados individuais que são a coleta, uso, armazenamento, compartilhamento e a exclusão.

A percepção de valor atual nos grandes ramos do Data Science, e consequentemente, nas relações comerciais nos novos modelos de negócio, está nesse contexto de transformação e alavancagem dos dados.

Esse consentimento deve ser dado por escrito ou por outro meio que demonstre a manifestação de vontade do titular dos dados, sempre de forma transparente, simples e sem pegadinhas ou cláusulas excessivas.Sabem aqueles textos jurídicos enormes, que ninguém lê e logo clica em “concordar”?

A partir de agosto de 2020 eles não valem mais nada. Passa a ser fundamental indicar suas finalidades específicas, inclusive nos casos de necessidade de comunicação ou compartilhamento das informações com terceiros, bem como a forma e a duração do tratamento. Também as autorizações genéricas, que já vinham sendo consideradas problemáticas, agora passam a ser nulas. O “consentimento livre” deve ser granularizado.

No escopo do tratamento temos vários tipos de operações, por meios manuais ou automatizados, que vão além da obtenção e registro, avançando para a organização, estruturação, conservação, alteração, recuperação, consulta, utilização, divulgação, comparação, exclusão ou a destruição desses dados.

Mas atenção: Não é sempre necessário o consentimento do titular para tratar dados pessoais. Somente para obtê-los. Além dos casos do consentimento, pode-se tratar dados pessoais para cumprimento de obrigação legal, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contratos/diligências pré-contratuais, exercício regular de direitos, proteção a vida, tutela da saúde, interesses legítimos do controlador/terceiro e proteção ao credito.

Também haverá situações de correção dos dados, como por exemplo nos casos de adoção de nomes sociais, e situações de impedimento da eliminação do dado após a extinção de sua finalidade, como em leis trabalhistas ou tributárias.E a revogação do consentimento deve ser observada com muita atenção, pois deve se dar nas bases de transparência e facilidade com que se construiu a autorização.

Mais cuidado ainda com os dados sensíveis

De acordo com o inciso II do artigo 5º da LGPD, dado sensível é qualquer informação sobre origem racial, ética, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Não é necessário explicar o porque, até porque vivemos em tempos de polarizações e intolerâncias extremas baseadas justamente em vários desses contextos.

Parecem dados bem mais difíceis de serem obtidos, não é? Não, se levarmos em conta o caldeirão tecnológico em que vivemos. Os controladores do Uber podem ter acesso a dados sensíveis a partir de dados pessoais? Sim, mil vezes sim. Pode haver uma série de inferências sobre os aspectos elencados acima a partir dos lugares que frequentamos, da nossa movimentação. Idem pelo que assistimos no Youtube ou pelos cursos que fazemos na Udemy.

Esses dados inferidos devem ser tratados como dados sensíveis.E o dado anonimizado? É aquele dado que não permite a identificação de uma pessoa. Com isso, não seria necessário seguir a LGPD, em que pese seja muito difícil ter um dado 100% anonimizado. Um bom exemplo são as estatísticas. Tiramos os dados pessoais e fazemos o tratamento, para saber, por exemplo, qual é o ponto principal da jornada de compra on-line onde as pessoas são mais atraídas por um desconto, ou quem compra determinado item tem 50% a mais de chance de comprar um outro item complementar.

Quanto menor a base amostral, maior a chance de aparecerem dados pessoais. É diferente de dado pseudonimizado, que é o dado invidualizado, tratado para se tornar não identificado. É uma técnica de mascaramento reversível, que é muito mais uma questão de segurança do que de natureza.

No próximo artigo vamos falar do ciclo de vida dos dados em uma empresa.

Nos vemos lá!