Desde o ano passado, passou a valer a Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709 – que visa proteger a privacidade do cidadão de forma física ou digital, evitando o vazamento e compartilhamento de informações entre empresas e órgãos públicos – os quais vêm se adaptando às novas regras, já que o não cumprimento pode acarretar multas pesadas.
No entanto, muita gente tem dúvidas a respeito do descrito na lei, que menciona ao menos três tipos de dados: os pessoais, os sensíveis e os anonimizados.
Podemos, ainda, considerar cinco tipos, se acrescentados os “identificáveis”, que também estão nas explicações descritas no artigo 5°, inciso III; e os “pseudonimizados”, explícitos no artigo 13, parágrafo 4º.
Para facilitar a compreensão dessas especificidades, vamos explicar o que cada dado significa, para que você tire suas dúvidas e saiba quando e se é cabível recorrer à Justiça para a aplicação da lei.
Primeiramente, é importante ressaltar que os dados são separados em dois grupos; “estruturados” e “não estruturados”.
O primeiro trata de todo dado organizado, que segue um padrão e é facilmente processado, como por exemplo nomes e endereços.
Já os não estruturados são os dados que não possuem formatação, padrões ou sequências, sendo composto por elementos diferentes. Nesta categoria estão as mensagens de e-mail, posts em redes sociais, imagens, áudios e etc.
O que é considerado um dado pessoal?
De acordo com a lei, o dado pessoal é “toda informação relacionada a pessoa natural identificada ou identificável”, ou seja, são as informações básicas de um determinado individuo: nome, sobrenome, endereço de residência, RG, CPF, data de nascimento, e-mail, telefone, nacionalidade, hábitos de consumo, interesses – inclusive as informações que constam nas redes sociais, como as páginas que curtiu ou seguiu.
O que é um dado sensível?
O dado sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Nesse caso, esse tipo de dado é relacionado à informações mais íntimas de um indivíduo. Essa característica acrescenta ainda maior cautela no manejo desse dado por instituições, porque seu uso só pode ser feito com autorização do titular e atendendo às regras legais – já que esse tipo de informação pode ser usada de forma discriminatória.
O que é um dado anonimizado?
É o “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.”
Basicamente, são aqueles dados que, sozinhos, não possuem capacidade de identificar alguém devido o uso de técnicas que impedem a relação do dado com o cidadão.
Por exemplo: quando usamos em um texto “o salário de uma empresa do setor X pode variar entre R$ 20 mil e R$ 50 mil por mês”, deixamos de forma anônima o nome da empresa, não tornando possível saber quem é essa empresa ou até mesmo encontrar mais informações que identifiquem quais funcionários dela recebem o valor mais alto.
Esse tipo de dado é muito utilizado na realização de estudos e não está sujeito à aplicação da LGPD, no entanto, caso a empresa seja identificada, o dado recebe um novo nome e passa a ser um dado pseudonimizado.
Dados identificáveis e pseudonimizados
Os dados identificáveis são aqueles que, sozinhos, não conseguem identificar o titular, mas somados a outras informações torna a ação possível.
Isso significa dizer que a soma de dados identificáveis, como por exemplo, o número do seu cartão de crédito (que você adicionou em uma loja on-line), seu CPF (usado, às vezes, em notas fiscais), o nome da empresa para a qual você trabalha (que você adicionou na hora de um cadastro), entre outros, se juntos, podem identificar você. Assim sendo, com a nova lei, também estão sob sua proteção.
Por sua vez, segundo o descrito em lei, a pseudonimização é “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.”
De acordo o site Migalhas, especializado em direito, os dados pseudonimizados, por sua vez, oferecem a possibilidade de reverter um dado anonimizado para um dado que possui informações mascaradas (ou escondidas).
Dessa forma, essa informação pode ser acessada pelo seu controlador, passando a ser assim um dado sujeito às aplicações da LGPD.
Tanto a anonimização quanto a pseudonimização são técnicas de mascaramento de dados, no entanto, a diferença é que um pode ter seu processo de reversão possível, oferecendo ao controlador informações adicionais na hora do tratamento de dados.
A anonimização, em geral, é usada para casos em que o controlador não precisa realizar o tratamento de dados, usando-os de forma genérica.
No caso de vazamentos, por exemplo, o controlador não é obrigado a acionar a Autoridade Nacional de Proteção de Dados (ANPD), ou os titulares para dados anonimizados, já que eles não são considerados dados pessoais.
A pseudonimização é aplicada quando o controlador precisa de mais informações de um individuo, para uma pesquisa por exemplo. Assim, o dado passa a ser mais completo, mas com maior segurança, já que irá mascarar detalhes que não são relevantes para outros operadores que acessem o mesmo dado – apenas para o seu controlador, de fato.
Via Olhar Digital