Dados pessoais (artigo 5º, I, LGPD) são todas as informações que permitem identificar ou tornam uma pessoa física identificável, bem como informações utilizadas para formação do perfil comportamental, por exemplo: nome; RG; CPF; CNH; passaporte; e-mail; endereço; foto; características físicas; e, geolocalização.

Alguns dados pessoais são considerados sensíveis (artigo 5º, II, LGPD) pela lei e possuem mais restrições no tratamento, pois podem fazer com que o titular se sujeite a práticas discriminatórias. Por exemplo, os dados que se referem à origem étnica ou racial da pessoa, suas convicções políticas e religiosas, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados biométricos, dados genéticos e dados ligados à saúde e vida sexual da pessoa.

Dado pessoal anonimizado (artigo 5º, III, LGPD) é o dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, ou seja, dados anonimizados são aqueles que não permitem identificar o titular dos dados, isto é, não é possível conectar o dado a uma pessoa física. Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.

Dado pessoal pseudonimizado (artigo 13º, 4, LGPD) é o dado que foi tratado por meio do qual ele perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Atenção: dados relacionados à pessoa jurídica não estão no escopo da lei. A LGPD é inaplicável aos dados de pessoa jurídica.

O que é tratamento de dados?

Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para esclarecer algumas das operações de tratamento, aqui será descrito o significado delas:

  • Acesso: ato de ingressar, transitar, conhecer ou consultar a informação;
  • Armazenamento: ação ou resultado de manter ou conservar em repositório um dado;
  • Arquivamento: ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;
  • Avaliação: analisar o dado com o objetivo de produzir informação;
  • Classificação: maneira de ordenar os dados conforme algum critério estabelecido;
  • Coleta: recolhimento de dados com finalidade específica;
  • Comunicação: transmitir informações pertinentes a políticas de ação sobre os dados;
  • Controle: ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
  • Difusão: ato ou efeito de divulgação, propagação, multiplicação dos dados;
  • Distribuição: efeito de dispor de dados de acordo com algum critério estabelecido;
  • Eliminação: ato ou efeito de excluir ou destruir dado do repositório;
  • Extração: ato de copiar ou retirar dados do repositório em que se encontrava;
  • Modificação: ato ou efeito de alteração do dado;
  • Processamento: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
  • Produção: criação de bens e de serviços a partir do tratamento de dados;
  • Recepção: ato de receber os dados ao final da transmissão;
  • Reprodução: cópia de dado preexistente obtido por meio de qualquer processo;
  • Transferência: mudança de dados de uma área de armazenamento para outra, ou para terceiro;
  • Transmissão: movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.; e,
  • Utilização: ato ou efeito do aproveitamento dos dados.

Quais são os direitos do titular dos dados?

O titular dos dados nada mais é do que a pessoa física a quem se referem os dados pessoais tratados e o artigo 18º da LGPD define os direitos que o titular dos dados tem a obter do controlador, em relação aos dados do titular por ele tratados.

Significa que, ao permitir o tratamento de seus dados pessoais, de modo algum e em nenhuma circunstância, a pessoa transfere a outrem a condição de dono de seus próprios dados pessoais.

O titular dos dados pessoais tem o direito de requisitar do controlador, a qualquer momento:

  • Confirmar e acessar os dados que as empresas podem ter sobre ele;
  • A correção de dados incompletos, inexatos ou desatualizados;
  • A anonimização, bloqueio ou eliminação de dados, desde que sejam considerados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • A portabilidade de seus dados pessoais a outro fornecedor de serviço;
  • A eliminação dos dados pessoais quando retirado o consentimento dado anteriormente;
  • A relação de com quem seus dados foram compartilhados;
  • A informação de que poderá negar consentimento e quais suas consequências;
  • A revogação do consentimento.

Ao solicitar o consentimento do titular dos dados, é necessário informá-lo, para que ele dê o consentimento, pelo menos destas informações:

  • Por quanto tempo seus dados serão armazenados;
  • Se os dados serão compartilhados com alguém;
  • Porque é necessário ele fornecer seus dados;
  • Como ele entra em contato; e,
  • Pelo que a empresa é responsável sobre seus dados.

Ainda assiste à pessoa física o direito de peticionar contra os agentes de tratamento diretamente à ANPD.

Na prática, a mudança aumenta a transparência e o controle do titular sobre os seus dados. A medida empodera o cidadão em relação aos dados pessoais, uma vez que as empresas e organizações terão mais responsabilidades no tratamento deles, especialmente no que se refere à garantia de transparência e adoção de critérios e medidas mais rígidas de governança e segurança de dados.

Atenção: dados de crianças e adolescentes gozam de proteção diferenciada.