LGPD é o acrônimo para Lei Geral de Dados Pessoais. Mas o que é dado pessoal?
A própria lei responde que dado pessoal é a informação relacionada a pessoa natural identificada ou identificável.
Essa definição, porém, não é suficiente.
Além de saber o que é dado pessoal, também precisamos saber o que não é dado pessoal e até mesmo o que pode ser, dependendo do contexto.
Por isso, neste artigo veremos em detalhes:
- O que é dado pessoal para a LGPD
- O que definitivamente não é dado pessoal
- Dados que podem ser considerados pessoais de acordo com o contexto
- A falsa dicotomia entre o que é dado pessoal e o que é dado anonimizado
Comecemos entendendo melhor o que é dado pessoal para a Lei 13.709/2018.
O que é dado pessoal para a LGPD
A definição formal de dado pessoal pode ser encontrada no art. 5º, inciso I, da LGPD, que dispõe:
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Os vocábulos identificada e identificável referem-se, respectivamente, ao que a doutrina chama de conceito reducionista e de conceito expansionista.
- Conceito reducionista: refere-se a uma pessoa identificada, a uma pessoa específica e determinada, direta e imediatamente vinculada ao dado pessoal. Um exemplo clássico é o CPF, cujo número está diretamente ligado a uma pessoa específica no Brasil.
- Conceito expansionista: refere-se a pessoa identificável, indeterminada, que tem apenas um vínculo indireto e impreciso com o dado pessoal. Um exemplo é o histórico de sites que alguém visitou, que pode levar à identificação da pessoa, porém com um certo grau de imprecisão.
Assim, para a LGPD, saber o que é dado pessoal não se resume a saber os dados mais óbvios, como nome completo, CPF e filiação. Essa é a visão reducionista.
Para a lei brasileira, assim como para boa parte das leis gerais de proteção de dados de outros países, vale o conceito expansionista.
No GDPR (Regulamento Geral sobre a Proteção de Dados, equivalente da União Europeia à nossa LGPD), por exemplo, o conceito expansionista também é usado:
Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;
Outros normativos nacionais, como o Decreto que regulamenta Marco Civil da Internet (Decreto 8.771/2016, art. 14, I) e a Lei de Acesso à Informação (Lei 12.527/2011, art. 4º, IV), também utilizam o critério expansionista.
Teoria do Mosaico Social
Para entender a importância de considerar dados pessoais de forma expansionista, é válido conhecer a Teoria do Mosaico Social de Fulgencio Madrid Conesa.
A Teoria diz que, embora dados imprecisos e não diretamente ligados a uma pessoa não possam sozinhos identificar alguém, é possível chegar à identificação do titular pela junção de alguns poucos dados identificáveis.
É como se, reunindo pequenas peças de um mosaico, seja possível montar a figura completa. Da mesma forma, com alguns poucos dados inexatos, é possível identificar uma pessoa.
No exemplo de Cristiana Campos Mamede Maia:
Uma placa de carro, por si só, não é vista como dado pessoal, mas esse dado pode permitir a identificação de seu titular se o mesmo estiver com o IPVA em aberto, bastando uma busca nas publicações do Diário Oficial Eletrônico com o número da placa para identificar o CPF do titular do veículo. Deste modo o conceito de dados pessoais atribuído pela Lei brasileira poderia abarcar qualquer dado com essa capacidade, estando este em meio digital ou não, passando a incluir neste rol imagens, fotos, IP, email, login, placa de carro, avatares, etc.
Com isso, fica claro que nenhum dado pessoal é irrelevante. Inclusive aqueles que não são diretamente ligados às pessoas podem ser os mais valiosos para algumas empresas, como por exemplo os dados de navegação, os conteúdos com engajamento, o tempo de tela etc.
O que definitivamente não é dado pessoal
Apesar de a LGPD usar o conceito expansionista para definir o que é dado pessoal, nem tudo pode ser considerado dado pessoal.
Retornando à definição da própria lei sobre dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
A definição de o que é dado pessoal já exclui as pessoas jurídicas.
Assim, já sabemos algo que não é dado pessoal: os dados de empresas, como endereço, quadro societário e CNPJ.
A única ressalva é quando se trata do MEI (Microempreendedor Individual), já que nesses casos o dado da pessoa jurídica confunde-se com o dado da pessoa natural.
Outra exclusão a partir da definição legal são os dados de pessoas já falecidas.
Nos termos do art. 6º do Código Civil, a existência da pessoa natural termina com a morte. Logo, dados de pessoas já falecidas não são dados pessoais para fins da LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD), inclusive, já publicou Nota Técnica firmando posicionamento pela não aplicação da LGPD em casos de tratamento de dados de pessoas já falecidas:
“A LGPD se aplica apenas a informações relacionadas a pessoas naturais, ou seja, vivas, identificáveis ou identificadas. Os dados relativos a uma pessoa falecida não constituem dados pessoais para fins de LGPD e, portanto, não estão sujeitos ao nível de proteção da LGPD.”
Logo, retirando essas exclusões explícitas, praticamente todos os outros dados podem ser considerados dados pessoais. A definição só pode ser feita no caso concreto, a partir da análise da finalidade e do contexto.
Dados que podem ser considerados pessoais de acordo com o contexto
Até agora vimos que há informações que certamente podem ser classificadas como dado pessoal (nome completo, CPF, filiação etc.) e outras que dificilmente serão (CNPJ, endereço de uma empresa, nome de uma pessoa falecida etc.).
Mas e dados como religião, endereço IP, número da OAB ou de órgão de classe, número de matrícula na escola ou no trabalho, cor dos olhos? Eles são dados pessoais ou não?
Não existe uma resposta certa para essa pergunta, ao menos não quando ela é feita de forma genérica.
Para saber se uma informação é dado pessoal ou não para os fins da LGPD, é necessário fazer uma análise do contexto.
Considerando o critério expansionista que vimos anteriormente, a pergunta básica a ser feita nessa análise contextual é a seguinte: essa informação pode levar à identificação de uma pessoa natural?
Se a resposta for sim, então provavelmente a informação pode ser considerada dado pessoal para os fins da lei de proteção de dados.
A falsa dicotomia entre o que é dado pessoal e o que é dado anonimizado
Por fim, vale ressaltar que existe uma falsa ideia de que há uma separação completa entre o que é dado pessoal e o que é dado anonimizado.
Para entender isso, primeiro precisamos saber o que é dado anonimizado. Nos termos do art. 5º, incisos III e XI, da LGPD:
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
A interpretação literal leva a crer que dado anonimizado é o dado que não se relaciona a uma pessoa, ou seja, não é dado pessoal. A ele, portanto, não se aplica a LGPD.
Essa é a regra geral: dado anonimizado não é dado pessoal.
Existe, porém, uma zona cinzenta em que não dá para separar completamente o que é dado pessoal e o que é dado anonimizado.
Apenas como exemplo, basta lembrar que necessariamente para se anonimizar um dado, o agente está obrigatoriamente realizando uma operação de tratamento de dados pessoais.
Vale repetir: o processo inicial de anonimização é sempre um tratamento de dado pessoal.
Se a origem desse dado pessoal é ilícita, por romper alguma disposição da LGPD, o processo de anonimização não vai “limpar” o dado agora anonimizado.
Risco de Reidentificação e Pseudonimização
Pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
É como se fosse uma anonimização que pode ser revertida quando você associa dois ou mais dados.
Ocorre que a pseudonimização não é a única forma de reverter um dado não associado diretamente a uma pessoa para um dado pessoal.
A própria anonimização não reduz a zero a probabilidade de reidentificação de um conjunto de dados.
Há muitos estudos mostrando que é relativamente fácil chegar a um dado pessoal a partir de um banco de dados anonimizados, no que a doutrina chama de Risco de Reidentificação.
O agente de tratamento precisa sempre analisar a probabilidade de isso acontecer, saindo da falsa dicotomia entre o que é dado pessoal e o que é dado anonimizado.
Segundo Bruno Bioni, leis que adotem, ao mesmo tempo, o conceito expansionista de dados pessoais e dados anônimos correm o risco de serem tautológicas.
Nesse caso, ocorreria uma redundância entre os conceitos, já que dados anonimizados têm o risco de reidentificação e podem ser relacionados a uma pessoa identificável com relativa facilidade.
Bioni leciona que, para evitar essa incoerência, usa-se a razoabilidade como delimitadora da elasticidade do conceito expansionista de dados pessoais.
Conclusão: o que é dado pessoal para a LGPD
Neste artigo, vimos que a LGPD utiliza os critérios reducionista e expansionista para definir o que é dado pessoal, conceituado como toda informação relacionada a pessoa natural identificada ou identificável.
Pelo critério expansionista, não apenas informações óbvias como nome, CPF e filiação são dados pessoais, mas também informações que indiretamente possam levar à identificação do titular.
Mesmo dados anonimizados não podem ser completamente separados do conceito de dados pessoais, visto que existe um risco de reidentificação que pode levar à associação do dado anonimizado com o titular.
Assim, sempre é necessário fazer uma análise do contexto para definir o que é dado pessoal e o que não é para fins da LGPD.
É preciso perguntar se a informação pode levar à identificação de uma pessoa natural. Em caso afirmativo, provavelmente a informação pode ser considerada dado pessoal para os fins da Lei Geral de Proteção de Dados Pessoais.
Referências
BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e dado anonimizado. Revista do Advogado, n. 144, nov 2019.
BIONI, Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento. 2ª ed. São Paulo: Editora Forense, 2019.
BRASIL. Autoridade Nacional de Proteção de Dados. Nota Técnica nº 3/2023/CGF/ANPD. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/NotaTecnica3CGF.ANPD.pdf>. Acesso em: 10 mai. 2024.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. 2ª ed. São Paulo: Thomson Reuters Brasil, 2019.
MAIA, Cristiana Campos Mamede. Os impactos da Lei de Proteção de Dados no Compliance dos novos [e velhos] negócios. Canal Compliance, [s. l.], 2019. Disponível em: <https://www.ccompliance.com.br/os-impactos-da-lei-de-protecao-de-dados-no-compliance-dos-novos-e-velhos-negocios/>. Acesso em: 9 mai. 2024.
Foto por Christina Morillo.
