LGPD – Dados e sua Abrangência

Você já ouviu falar sobre o conceito de computação ubíqua?

“As tecnologias mais profundas são aquelas que desaparecem. Elas se entrelaçam na vida cotidiana até se tornarem indistinguíveis”. Este é o trecho inicial do artigo científico “The Computer for the 21st Century” escrito pelo cientista da computação Mark Weiser, em 1991. É a origem do conceito de computação ubíqua!

Este conceito é muito utilizado para explicar a Internet das Coisas (Internet of Things – IoT), que vem rapidamente deixando os nossos afazeres do dia a dia totalmente conectados. Por exemplo, ao entrar em um carro, é possível conectar o celular via Bluetooth ao rádio multimídia e ouvir uma playlist no Spotify, bem como utilizar o Waze se acionar a geolocalização.

Para os entusiastas dos esportes, é possível fazer o download de um aplicativo de corrida ou treino de atividades físicas variadas no celular, conectar a um relógio, ou até mesmo em um dispositivo inserido em um tênis para acompanhar as passadas, tempo, batimento cardíaco, calorias, quilometragem, etc.

Para a maior parte das pessoas, tudo isto é feito naturalmente, sem nos darmos conta de toda a tecnologia que está por trás. Em todas essas ações, existem equipamentos tecnológicos (hardwares) e soluções desenvolvidas a partir de códigos (softwares) que se conectam, coletam e estruturam todos os dados necessários para aprimorar a experiência do indivíduo e fornecer comodidade.

O mesmo ocorre no ambiente corporativo. As empresas foram instituindo ferramentas tecnológicas para gerar eficiência na realização de tarefas, na estruturação de dados e propiciar informações qualificadas para tomada de decisões mais assertivas. Podemos pensar em exemplos como softwares para controle de prazos, status de contatos com clientes e parceiros, agendamento de reuniões, emissão de notas fiscais, folhas de pagamento, dados de funcionários e clientes, planilhas contábeis, comunicação interna e externa, terceirização de serviços informáticos e de armazenamento de dados na nuvem, programa de benefícios, etc. Além, claro, das ferramentas de marketing para avaliar público alvo, manter relacionamento, medir engajamento e permitir o envio de conteúdo personalizado.
Todos os cenários acima envolvem fluxos de dados, ou seja, uma empresa pode coletar inúmeros dados a partir de diversas ferramentas e para finalidades totalmente diferentes. Ocorre que, por ventura, estes dados não estão estruturados, e controladores ou processadores sequer tem conhecimento do valor e, mais importante ainda, a responsabilidade envolvida no uso adequado dessa informação.

Sendo assim, quais desses dados são considerados pessoais ou sensíveis para os fins da lei? Como organizar e estruturar esses fluxos de forma a garantir a respectiva proteção de dados aos titulares, bem como resguardar os seus controladores e processadores?

A Lei Geral de Proteção de Dados (“LGPD”) traz um conceito abrangente de dados pessoais, que vai muito além do nome completo, CPF e endereço. Dada a facilidade de coletar estes dados por meio de ferramentas tecnológicas já existentes, a lei brasileira estabelece que dado pessoal é toda e qualquer informação relacionada à pessoa natural (física) identificada ou identificável. Ou seja, o conceito abrange informações pessoais diretas, como nome, RG, CPF e endereço, bem como indiretas, como dados de geolocalização e sistema operacional de dispositivo móvel, cookies, endereços IP e demais identificadores eletrônicos. Essas informações indiretas podem ser utilizadas para o monitoramento do comportamento, definição de perfis e, por conseguinte, identificação das pessoas a quem se referem, e, portanto, merecem proteção.

Por sua vez, os dados sensíveis são aqueles que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político dos seus titulares. Também são sensíveis os dados referentes à saúde ou à vida sexual e os dados genéticos ou biométricos.

Esses dados (sensíveis) mereceram uma proteção mais rigorosa. Como resultado, o tratamento de dados sensíveis demanda, via de regra, o consentimento específico e destacado dos titulares de dados – separado das demais cláusulas contratuais. Há situações, todavia, em que os dados sensíveis podem ser tratados sem a necessidade do consentimento do titular. É o caso, por exemplo, do cumprimento de obrigação legal ou regulatória pelo controlador (a pessoa física ou jurídica responsável pelas decisões sobre o tratamento de dados pessoais), da tutela da saúde por profissionais da área de saúde ou por entidades sanitárias, da proteção da vida ou da incolumidade física do titular e da realização de estudos por órgãos de pesquisa (desde que assegurem a anonimização dos dados pessoais, se isso for possível).

A compreensão da abrangência do conceito de dados pessoais constante na LGPD é de suma importância para garantir a própria proteção dos dados pessoais, que tem alguns pilares centrais como o direito à informação, a transparência, a segurança e a prevenção de incidentes e a prestação de contas. Portanto, envolve uma questão de governança corporativa. Algumas empresas já adotam algumas boas práticas de segurança da informação, mas falaremos mais sobre isso, bem como dados anonimizados, na nossa próxima edição!

Robert Daniel-Shores
[email protected]

Ana Carolina Moreira Cesar
[email protected]

Andreia Santos
[email protected]

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós