Neste artigo, por meio de exemplos práticos, vamos explicar as definições de dados pessoais e de dados sensíveis de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018).
1. Dados pessoais – art. 5, inciso I
São informações de pessoas naturais vivas que, direta ou indiretamente, identificam um indivíduo.
A informação direta é aquela que permite a imediata individualização da pessoa.
A informação indireta é a que permite por meio da reunião de informações, chegar à identificação do sujeito.
Para facilitar o entendimento vejamos os exemplos:
- identificação direta: um cliente, ao fazer uma compra online, informa seu nome completo e CPF, ou seja, a loja virtual com essas informações consegue identificar o indivíduo que realizou a compra.
- identificação indireta: uma empresa não cadastrou o nome completo ou o CPF de um cliente, a princípio, a companhia não teria como identificá-lo. Porém, utilizando outros dados que possui, é possível descobrir sua identidade. Tais como: profissão, endereço, gênero, ou qualquer outro dado que ajude a identificá-lo.
Em outras palavras, a identificação indireta ocorre quando associamos dados, que isoladamente não conseguem identificar um indivíduo (titular de dados), para descobrimos a identidade de uma pessoa.
1.1 Dados pessoais sensíveis – art. 5, II
São aqueles dados que podem causar discriminação a uma pessoa, por isso merecem maior proteção.
De acordo com a Lei, dados sensíveis são aqueles que envolvem:
- origem racial ou étnica
- convicção religiosa
- opinião política
- filiação a sindicato ou a organização de caráter religioso
- filosófico ou político
- dado referente à saúde ou à vida sexual
- dado genético ou biométrico, quando vinculado a uma pessoa natural
Por exemplo
- o resultado do exame de um paciente que é diagnosticado com HIV – positivo – deve ser guardado em um lugar extremamente seguro, seja um documento digital ou físico.
2. Tratamento de dados sensíveis – art. 11
Para que dados pessoais sejam processados é necessário indicar uma base legal, porém, no caso de dados sensíveis, a LGPD somente permite o tratamento nas seguintes hipóteses:
a) quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
b) sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
- cumprimento de obrigação legal ou regulatória pelo controlador
- tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos
- realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis
- exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral
- proteção da vida ou da incolumidade física do titular ou de terceiro
- garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
Informações adicionais:
Por último, caso você queira iniciar um projeto de adequação na sua empresa, recomendamos a leitura desse artigo: https://www.giarllarielli.adv.br/adequacaoalgpd/