A LGPD regula todo tratamento de dados pessoais e garante segurança e privacidade para os seus titulares. Um aspecto muito importante da lei é o próprio dado, hoje explicaremos um pouco sobre o conceito do que é um dado para a LGPD e quais são os tipos de dados.
O que é a LGPD?
A Lei Geral de Proteção de Dados, é a lei número 13.709. A norma brasileira têm como principal influência a General Data Protection Regulation (GDPR), a qual entrou em vigor na Europa em 2019 e serve como modelo para outras nações, as quais adotam modelos semelhantes ou otimizam os já existentes.
Na prática a nova lei regulamenta a forma de operação dos negócios em relação à coleta, armazenamento, tratamento e compartilhamentos de dados pessoais, através de diretrizes mais rígidas e estabelecimento de sanções para as organizações que descumprirem.
O que são dados pessoais?
Antes de mais nada, dados pessoais são todo tipo de informação que permite identificar um indivíduo de forma direta ou indiretamente. Dessa forma, a LGPD regulamenta os dados pessoais, ou seja dados referentes à pessoa física, portanto dados referentes à pessoa jurídica, como CNPJ e razão social, não são regulamentados pela LGPD.
Alguns dos dados pessoais são considerados sensíveis, pois podem gerar algum tipo de discriminação para o seu titular, tais como os dados sobre:
- origem racial
- origem étnica
- convicção religiosa
- opinião política
- filiação a sindicato ou a organização de caráter religioso
- filosófico ou político
- dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Direito do titular de dados
Primeiramente, o titular é o dono dos dados. Sendo assim, são clientes, colaboradores, empresas e outros indivíduos que fornecem os seus dados pessoais para os controladores. Dessa forma, com a LGPD, o titular ganhou mais autoridade sobre as próprias informações pessoais.
Hoje, ele escolhe como os demais agentes podem utilizar os seus dados a qualquer momento.
Quem são os agentes que tratam os dados pessoais?
Uma das particularidades da LGPD é a definição dos agentes responsáveis pelo tratamento das informações. Essa está presente no artigo 5º, inciso VI, da Lei 13.079/18. Este tem o objetivo de apontar as diferenças de responsabilidades de cada ator sobre os dados pessoais, e até mesmo de um sobre o outro.
Tipos de dados pessoais
Direto
Podem ser atribuídos a um indivíduo específico/pessoa física. Não necessita utilizar informações adicionais para identificar o titular dos dados. Ex: RG, CPF, nome completo, e-mail, dados do cartão de crédito/contas, biometria, foto, passaporte e- mail PIS, números de identidade passaporte, biometria e DNA.
Indireto
Não podem ser atribuídos a um indivíduo específico/pessoa física sem o uso de informações adicionais para identificá-la. Precisa adicionar mais informações, até chegar ao titular dos dados. Ex: IP, placa do carro, tipo sanguíneo, celular, telefone, endereço postal, etc.
Pseudonimizado
Um processamento de dados pessoais, que não é mais possível atribuir um titular sem o uso de informações adicionais. No entanto, o processo é reversível através de chave (id, tabelas lookups ou uso de chaves públicas/privadas). Ainda são considerados dados pessoais.
Anonimizado
Não é possível identificar de maneira alguma, a pessoa a qual os dados são relacionados. Desta forma, não são considerados dados pessoais, pois não é possível chegar ao titular dos dados.
Anonimização de dados
Anonimização é uma técnica para que os dados percam a associação à uma pessoa. Sendo assim, o dado anonimizado, é aquele que originariamente, era referente a uma pessoa física, mas que passou por um processo que garantiu a desvinculação dele a essa pessoa. Dessa forma, se um dado for anonimizado, a Lei Geral de proteção de dados pessoais não vai se aplicar a ele.
Entretanto, vale ressaltar que um dado só é anonimizado, se de fato não for possível, “reverter” para identificar quem era a pessoa titular do dado. Ou seja, se de alguma forma a identificação ocorrer, então significa que ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado, e este está sujeito a Lei Geral de Proteção de dados pessoais.
Pseudoanonimização
Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Ou seja, o dado psedononimizado é aquele dado que tem a associação dificultada. Dessa forma, sua identificação somente é possível através de uma informação complementar que deve ser mantida separada pelo controlador.
Exemplo de um dado psedononimizado
Veja abaixo um exemplo da pseudononimização dos dados.
Dado pessoal antes da pseudonimização
- Nome: Valeria Santos
- Gênero: Feminino
- Nacionalidade: Brasileira
- CPF: 245.353.674.15
Banco de dados 1: Dados após a pseudonimização
- Gênero: Feminino
- Nacionalidade: Brasileira
- Identificador: 2456
Banco de dados 2: Dados após a pseudonimização
- Identificador: 2456
- Nome: Valeria Santos
- CPF: 245.353.674.15
Bases Legais para tratamento de dados pessoais
No processo de adequação da sua empresa para a LGPD a lei viabiliza o tratamento de dados pessoais em algumas hipóteses previstas em lei, as dez bases legais LGPD. Se, porventura, a empresa trata os dados fora de uma dessas bases legais, ela está correndo o risco de estar tratando dados de forma ilegal.
Princípios da LGPD
Existem 10 princípios que norteiam a LGPD em relação ao tratamento de dados
Benefícios de ter LGPD
Como mostramos, as sanções legais para o descumprimento da LGPD são rigorosas (50 milhões por infração ou 2% do faturamento anual). Essa é justamente uma das principais vantagens de adequar os processos, ou seja, evitar graves prejuízos. Entretanto, existem muitos outros benefícios ao adequar sua empresa à LGPD.
Como a Global pode te ajudar?
A Global GCS é uma consultoria LGPD com soluções completas para adequação da sua empresa à Lei Geraç de Proteção de Dados. Entre em contato conosco e fale com um especialista em LGPD.
