Ilustradora: Sabrina Gevaerd
Dados pessoais possuem uma importância sem precedentes em nosso atual sistema socioeconômico. Através da coleta de dados sobre pessoas, as empresas, os órgãos governamentais e outros atores captam subsídios para tomar decisões e alcançar seus objetivos.
Pesquisas, direcionamento de anúncios, vigilância e desenvolvimento de produtos: essas são algumas das aplicações que eles possuem nos dias de hoje. Mas seu potencial vai muito além, podendo inclusive afetar nossa autonomia para fazer escolhas.
A relevância desses tipos de dados impulsionou a edição de normas, no Brasil e no mundo, para garantir a sua proteção e fornecer ao titular um maior controle dos seus dados, na chamada autodeterminação informativa. Nós, enquanto juristas ou na condição de titulares dessas informações, precisamos compreender melhor como elas funcionam.
A partir da compreensão dessas normas, podemos obter mais segurança no uso de produtos e serviços, evitando danos decorrentes do vazamento ou tratamento indevido de dados pessoais. Essas situações, infelizmente, têm se tornado comuns.
Para citar um exemplo recente: 5 milhões de estudantes brasileiros foram vítimas de uma exposição indevida de seus dados, no mês de agosto de 2021. Clique aqui para conferir a matéria completa, de autoria do site The Hack.
O incidente ocorreu em função de falhas de configuração em um sistema do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep). No presente texto, vamos explicar o conceito de dados pessoais a partir da descrição deste caso concreto.
Vamos lá!
O que são dados pessoais?
Em síntese, dados pessoais são informações que identificam ou possibilitam a identificação de uma pessoa natural. Em outras palavras, são informações relacionadas a uma pessoa identificada ou identificável. Confira a seguir alguns exemplos de dados pessoais:
- Nome;
- CPF;
- Endereço de e-mail;
- endereço de IP (protocolo de internet) e cookies;
- Prontuário médico;
- Dados de localização geográfica.
Vamos explicar em mais detalhes a definição acima, a partir dos ensinamentos do autor Bruno Bioni na obra “Proteção de dados pessoais — A função e os limites do consentimento” (item 2.2.2 do livro).
De acordo com seu entendimento, a qualificação de um dado como pessoal depende de uma análise contextual, sobre o local (ou banco de dados) em que ele se situa. Para ilustrar, vamos tomar como exemplo o caso de vazamento introduzido no início deste texto.
Mas, antes disso é necessário ressaltar que a definição doutrinária sobre o tema ainda está sendo consolidada. Ao final do texto, vamos indicar algumas fontes para que você possa se aprofundar no assunto.
Dados pessoais na prática: entenda a diferença entre pessoa identificada e identificável
Retomando o caso do vazamento de dados pelo Inep: ocorreram, na ocasião, falhas no sistema do Exame Nacional de Desempenho dos Estudantes (Enade), que possui ligações diretas com o banco de dados do Exame Nacional do Ensino Médio (Enem).
Em função das falhas, qualquer estudante com acesso ao sistema poderia consultar informações das pessoas cadastradas no Enade ou no Enem, a partir da edição de 1995. Bastariam conhecimentos básicos de programação.
O site The Hack testou essa afirmação e conseguiu extrair 9 mil cadastros com nome, email, gênero, senha em hash, nome da mãe e data de ingresso no sistema, a partir da consulta pelo CPF.
Para fins didáticos, fizemos essa tabela ficcional com algumas das informações que poderiam ser obtidas:
CPF | Nome | Gênero | Nome da mãe |
012.345.678-90 | Alexandre Silva | Masculino | Maria Silva |
123.456.789-00 | Ana Maria Santos | Feminino | Aparecida dos Santos |
234.576.890-12 | Ana Maria Santos | Feminino | Sabrina Santos |
345.678.901-01 | Bruna Campos | Feminino | Soraya Campos |
Essa tabela é um modelo de banco de dados relacionais. A relação entre suas linhas e colunas empresta significado aos dados que contém, de forma que podemos extrair delas certas informações.
Quais dos dados acima podem ser considerados dados pessoais?
Em relação ao CPF, fica mais fácil responder a essa pergunta. Isso porque ele se trata de um identificador único — para cada pessoa, existe apenas um CPF correspondente. A pessoa é devidamente identificada a partir desse dado, pelo que pode ser considerado um dado pessoal.
E em relação à coluna com o nome das pessoas? Como você pode perceber, existe um homônimo na tabela. Esse dado, por si só, não informa qual “Ana Maria dos Santos” estava registrada no sistema do Enade.
É possível, no entanto, relacionar esse dado com os demais e, assim, saber de maneira precisa de qual Ana Maria estamos falando. Há potencial de identificar a pessoa. Em outras palavras, ela é identificável.
Mas afinal, as informações da pessoa identificável também são consideradas dados pessoais?
Depende de qual linha é adotada.
Linha expansionista e linha reducionista
Há entendimentos diferentes no conceito de dados pessoais, os quais podem ser sintetizados em duas linhas de pensamento: (i) expansionista; e (ii) reducionista.
- Na linha expansionista, ambas as informações de uma pessoa identificada e identificável seriam consideradas dados pessoais, e estariam assim abarcadas pelos institutos legais que visam a proteger esse bem jurídico. A pessoa relacionada ao dado pode ser indeterminada, e o vínculo com seus dados pode ser “mediato, indireto, impreciso ou inexato”, nas palavras de Bruno Bioni.
- Já na linha reducionista, os dados pessoais seriam apenas as informações de uma pessoa identificada. Ela se torna, portanto, uma pessoa específica e determinada por essas informações, com as quais se estabelece um vínculo “imediato, direto, preciso ou exato”.
A adoção de uma ou outra linha varia conforme a opção de cada ordenamento jurídico, e exerce influência direta na esfera de proteção de cada jurisdição. Vamos abordar, agora, a definição de dados pessoais segundo a Lei Geral de Proteção de Dados (LGPD).
O que são dados pessoais segundo a LGPD?
A LGPD considera como dados pessoais as informações pelas quais a pessoa natural se torna identificada ou identificável, conforme estipula seu art. 5º, inciso I. Adota, portanto, a linha expansionista na definição desse instituto.
Confira a íntegra do dispositivo abaixo:
“Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;”
Essa opção da LGPD vai ao encontro da definição estampada em outras normas brasileiras sobre proteção de dados. Podemos citar, a respeito, o Decreto nº 8.771, de 11 de maio de 2016 (art. 14, inciso I), e a Lei nº 12.527, de 18 de novembro de 2018 (art. 4º, inciso IV), que também adotam a linha expansionista.
Na linha expansionista, podemos relacionar os seguintes exemplos de dados pessoais:
- Nome;
- E-mail;
- CPF;
- Endereço de IP;
- CEP; e
- Cookies, etc.
Como podemos depreender do art. 1º da LGPD, dados pessoais estão diretamente relacionados aos seguintes direitos fundamentais, disciplinados pela Constituição Federal de 1988:
- Direito à liberdade;
- Direito à privacidade;
- Direito ao livre desenvolvimento da personalidade.
A Lei Geral de Proteção de Dados também introduz um outro conceito importante sobre proteção de dados, que iremos abordar abaixo.
Quais são os tipos de dados pessoais?
Dentro do gênero “dados pessoais” existe uma espécie, denominada “dados pessoais sensíveis”, definidos pela LGPD da seguinte forma:
Art. 5º, inciso II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
A preocupação normativa em estabelecer esse tipo de dados pessoais se dá em função da maior vulnerabilidade que representam, do ponto de vista de seu titular. São informações que podem acarretar discriminação e, por isso, ensejam uma proteção maior da lei.
No caso do vazamento de dados do Inep, acredita-se que havia possibilidade de se levantar informações de laudos médicos dos estudantes. Mas podemos citar também outro caso concreto e emblemático sobre o tratamento de dados sensíveis.
Trata-se de acontecimento envolvendo a loja de departamento Target, dos Estados Unidos. Em resumo, ela havia desenvolvido uma tecnologia capaz de calcular a probabilidade de suas consumidoras estarem grávidas.
Alcançava, inclusive, uma boa aproximação da data de nascimento da criança! As informações obtidas por essa ferramenta eram usadas para oferecer descontos em produtos para bebês.
O caso veio à tona quando um pai descobriu, em função dessas ofertas, que sua filha adolescente estava grávida, e serve para ilustrar o terreno delicado em que se encontram os dados pessoais sensíveis. Você pode entender mais sobre o ocorrido nessa matéria.
Ao lado dos dados pessoais sensíveis, existem outros que não representam o mesmo risco de discriminação de seus titulares. Nesse sentido, alguns exemplos seriam:
- Nome;
- Data de nascimento;
- Número de telefone;
- Número do CPF.
💡 Saiba mais sobre os dados pessoais sensíveis em outro artigo do nosso blog: O que são dados pessoais sensíveis e por que é importante protegê-los?
O que não são dados pessoais?
Por exclusão, os dados não considerados pessoais são aqueles que não identificam ou possibilitam a identificação de pessoas naturais. Como exemplo, temos os dados empresariais, como CNPJ e endereço eletrônico de empresas, e também dados anonimizados.
Importa ressaltar, no entanto, a importância de uma análise contextual para tal classificação. Tomadas isoladamente, algumas informações não serão consideradas como dados pessoais. Porém, a depender de sua conjugação com outras informações, elas podem mudar de categoria.
Um CEP, por exemplo, não é capaz de identificar alguém por si só. Pode ser que se refira a um prédio com vários apartamentos, ou a uma casa em que residam várias pessoas. Entretanto, se o CEP existir em um banco de dados com outras informações, como nome da mãe, é possível cruzar os dados e identificar seu titular.
Quero aprender mais sobre o assunto! Por onde posso começar?
O propósito deste artigo foi apresentar um conceito básico de dados pessoais. Contudo, o tema é mais profundo e existe uma série de conteúdos que você pode acessar para continuar estudando.
Vamos apresentar, aqui, algumas dessas fontes. Bons estudos! 😉
Para ler
- “Proteção de dados pessoais: A função e os limites do consentimento”, livro de Bruno Ricardo Bioni — capítulo II “Dados pessoais e direitos de personalidade”;
- “Da privacidade à proteção de dados pessoais”, livro de Danilo Doneda — capítulo III “A proteção de dados pessoais”;
- “Proteção de dados pessoais: Fundamento, conceitos e modelo de aplicação”, artigo de Laura Schertel Mendes.
Para assistir
- “Proteção de dados nas relações de consumo”, vídeo da Maratona LGPD: Os desafios na proteção de dados pessoais”, produzida pela OAB Nacional, disponível no YouTube;
- “O lado obscuro da coleta de dados pessoais voltada para o marketing”, vídeo de Kirk Grogan, disponível na plataforma TED;
- “Como os corretores de dados venderam minha identidade”, vídeo de Madhumita Murgia, disponível na plataforma TED.
Para escutar
- “Decisão histórica do STF estabelece proteção de dados como direito fundamental”, episódio 10 do podcast “Dadocracia”, do Data Privacy Brasil, disponível no Spotify;
- “Ouvi Direito? Dados Pessoais”, podcast do Instituto Brasileiro de Defesa do Consumidor, disponível no Spotify.