Busca sem resultado
Comentários ao Gdpr: Regulamento Geral de Proteção de Dados da União Europeia

Comentários ao Gdpr: Regulamento Geral de Proteção de Dados da União Europeia

2. Dados Pessoais, Tratamento e Princípios

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Rony Vainzof

Advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados. Coordenador e professor do MBA em Direito Eletrônico da Escola Paulista de Direito e do Curso de Extensão em Proteção de Dados da FIA. Mestre em Soluções Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito. Diretor do Departamento de Defesa e Segurança e responsável pelo Grupo de Trabalho de Defesa Cibernética da Federação das Indústrias do Estado de São Paulo (FIESP).

1.Introdução

Dado pessoal é a moeda da economia contemporânea, mormente a digital. Um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a execução de políticas públicas. Não há dúvida sobre a importância do dado pessoal para o desenvolvimento econômico global.

As maiores potências mundiais estão se esforçando ativamente para desenvolver uma vibrante economia baseada em dados. Inclusive o Brasil, com o Decreto que estabeleceu a Estratégia brasileira para Transformação Digital (Decreto 9.319/2018).

Buscar o equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, que jamais podem se contrapor, muito pelo contrário, devem ser indissociáveis, complementares e absolutamente compatíveis, sempre foi o maior desafio e a pedra de toque em termos regulatórios.

Nos Estados Unidos da América (EUA), há leis federais setoriais, a maioria com mais de 20 anos de existência, como o Health Insurance Portability and Accountability Act (1996), o Electronic Communications Privacy Act (1986), o Video Privacy Protection Act (1988), o Children’s Online Privacy Protection Act (1998), com a relevância do Federal Trade Comission Act, que na sua Sessão 5 proíbe atividades comerciais desleais ou enganosas e impõe notificações e práticas razoáveis de segurança da informação, sendo a Federal Trade Comission o órgão federal fiscalizador.

Já na Europa, o assunto precede, e muito, o General Data Protection Regulation (GDPR): 1 na década de 1970, alguns Estados passaram a disciplinar o tema, principalmente para controlar o processamento de dados pela administração pública e grandes empresas. Em 1983, a Suprema Corte da Alemanha, no denominado Julgamento do Censo, estabeleceu uma verdadeira Magna Carta em termos de proteção de dados pessoais, pela primeira vez reconhecendo-o como direito fundamental, declarando que o cidadão tem direito à “autodeterminação informacional”, de modo que ele possa, em princípio, decidir sobre a coleta e o uso de seus dados pessoais.

De fato, na União Europeia, o direito à proteção de dados é fundamentado em diversas normas existentes, como na Convenção 108, em seu art. 8º (respeito à privacidade, à vida familiar, à casa e à correspondência), emendada em 2018 para a proteção dos indivíduos no processamento automático de dados pessoais; no Tratado sobre o Funcionamento da União Europeia União, em seu artigo 16º; na Carta dos Direitos Fundamentais da União Europeia, em seu artigo 8º (direito à proteção de dados pessoais); na Diretiva 95/46/CE (proteção de dados), primeira norma que efetivamente regulou expressamente proteção de dados pessoais; e na Diretiva 2002/58/CE (processamento de dados pessoais e proteção da privacidade por meio eletrônico).

A mencionada Diretiva de 95/46 foi revogada em 25 de maio de 2018 pelo GDPR, que se tornou a legislação reconhecida mundialmente por sua robustez e necessária em termos da rápida evolução tecnológica.

Assim, analisaremos no presente artigo, sob a ótica do GDPR, os conceitos, princípios e hipóteses de tratamento de dados pessoais.

2.Dados pessoais

O GDPR estabelece em seu art. 4º (1), como dados pessoais, a informação relativa a uma pessoa natural identificada ou identificável. Esclarece, ainda, que é considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

Também há definição expressa acerca de: (i) dados genéticos, que são dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa que tragam informações únicas sobre a sua fisiologia ou a sua saúde e que resulte especificamente de uma análise de uma amostra biológica proveniente dessa mesma pessoa; 2 (ii) dados biométricos, dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa que permitam ou confirmem a identificação única dela, como imagens faciais ou dados dactiloscópicos; 3 (iii) dados relativos à saúde, dados pessoais relacionados com a saúde física ou mental de uma pessoa, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde. 4

Apesar de não haver definição expressa de dado sensível, ao dispor sobre o seu tratamento, que será analisado em capítulo próprio, o GDPR deixa claro que considera como categoria especial de dado pessoal aqueles que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. 5

Assim, o primeiro ponto de atenção, é distinguir “dado”, que é qualquer informação em potencial, de “informação”. Ou seja, dado não pode ser compreendido e não possui significado próprio relevante. Segundo Raymond Wacks, dados são atos ou sinais que requerem a interpretação antes de adquirirem qualquer sentido, permanecendo no estado de pré-informação até poderem ser compreendidos por alguém. 6

E o GDPR não trata de qualquer tipo de dado, mas tão somente de “dados pessoais”. Isso significa que é obrigatório que o dado esteja intrinsicamente vinculado a uma pessoa natural identificada ou identificável. Conforme Danilo Doneda, é importante distinguir dados gerais de dados pessoais, pois estes últimos possuem um vínculo objetivo com a pessoa, justamente por relevar aspectos que lhe dizem respeito. 7 É imprescindível, portanto, seja diretamente, seja indiretamente, mesmo que em um segundo momento, ter o componente da identidade de uma pessoa natural como característica fundamental do dado pessoal. Lembrando, conforme leciona Lawrence Lessig, que a identidade vai além do que a pessoa realmente é, envolvendo também atributos, fatos, comportamentos e padrões, os quais são usados como formas de comunicação automática. 8

Proteger dados, quando estão conectados à esfera de uma pessoa, 9 adquirindo a característica de serem pessoais, significa resguardar a própria personalidade do ser humano, pois ela constitui “as características ou conjunto de características que distinguem uma pessoa” 10 e o Direito visa proteger violações de todos os atributos, corpóreos e incorpóreos, que formam a projeção da pessoa humana. 11

Tanto é assim que o GDPR considera todos os meios suscetíveis de serem razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento (controller), quer por outra pessoa, para identificar direta ou indiretamente a pessoa para determinar se ela é identificável. Também, que devesse avaliar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica, para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa. 12

Portanto, o GDPR não preocupa com quaisquer dados ou informações corporativas em sua essência, sigilosas ou confidenciais, públicas ou privadas, como planejamentos estratégicos, balanços financeiros, sistemas em desenvolvimento, protótipos, fórmulas, outras inovações ou qualquer outro tipo de documento corporativo, os quais, se contivessem dados pessoais, somente estariam protegidos pelo Regulamento em estudo.

De forma coerente, o GDPR também não considera dano anônimo, ou seja, dados que não digam respeito a uma pessoa natural identificada ou identificável, como dado pessoal, restando ausente das proteções existentes na norma em tela.

Ocorre o mesmo com dados pessoais tornados de tal modo anônimos em que o seu titular não seja ou já não possa ser mais identificado. Tal conceito é o de anonimização de dados pessoais, que não se confunde com pseudonimização, que ocorre quando dados pessoais são tratados de forma que não possam mais ser atribuídos ao respectivo titular sem recorrer a informações adicionais, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar tal medida. 13

Portanto, para serem caraterizados como anônimos, os dados precisam ser despojados de qualquer informação identificável, tornando impossível derivar alguma compreensão sobre o titular, até mesmo pelo responsável pela anonimização. É por isso que, quando realizada corretamente a anonimização, retira o tratamento do dado do escopo do GDPR. 14

Sobre o assunto, o Article 29 Working Party (Art. 29 WP), em sua Opinion 05/2014, 15 ressalta que: (i) a verdadeira anonimização dos dados é uma barreira extremamente alta de se alcançar; (ii) os controllers frequentemente ficam aquém dos dados efetivamente anônimos; (iii) técnicas de anonimização podem fornecer garantias de privacidade, mas apenas se a sua aplicação for de engenharia adequada, com pré-requisitos (contexto) e o objetivos do processo de anonimização claramente definidos, a fim de atingir as metas de anonimização, enquanto produz dados úteis; (iv) a solução ideal deve ser decidida caso a caso, possivelmente usando uma combinação de diferentes técnicas, sempre levando em consideração que um conjunto de dados anonimizados ainda pode apresentar riscos para os seus titulares. Por exemplo, dados anônimos, como estatísticas, podem ser utilizados para enriquecer perfis existentes de titulares, tornando-os, potencialmente, identificáveis; (v) assim, a anonimização e os seus riscos devem ser reavaliados regularmente pelos controllers.

Na mesma Opinion, o Art. 29 WP cita o risco de reidentificação de perfis de dados genéticos coletados de forma anônima, pois a combinação de recursos genéticos publicamente disponíveis (por exemplo, registros genealógicos, obituário, resultados de buscas em mecanismos de busca) e os metadados sobre doadores de DNA (tempo de doação, idade, local de residência) pode revelar a identidade de certos titulares, mesmo no caso de doação “anônima” de DNA. 16

O Art. 29 WP também cita exemplo de risco ao se considerar dados pseudonimizados como dados anonimizados, pois, reitera-se, no primeiro caso é possível que um titular seja destacado e vinculável diante de diferentes conjuntos de dados. É susceptível de permitir a identificabilidade, o que é especialmente relevante no contexto da investigação científica, estatística ou histórica. Vejamos o exemplo: “Em 2006, um banco de dados contendo vinte milhões de palavras-chave de busca para mais de 650.000 usuários de um serviço, em um período de 3 meses, foi publicado pela empresa de busca, contando como única medida de preservação da privacidade a substituição do ID do usuário junto à empresa por um atributo numérico. Isso levou à identificação pública e à localização de alguns titulares”. 17 Ou seja, palavras-chave em mecanismos de busca dos titulares, com os IDs dos usuários pseudonimizados, especialmente se associado a outros atributos, como Protocolos de Internet ou outros …

Uma nova experiência de pesquisa jurídica em Doutrina. Toda informação que você precisa em um só lugar, a um clique.

Com o Pesquisa Jurídica Avançada, você acessa o acervo de Doutrina da Revista dos Tribunais e busca rapidamente o conteúdo que precisa dentro de cada obra.

  • Acesse até 03 capítulos gratuitamente.
  • Busca otimizada dentro de cada título.
Ilustração de computador e livro
jusbrasil.com.br
25 de Abril de 2024
Disponível em: https://www.jusbrasil.com.br/doutrina/secao/2-dados-pessoais-tratamento-e-principios-comentarios-ao-gdpr-regulamento-geral-de-protecao-de-dados-da-uniao-europeia/1339455443