Dados Pessoais: O que São e Como Proteger

Introdução: O que são Dados Pessoais

Dados pessoais são qualquer informação relacionada a uma pessoa natural identificada ou identificável. Essa definição está na Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que regula o tratamento desses dados no Brasil. Um dado pessoal não precisa conter diretamente o nome de alguém para ser considerado pessoal: basta que, por meio dele ou em combinação com outras informações, seja possível identificar um indivíduo. Isso inclui desde números de documentos até características digitais, como endereço IP ou histórico de navegação. A proteção desses dados é essencial para garantir a privacidade e a autonomia dos titulares, especialmente em um mundo onde informações circulam rapidamente por meios eletrônicos e físicos.

A definição legal estabelece que o titular é a pessoa natural a quem os dados se referem. Assim, informações sobre empresas ou entidades jurídicas, como CNPJ ou razão social, não são consideradas dados pessoais para os fins da LGPD. No entanto, quando um dado mistura a identificação de uma pessoa física, como o nome do sócio vinculado a um CNPJ, já se enquadra como dado pessoal. A abrangência do conceito é ampla: praticamente qualquer fragmento de informação que possa levar à identificação de um ser humano está dentro do escopo.

A importância de entender o que são dados pessoais vai além da conformidade legal. No dia a dia, cada cidadão fornece seus dados para inúmeras finalidades: ao fazer compras online, acessar redes sociais, contratar serviços públicos ou privados, participar de pesquisas, entre outras atividades. Muitas vezes, a pessoa não percebe que está compartilhando informações que podem ser usadas para criar perfis, direcionar propaganda ou até mesmo para fraudes. Por isso, conhecer o conceito e saber quais direitos se tem sobre os próprios dados é o primeiro passo para se proteger em um ambiente digital e analógico.

Exemplos Comuns de Dados Pessoais

Os dados pessoais podem ser divididos em duas grandes categorias: os que permitem identificação direta e os que permitem identificação indireta. A seguir, listamos alguns exemplos típicos de cada tipo. Esses exemplos ajudam a visualizar como dados simples do cotidiano podem ser enquadrados na definição legal.

Dados Pessoais: O que São e Como Proteger - 1
  • Nome completo
  • Número de CPF ou RG
  • Endereço residencial ou comercial
  • Número de telefone (fixo ou celular)
  • Endereço de e-mail pessoal
  • Dados de localização via GPS
  • Endereço IP do computador ou dispositivo
  • Cookies de navegação armazenados no navegador
  • Histórico de compras em lojas físicas ou online
  • Fotografias que mostrem o rosto da pessoa
  • Impressões digitais ou dados biométricos
  • Dados de saúde, como prontuário médico

Esses exemplos mostram que quase tudo pode ser um dado pessoal. Até mesmo uma placa de veículo, se estiver vinculada ao nome do proprietário, é um dado pessoal. O mesmo vale para um número de matrícula em uma escola ou universidade, quando associado ao nome do aluno. A chave é a possibilidade de ligar a informação a uma pessoa natural. Por isso, empresas e organizações que coletam qualquer um desses itens precisam respeitar as regras da LGPD.

Dados Pessoais Sensíveis: Uma Categoria Especial

Dentro do universo dos dados pessoais, existe uma subcategoria mais protegida: os dados pessoais sensíveis. A LGPD define esses dados como informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A diferenciação é crucial porque o tratamento desses dados pode gerar discriminação ou danos maiores ao titular.

A tabela abaixo resume as diferenças entre dados pessoais comuns e dados pessoais sensíveis, com base na legislação e nas orientações da Autoridade Nacional de Proteção de Dados (ANPD).

CaracterísticaDados Pessoais ComunsDados Pessoais Sensíveis
Exemplos típicosNome, CPF, endereçoRaça, religião, saúde, biometria
Base legal para tratamentoConsentimento, legítimo interesse, obrigação legal, etc.Consentimento específico e destacado, ou hipóteses restritas (ex.: cumprimento de obrigação legal, exercício de direitos)
Risco ao titularBaixo a moderadoAlto, pode levar a discriminação
Exigência de avaliação de impactoNão obrigatória, mas recomendadaRecomendada pela ANPD em muitos casos

O tratamento de dados sensíveis requer cuidados redobrados. Por exemplo, uma empresa que coleta dados biométricos de funcionários para controle de ponto deve informar claramente a finalidade, obter consentimento específico e garantir que esses dados não sejam utilizados para outros fins, como monitoramento comportamental. Já um hospital que trata dados de saúde de pacientes precisa seguir protocolos rigorosos de segurança e sigilo. Esses dados, se vazados, podem causar estigmatização, perda de oportunidades de trabalho ou seguros, e outros prejuízos graves.

Dados Pessoais: O que São e Como Proteger - 2

Identificação Direta e Indireta

A LGPD considera que uma pessoa é identificável quando pode ser reconhecida, direta ou indiretamente, por meio de um dado ou conjunto de dados. A identificação direta ocorre quando um único dado, como o CPF ou a impressão digital, já basta para apontar quem é o titular. Já a identificação indireta acontece quando é necessário combinar várias informações para chegar a uma pessoa. Por exemplo, um endereço IP sozinho pode não identificar uma pessoa específica, mas se somado ao histórico de navegação, data e hora de acesso, e dados de localização, pode revelar quem está por trás daquela máquina.

Esse conceito é fundamental para entender o alcance da proteção. Muitas empresas acham que, se não coletam o nome do cliente, não estão tratando dados pessoais. Mas isso é um equívoco. Um identificador de dispositivo móvel (IDFA ou Advertising ID) associado a hábitos de consumo pode, em combinação com outras bases, levar à identificação indireta. A ANPD e a legislação europeia (GDPR) deixam claro que a pseudonimização não elimina a natureza pessoal dos dados se ainda for possível reidentificar o titular. Por isso, qualquer informação que, em algum contexto, possa ser vinculada a uma pessoa natural deve ser tratada como dado pessoal.

Um caso comum é o dos cookies de rastreamento. Um cookie que armazena preferências de navegação pode, sozinho, não revelar quem você é. Mas se a empresa que o colocou também tiver acesso ao seu e-mail (por exemplo, porque você se cadastrou no mesmo site), ela pode cruzar as informações e identificá-lo. Portanto, mesmo dados aparentemente anônimos merecem cuidado. A orientação é tratar qualquer coleta de informação de usuário como potencialmente pessoal, a menos que haja certeza de que a anonimização é irreversível e não permite reidentificação.

Tratamento de Dados Pessoais

Tratamento de dados pessoais é qualquer operação realizada com esses dados, desde a coleta até a eliminação. A LGPD lista de forma não exaustiva as seguintes atividades: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Basicamente, qualquer ação que envolva um dado pessoal configura tratamento.

Dados Pessoais: O que São e Como Proteger - 3

Para que o tratamento seja lícito, é necessário que exista uma base legal prevista na LGPD. As principais bases são: consentimento do titular, cumprimento de obrigação legal ou regulatória, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, legítimo interesse do controlador, proteção do crédito, realização de estudos por órgão de pesquisa, e garantia da prevenção à fraude. Cada uma tem requisitos específicos. Por exemplo, o consentimento deve ser livre, informado e inequívoco, e pode ser revogado a qualquer momento pelo titular.

Obrigações adicionais recaem sobre o controlador (quem decide sobre o tratamento) e o operador (quem realiza o tratamento em nome do controlador). Ambos devem manter registro das operações, adotar medidas de segurança técnicas e administrativas, nomear um encarregado (DPO) e comunicar à ANPD incidentes de segurança que possam causar risco ou dano aos titulares. O descumprimento pode gerar advertências, multas (de até 2% do faturamento, limitado a 50 milhões de reais por infração), suspensão do banco de dados ou proibição parcial da atividade de tratamento.

Riscos e Importância da Proteção

Os dados pessoais são um ativo valioso na economia digital. Empresas os utilizam para personalizar serviços, melhorar produtos, direcionar publicidade e até mesmo para decisões de crédito ou emprego. Mas o uso inadequado ou o vazamento desses dados pode trazer sérios riscos para os titulares. Entre os principais perigos estão: roubo de identidade, fraudes financeiras, discriminação (por exemplo, baseada em perfil de saúde ou origem racial), invasão de privacidade, chantagem, perseguição, e danos à reputação.

Casos de vazamento de dados ganham manchetes frequentes: informações de milhões de usuários expostas em brechas de segurança, dados vendidos na dark web, perfis usados para campanhas políticas manipuladoras, entre outros. A proteção dos dados pessoais não é apenas uma questão de conformidade legal, mas um direito fundamental. A Constituição Federal brasileira, em seu artigo 5º, incisos X e LXXIX (incluído pela EC 115/2022), garante a privacidade e a proteção dos dados pessoais. A LGPD veio para dar efetividade a esse direito, estabelecendo regras claras para quem trata dados e empoderando os titulares.

Dados Pessoais: O que São e Como Proteger - 4

O cidadão comum também precisa se conscientizar. Cada vez que fornece um dado pessoal, seja preenchendo um formulário online ou usando um aplicativo gratuito, está entregando parte de sua privacidade. Por isso, é importante verificar a política de privacidade dos serviços, desconfiar de solicitações excessivas de informações, usar senhas fortes e autenticação em duas etapas, e evitar compartilhar dados sensíveis sem necessidade. Pequenas atitudes, como não publicar fotos de documentos nas redes sociais ou não clicar em links suspeitos, fazem diferença.

Como Proteger Seus Dados Pessoais

Proteger dados pessoais exige uma combinação de cuidados individuais e exigências coletivas. O primeiro passo é conhecer seus direitos como titular: você tem o direito de saber quais dados estão sendo tratados, para que finalidade, por quanto tempo, e pode solicitar correção, exclusão, portabilidade ou revogação do consentimento. As empresas são obrigadas a fornecer esses canais de forma clara e gratuita.

Algumas medidas práticas que qualquer pessoa pode adotar incluem:

  • Utilizar senhas fortes e diferentes para cada serviço online.
  • Ativar a autenticação em dois fatores sempre que possível.
  • Manter softwares e sistemas operacionais atualizados.
  • Desconfiar de e-mails ou mensagens que solicitem dados pessoais (phishing).
  • Limitar o compartilhamento de dados em redes sociais.
  • Configurar privacidade em navegadores e aplicativos para bloquear rastreadores.
  • Ler as políticas de privacidade antes de aceitar termos de uso.
  • Usar VPNs em redes Wi-Fi públicas.
  • Não armazenar dados sensíveis em dispositivos sem criptografia.
  • Solicitar a eliminação de dados desnecessários mantidos por empresas.

No ambiente corporativo, as organizações devem implementar programas de governança de dados, nomear um DPO, realizar treinamentos com colaboradores, e adotar medidas de segurança como criptografia, controle de acesso, e monitoramento de ameaças. A ANPD disponibiliza guias e boas práticas para auxiliar no cumprimento da LGPD.

Dados Pessoais: O que São e Como Proteger - 5

Legislação Aplicável: LGPD e Regulamentação

No Brasil, a principal lei sobre dados pessoais é a Lei nº 13.709/2018 (LGPD), que entrou em vigor em setembro de 2020. Ela se aplica a qualquer operação de tratamento realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio ou do país de origem, desde que os dados sejam tratados em território nacional, a coleta tenha ocorrido no Brasil, ou o objetivo seja oferecer bens ou serviços a indivíduos localizados no Brasil. A LGPD se inspira no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, mas tem particularidades adaptadas à realidade brasileira.

Além da LGPD, outras leis setoriais podem se aplicar, como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei de Acesso à Informação e o Marco Civil da Internet. A ANPD é o órgão responsável por fiscalizar, orientar e aplicar sanções. Ela também edita normas complementares, como a recente regulamentação sobre dados pessoais de crianças e adolescentes. O cenário regulatório está em constante evolução, e é importante que tanto empresas quanto cidadãos acompanhem as atualizações.

Para quem deseja se aprofundar, a leitura do texto da LGPD é recomendada. A ANPD mantém um portal com perguntas frequentes e orientações sobre o que são dados pessoais e como tratar. Organizações como o Instituto Brasileiro de Defesa do Consumidor (IDEC) também oferecem materiais educativos. A proteção de dados é uma responsabilidade compartilhada entre governo, empresas e sociedade.

Referências

Lei nº 13.

dados pessoais privacidade segurança da informação LGPD proteção de dados
Aviso Conteúdo informativo. Não substitui orientação jurídica especializada.
Autor

Stefano Barcellos

Colaborador do Visite Barbados.

« Post anterior
Faturamento: o que é e como calcular corretamente

Posts relacionados