Buscar

AFINAL, O QUE É DADO IDENTIFICÁVEL?

O inciso I do artigo 5º da LGPD trouxe a seguinte definição para dado pessoal:


I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;



Assim, dado pessoal é aquele que pode identificar uma pessoa, como por exemplo o nome completo, o número de CPF e RG, imagem, etc.


Mas não só isso, a LGPD adotou o critério expansionista de dado pessoal, abordando também os dados que tornam a pessoa identificável.


Para entendermos melhor o que é um dado pessoal identificável basta imaginar a seguinte situação: em uma sala com 30 pessoas, vendamos uma delas e fornecemos diversas informações (que podem ser características físicas, por exemplo) até que ela consiga adivinhar de quem estamos falando.


Um outro exemplo prático: digo a vocês que uma mulher, baiana, morena, cantora de axé, foi vista almoçando em Copacabana. Com toda certeza vocês já sabem de quem estou falando.


Verifica-se que a pessoa não estava identificada por nenhuma das informações acima, mas, mediante a conjugação delas, a pessoa se tornou identificável.


Assim, se uma empresa dispõe de um banco de dados que, se mesclados ou conjugados, identifiquem uma pessoa, tais dados serão considerados pessoais, ainda que isoladamente não identifiquem o indivíduo.


Vale a pena exemplificar este caso: imagine que uma pessoa realiza compra de determinado produto pelo site de uma empresa. Por força do Marco Civil da Internet o site armazenou o endereço IP da conexão daquele consumidor. Cerca de 1 ano depois o consumidor, sem se “logar” no site, faz uma pesquisa de produtos e tem seu endereço IP novamente capturado pelos cookies instalados na página.


Neste caso o site consegue identificar o consumidor pelo IP, pois já possuía o mesmo em seu banco de dados, atrelando-o a pessoa natural do comprador.


Portanto temos que dado identificável é aquele que identifica uma pessoa de forma não imediata ou direta.


Obvio que os dados só serão identificativos se estiverem todos à disposição do mesmo controlador, ou seja, se o controlador não consegue identificar uma pessoa com os dados de sua base, tais dados serão considerados anonimizados e apenas serão considerados dados pessoais se enriquecidos ou conjugados com mais dados, não antes.



REFERÊNCIAS


COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados comentada. 4. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2021.

Lei Geral de Proteção de Dados http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm