Processa dados pessoais constantemente – em cada mensagem de correio eletrónico que envia, em cada venda que regista e nas interacções com os clientes. O tratamento de dados pessoais é a pedra angular da confiança entre si e os seus clientes. É o tecido das suas relações comerciais e um requisito legal do RGPD.
Cada informação pessoal que gere tem peso, e o mais pequeno deslize no tratamento dos dados pessoais pode abalar essa confiança e ter consequências mais vastas do que possa imaginar.
Então, o que são dados pessoais? Esta é uma questão central e todos os funcionários da sua organização devem saber a resposta se quiser manter a confiança e cumprir o RGPD.
A definição de dados pessoais no RGPD
O conceito de dados pessoais é definido no artigo 4.º, n.º 1, do RGPD da seguinte forma
“…qualquer informações relativa a um identificada ou identificável pessoa singular (“pessoa em causa”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”
A definição consiste em quatro elementos-chave: “informação”, “relativa a”, “identificada ou identificável” e “pessoa singular”.
Estes componentes estão inter-relacionados e contribuem coletivamente para a compreensão do que são dados pessoais. Por conseguinte, iremos aprofundar estes conceitos no que se segue.
1) Iinformação
Os dados pessoais incluem qualquer informação sobre uma pessoa e podem ser “dados sensíveis” ou informações mais gerais sobre uma pessoa.
Os dados pessoais são qualquer informação relativa a uma pessoa identificável, independentemente da sua exatidão. Assim, os dados inexactos relativos a uma pessoa são também considerados informação sobre essa pessoa. Este facto está consagrado no RGPD, que concede às pessoas o direito de retificação, permitindo-lhes corrigir os seus dados pessoais inexactos.
O termo “dados pessoais” inclui qualquer informação relativa à vida privada e familiar do indivíduo e a qualquer tipo de atividade por ele desenvolvida, por exemplo, relações de trabalho ou comportamento económico ou social. Inclui informações sobre indivíduos, independentemente da sua posição ou capacidade, por exemplo, consumidor, doente, empregado, cliente, etc.
Formatos dos dados pessoais
Os dados pessoais abrangem qualquer forma de informação que possa ser armazenada, seja ela alfabética, numérica, gráfica, fotográfica ou acústica. Isto inclui dados pessoais armazenados em papel, digitalmente, em cassetes ou outros.
Qualquer ficheiro que contenha informações identificáveis sobre uma pessoa é classificado como dados pessoais. Isto é extensivo aos textos contidos em documentos electrónicos, que também são considerados dados pessoais quando contêm pormenores identificáveis sobre uma pessoa e satisfazem os critérios gerais aplicáveis aos dados pessoais.
Exemplo: Instruções telefónicas para a companhia de seguros
Quando um cliente telefona para a companhia de seguros e dá instruções sobre as suas apólices de seguro, a companhia de seguros pode registar essas instruções, que serão consideradas dados pessoais.
Exemplo: Vigilância por vídeo
As imagens de pessoas captadas por um sistema de videovigilância podem constituir dados pessoais quando essas pessoas são reconhecíveis, o que é quase sempre o caso.
Exemplo: Desenho à mão
Um desenho feito no âmbito de uma avaliação psicológica pode refletir os sentimentos da pessoa, por exemplo, em relação à família, ao trabalho ou a outros aspectos semelhantes, pelo que pode ser considerado um dado pessoal.
2) Relativa a
Pode considerar-se que a informação diz respeito a uma pessoa quando é sobre essa pessoa.
De um modo geral, a informação pode ser sobre uma pessoa quando tem um elemento de conteúdo, objetivo ou resultado.
Conteúdo
É muitas vezes evidente que o conteúdo da preocupação é claramente sobre um indivíduo específico.
As informações contidas no ficheiro pessoal de um trabalhador são claramente informações relacionadas com o seu estatuto de trabalhador. Do mesmo modo, os resultados dos exames médicos de um paciente que constam dos seus registos médicos estão diretamente relacionados com ele.
Objetivo
A mesma informação pode dizer respeito a diferentes pessoas em simultâneo. O mesmo elemento de informação pode apresentar dados pessoais diferentes consoante o objetivo da nossa avaliação.
Exemplo de registos médicos
O registo médico de um doente apresenta o estado de saúde do doente, a avaliação efectuada pelo pessoal médico e as acções correspondentes.
Exemplo de apoio ao cliente
Os e-mails de apoio ao cliente de uma empresa reflectem as perguntas dos clientes e as respostas dos agentes. O pessoal de segurança informática pode também monitorizar e examinar estes e-mails, tornando-os dados pessoais relevantes para várias partes – apoio ao cliente, clientes e pessoal informático.
Resultado
Quando o resultado do tratamento de dados tem impacto numa pessoa, pode ser considerado um dado pessoal, mesmo que não seja esse o objetivo do tratamento.
Exemplo: Localização geográfica dos automóveis
Considere o caso de uma empresa de táxis que utiliza o GPS para encontrar a localização dos seus carros disponíveis. O objetivo é melhorar o serviço e poupar combustível, enviando o carro mais próximo para a localização do cliente. No entanto, o sistema pode monitorizar se os condutores obedecem aos limites de velocidade, escolhem percursos eficientes ou conduzem ativamente ou fazem uma pausa. O resultado deste tratamento são dados pessoais sobre os condutores.
3) Identificada ou identificável
Os dados pessoais devem dizer respeito a uma pessoa singular identificada ou identificável.
Uma pessoa é “identificada” quando se distingue de todos os outros membros de um grupo de pessoas.
A identificação pode ocorrer diretamente através de identificadores explícitos, como um nome, ou indiretamente através de elementos como um número de telefone, um número de segurança social ou um número de passaporte. Além disso, um indivíduo pode ser identificado através da combinação de vários critérios – como a idade, a profissão e o local de residência – o que limita e distingue um indivíduo dentro de um grupo.
O nome da pessoa é o identificador mais comum e, na prática, a noção de “pessoa identificada” implica, na maioria das vezes, uma referência ao nome da pessoa. No entanto, poderão ser necessários dados adicionais, como a data de nascimento ou o endereço, para evitar confusões, uma vez que as pessoas podem partilhar o mesmo nome, por exemplo, James Smith não seria um identificador único, uma vez que milhares de pessoas partilham esse nome.
Uma pessoa é “identificável” se houver a possibilidade de a identificar, mesmo que ainda não tenha sido identificada. Por conseguinte, qualquer informação que possa ser utilizada para identificar uma pessoa, identificada ou não, é considerada um dado pessoal.
Identificável por qualquer meio
Para determinar se uma pessoa é identificável, é necessário considerar todos os métodos razoáveis que possam levar à identificação, e não apenas os controlados pelo responsável pelo tratamento dos dados. Isto inclui os meios disponíveis para outras partes, como os processadores de dados.
No entanto, uma possibilidade teórica de identificação, por si só, não qualifica alguém como identificável“. Depois de considerar todos os métodos práticos de identificação acessíveis ao responsável pelo tratamento de dados e a outros, se a probabilidade de identificar a pessoa for baixa ou inexistente, ela não é “identificável”. Por conseguinte, a informação não é considerada “dados pessoais”.
Ao avaliar se uma pessoa pode ser identificada, são importantes factores como o custo da identificação, a finalidade do tratamento de dados pelo responsável pelo tratamento, os potenciais benefícios, os interesses individuais e os riscos de violação de dados.
A avaliação da identificabilidade deve ser um processo contínuo que tenha em conta não só as capacidades tecnológicas actuais, mas também os potenciais avanços futuros.
Os dados que não são susceptíveis de conduzir a uma identificação durante o seu período de armazenamento não são considerados dados pessoais. Por exemplo, os dados armazenados durante um mês sem identificação exequível não são dados pessoais. No entanto, suponhamos que os dados são conservados durante dez anos. Nesse caso, a possibilidade de identificação no nono ano torna-se relevante.
Nos casos de videovigilância, as empresas argumentam frequentemente que apenas uma fração das imagens conduz a uma identificação, o que sugere que não se trata de tratamento de dados pessoais. No entanto, se o objetivo da vigilância for identificar indivíduos conforme necessário, então toda a atividade é considerada como tratamento de dados pessoais, mesmo que alguns indivíduos permaneçam não identificáveis.
Pseudónimo
A pseudonimização oculta um indivíduo identificado, substituindo os identificadores pessoais por pseudónimos aleatórios e imprevisíveis. Isto permite a recolha de dados adicionais relacionados com uma pessoa sem revelar a sua identidade.
Os dados sob pseudónimo são considerados indiretamente identificáveis. O pseudónimo cria uma ligação com o indivíduo, permitindo a sua identificação em condições específicas e controladas.
Imagine uma lista de nomes emparelhada com os seus registos médicos. A substituição dos nomes por códigos aleatórios obscurece e pseudonimiza a ligação direta aos indivíduos. No entanto, uma lista separada e segura correlaciona estes códigos com os nomes reais e só é acessível a pessoal autorizado. Isto garante a segurança dos dados e permite a sua identificação, caso seja necessário.
Dados anónimos
Os dados anónimos não podem ser utilizados para identificar uma pessoa, mesmo tendo em conta todos os métodos de identificação razoáveis de que o responsável pelo tratamento de dados e outros dispõem.
Os dados anónimos são um tipo específico de dados anónimos que eram inicialmente identificáveis mas que foram processados, pelo que a identificação deixou de ser possível.
Os princípios da proteção de dados não se aplicam aos dados anonimizados na medida em que a pessoa em causa deixa de ser identificável, como deveria ser o caso com os dados anonimizados.
O carácter anónimo dos dados é contextual e deve ser analisado caso a caso. Isto é especialmente importante em contextos estatísticos, em que os dados agregados podem ainda permitir a identificação individual se a dimensão da amostra for pequena ou se existirem outras informações que possam ajudar a identificar a pessoa que, de outra forma, seria anónima.
4) Uma pessoa singular
Os dados pessoais devem dizer respeito a uma pessoa singular, um ser humano individual, por oposição a uma pessoa colectiva, que se refere a entidades como empresas, instituições governamentais, ONG e organizações semelhantes. Estas entidades são reconhecidas por lei como capazes de direitos e deveres.
No contexto dos dados pessoais, trata-se de informações sobre pessoas singulares e não sobre organizações. No entanto, os dados relacionados com uma empresa, como é o caso de uma empresa em nome individual, continuam a ser considerados informações pessoais, uma vez que estão diretamente ligados ao proprietário individual.
Uma pessoa colectiva
Os dados pessoais dizem respeito, em primeiro lugar, a informações sobre indivíduos. No entanto, em certos casos, os pormenores relacionados com as empresas podem ser considerados dados pessoais se disserem respeito indiretamente a pessoas.
Por exemplo, quando o nome de uma empresa inclui o nome de um indivíduo ou quando um funcionário específico utiliza sistematicamente um endereço de correio eletrónico da empresa, esta informação fica associada a esse indivíduo. Além disso, os dados sobre uma pequena empresa podem refletir de perto as relações pessoais do seu proprietário e os dados relacionados com uma empresa, como uma empresa em nome individual, também são considerados informações pessoais, uma vez que estão diretamente ligados ao proprietário individual.
Para simplificar o cumprimento das normas de proteção de dados, algumas empresas tratam todos os dados, incluindo informações relacionadas com a empresa misturadas com dados individuais, como dados pessoais. Esta abordagem elimina a necessidade de categorização específica dos dados e está em conformidade com os regulamentos de privacidade.
Categorias de dados pessoais
É amplamente reconhecido que algumas informações pessoais são mais sensíveis do que outras.
Este entendimento é formalmente captado no RGPD através da existência de diferentes categorias de dados pessoais, tais como categorias especiais de dados pessoais (normalmente conhecidas como dados pessoais sensíveis) e dados pessoais não sensíveis.
O RGPD também considera os dados relativos a crianças uma categoria distinta que deve ser tratada com maior cuidado, uma vez que as crianças têm geralmente menos consciência da forma como os seus dados são tratados.
As informações sobre as infracções e condenações penais de uma pessoa também devem ser tratadas com maior cuidado, uma vez que o RGPD limita a forma como estes dados podem ser tratados e por quem.
Por último, alguns dados pessoais, tais como informações sobre o seu património, não gostaria que fossem públicos. Este tipo de dados pessoais é normalmente classificado como dados pessoais confidenciais.
Dados pessoais não sensíveis
Os dados pessoais não sensíveis são informações não especificamente classificadas nas “categorias especiais” do artigo 9. Isto incluiria os seguintes exemplos:
- Nome completo
- Endereço
- Número de telefone
- Data de nascimento
- Perfis de redes sociais
- Número da carta de condução
- ID do empregado
- Endereço IP
Apesar de estes dados não serem considerados sensíveis, podem apresentar riscos se forem utilizados incorretamente. Por exemplo, um número de telefone pode levar a ataques de phishing. Ao mesmo tempo, alguém pode explorar uma data de nascimento para aceder não autorizado a uma conta.
Estas informações pessoais são amplamente utilizadas ou geradas em todas as interacções em linha ou em negócios, e é possível classificar uma quantidade infinita de informações pessoais como não sensíveis.
Dados pessoais sensíveis
O RGPD enumera todas as categorias de dados pessoais sensíveis no artigo 9.º, incluindo a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, os dados genéticos, os dados biométricos para identificação única, os dados relativos à saúde e os dados relativos à vida sexual ou orientação sexual de uma pessoa.
Historicamente e atualmente, essas informações têm sido utilizadas de forma abusiva para fins de discriminação ou danos. Por exemplo, as filiações políticas de uma pessoa podem levar à discriminação no emprego ou, em casos extremos, como numa ditadura, informações pessoais de saúde, como alergias, podem ser usadas contra um indivíduo para causar danos.
Devido a estes riscos, o tratamento de dados pessoais sensíveis está estritamente regulamentado e só pode ser efectuado nas condições mencionadas no n.º 2 do artigo 9.º, por exemplo, um hospital está autorizado a tratar dados relativos à saúde dos doentes.
Crianças
Nos termos do RGPD, “crianças” refere-se normalmente a indivíduos com menos de 16 anos. No entanto, os Estados-Membros da UE podem fixar esta idade de consentimento entre os 13 e os 16 anos.
Nos contextos em que o consentimento é a base para o tratamento de dados de crianças, este deve ser dado pelo tutor legal da criança quando esta não tiver a idade de consentimento do Estado-Membro. Por exemplo, Espanha, França e Portugal fixaram as suas idades de consentimento em 14, 15 e 13 anos, respetivamente.
O regulamento visa proteger as crianças da utilização abusiva de dados em linha, garantindo que os serviços digitais que lhes são dirigidos salvaguardam a sua privacidade e comunicam de forma clara e compreensível o modo como os seus dados são tratados.
Infracções ou condenações penais
O RGPD impõe restrições rigorosas ao tratamento de dados pessoais relacionados com infracções ou condenações penais. Esta categoria inclui, por exemplo:
- Registos criminais com condenações anteriores.
- Dados de processos judiciais que indicam um comportamento criminoso.
- Informações provenientes de relatórios policiais sobre detenções.
- Sentenças judiciais ou condenações relacionadas com actividades ilegais.
- Os registos sugerem que um indivíduo está a ser investigado por uma suspeita de infração.
O tratamento destes dados só é permitido em condições específicas, nomeadamente para o desempenho de funções oficiais ou quando a lei o autoriza. Esta abordagem reflecte a proteção de dados pessoais sensíveis ao abrigo do RGPD. O objetivo é evitar a utilização indevida e a discriminação.
Por exemplo, imagine os riscos se as empresas pudessem tratar dados relativos a infracções penais sem restrições. Poderá conduzir a intrusões na privacidade e a discriminações injustas contra os indivíduos. Estas regras existem para proteger as pessoas de uma eventual utilização abusiva das suas informações pessoais.
Dados pessoais confidenciais
Os dados pessoais confidenciais não são explicitamente classificados no RGPD, mas constituem um conceito fundamental. Esta categoria inclui informações como o património, o salário ou os números de identificação nacional – pormenores que normalmente não se destinam à divulgação pública.
Reconhecer e classificar os dados pessoais confidenciais é importante para um mapeamento completo dos dados, avaliações de risco e conformidade com o RGPD. Orienta também a aplicação de garantias adequadas no tratamento de dados, assegurando uma maior proteção dos dados pessoais quando estes devem permanecer confidenciais.
Outras categorias de dados
Para clarificar o conceito de dados pessoais, é útil considerar outras categorias, como os dados comerciais, e a sua relação com os dados pessoais.
Dados comerciais
Os dados comerciais referem-se a informações sobre as operações de uma empresa, como registos financeiros, actividades de mercado, números de vendas e dados demográficos dos clientes. Centra-se no desempenho da empresa e fornece informações sobre as tendências do mercado e o comportamento dos clientes.
Embora essencialmente orientados para as empresas, estes dados cruzam-se frequentemente com dados pessoais. Por exemplo, os dados dos clientes e dos trabalhadores são uma parte essencial das estratégias de marketing e da gestão dos recursos humanos e, por conseguinte, são abrangidos pelo âmbito de aplicação do RGPD.
Deve ser dada especial atenção ao aspeto dos dados pessoais nas suas operações comerciais para garantir a conformidade com o RGPD. O mapeamento eficaz dos dados, como parte dos registos das actividades de processamento exigidas pelo artigo 30º do RGPD, ajuda a identificar, documentar e tratar com precisão esta sobreposição de dados pessoais e comerciais.
Dados agregados
A agregação de dados envolve a fusão de pontos de dados individuais para identificar padrões ou tendências, ocultando simultaneamente detalhes pessoais. Por exemplo, o cálculo do rendimento médio de uma região a partir dos rendimentos de muitos indivíduos resulta em dados que reflectem tendências sem revelar contribuições específicas.
Os institutos nacionais de estatística utilizam frequentemente dados agregados para descrever a demografia ou a situação económica de um país. Embora comece com dados pessoais, a forma agregada final é anónima e não deve revelar dados pessoais.
Em contraste com os dados pessoais, que detalham atributos individuais identificáveis, os dados agregados centram-se em padrões de grupo mais amplos. As suas aplicações vão desde a análise de mercado a estudos demográficos, diferindo da utilização centrada no indivíduo em publicidade direccionada ou no serviço ao cliente.
Embora normalmente não constituam uma preocupação em termos de privacidade, os dados agregados podem apresentar riscos se o conjunto de dados não tiver diversidade ou se a dimensão da população for pequena, permitindo potencialmente a identificação de indivíduos.
O RGPD não regula os dados agregados em si, devido à sua natureza não identificável. No entanto, os dados pessoais iniciais devem ser tratados corretamente durante a agregação para evitar uma possível reidentificação.
Equívocos comuns
Há muitas ideias erradas sobre o que são ou não são os dados pessoais. A seguir, encontrará alguns exemplos de dados pessoais, que são frequentemente confundidos com dados não pessoais.
As gravações de voz de interacções de serviço ao cliente ou através de assistentes virtuais são classificadas como dados pessoais porque podem revelar a identidade da pessoa que fala.
As notas com caligrafia que incluem observações pessoais ou estilos exclusivos de um indivíduo são dados pessoais devido à sua natureza identificável.
Os números de registo de empresas são considerados dados pessoais quando estão diretamente relacionados com os proprietários individuais. Um número de registo comercial é também um dado pessoal quando a denominação comercial inclui o nome do proprietário.
Os dados pessoais inscritos em registos públicos mantêm o seu estatuto de dados pessoais apesar de estarem disponíveis ao público, devido à informação identificável que contêm.
Os endereços de correio eletrónico fornecidos aos empregados para comunicações relacionadas com o trabalho têm o estatuto de dados pessoais, independentemente de o endereço incluir ou não o nome do indivíduo, se o empregado puder ser identificado. Um endereço de correio eletrónico profissional está normalmente associado a uma pessoa. Por conseguinte, as comunicações efectuadas através desse endereço eletrónico são consideradas dados pessoais.
As imagens de pessoas apresentadas nos sítios Web das empresas são reconhecidas como dados pessoais porque permitem identificar as pessoas fotografadas.
As informações biométricas para garantir o acesso ao local de trabalho, como as impressões digitais ou o reconhecimento facial, são consideradas dados pessoais sensíveis.
As imagens de segurança que mostram pessoas identificáveis são tratadas como dados pessoais, mesmo quando captam cenas em áreas públicas.
As informações sobre os trabalhadores recolhidas para fins administrativos são dados pessoais, mesmo que pareçam ser um registo comercial de rotina.
As respostas aos formulários de feedback são consideradas dados pessoais quando contêm pormenores susceptíveis de identificar a pessoa que as dá.
Estudo de caso: Empresa de consultoria
Para ilustrar o facto de os dados pessoais serem tratados de muitas formas diferentes e por muitos tipos de empresas, vejamos o exemplo de uma empresa de consultoria normal.
Dados pessoais na consultoria
Na consultoria, os dados pessoais podem ser tratados de muitas formas, nas quais poderá não pensar à partida:
Os consultores mantêm uma lista de informações de contacto dos clientes, como nomes, endereços e formas de entrar em contacto. Isto ajuda-os a manterem-se ligados e a contactarem quando necessário.
Os consultores compilariam perfis de clientes, registando as suas necessidades comerciais e preferências pessoais relevantes para cumprir o seu serviço ao cliente.
As competências e qualificações do pessoal da empresa de consultoria são adaptadas aos projectos dos clientes, o que implica um tratamento cuidadoso das informações profissionais dos trabalhadores.
Mantém um histórico detalhado das conversas com os clientes, através de e-mails, chamadas ou reuniões, para continuar a melhorar a forma como trabalha com cada cliente.
Os consultores documentam os processos de vendas e de aquisição de clientes no seu sistema CRM, desde o contacto inicial até à integração bem sucedida, registando quaisquer interacções individualizadas ou modificações solicitadas pelo cliente.
O feedback dos clientes é guardado no sistema CRM para garantir que o serviço de consultoria satisfaz as necessidades dos clientes.
São tomadas notas das reuniões e visitas ao local para estabelecer uma melhor ligação com o cliente e ajudar a planear o futuro.
As informações provenientes de estudos de clientes são analisadas e ajudam a compreender o que as diferentes pessoas gostam e fazem, o que os consultores utilizam para elaborar estratégias que se dirigem aos seus clientes.
Resumo
A base para estar em conformidade com o RGPD é identificar quando processa dados pessoais no seu trabalho.
O seu conhecimento do que constitui dados pessoais permitir-lhe-á agir contra o tratamento incorreto de dados pessoais, ajudar a sua empresa a progredir no sentido da conformidade e melhorar a fiabilidade da empresa.
Neste artigo, abordámos exaustivamente a definição de dados pessoais e as diferentes categorias de dados pessoais, servindo como um recurso a que pode recorrer sempre que precisar de esclarecimentos sobre o que são dados pessoais.
Na nossa formação de sensibilização “O que são dados pessoais?”, encontrará uma formação facilmente acessível de 5 vídeos, adequada para colegas sem conhecimentos prévios do RGPD.
