É importante conhecer os conceitos básicos que norteiam as especificações da LGPD.
De acordo com o Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: Informação relacionada a pessoa natural identificada ou identificável;
Vale reforçar que o conceito de dado pessoal trazido pela legislação brasileira é bastante amplo, na medida em que abriga todas aquelas informações que podem levar à identificação - direta ou indireta - de uma pessoa física, o que envolve desde dados cadastrais como nome, CPF, endereço, e-mail e telefone, até informações mais complexas e refinadas como dados de geolocalização, hábitos de compra, preferências, cookies, registros e identificadores eletrônicos (incluindo endereços de IP e device IDs), entre outros.
Alguns dados pessoais, por conta de suas características, podem trazer maior prejuízo aos titulares se utilizados indevidamente, merecendo maior proteção e cuidado, razão pela qual foram considerados pela LGPD como dados pessoais sensíveis. São eles:
Art. 5º, II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
A LGPD, nos art. 5º, VI e VII, divide o conceito de agentes de tratamento de dados pessoais nas categorias de Controlador e Operador, definição essencial para que se delimitem os encargos e obrigações de cada uma das partes.
Controlador: é a pessoa natural ou jurídica, de direito público ou privado, que decide “como” e “por que” tratar, das mais diversas formas, os dados pessoais utilizados para o cumprimento do objeto de um contrato.
Operador: é quem realiza atividade de tratamento de dados de acordo com as instruções de outra parte, o que significa dizer que necessariamente deve haver um Controlador estabelecendo as diretrizes a serem observadas pelo Operador para a realização de determinada atividade de tratamento.
No modelo de negócio da Questor, quem define quais dados armazenar e suas respectivas finalidades de uso são nossos clientes, sendo a Questor a mera provedora da solução tecnológica por eles contratada.
Na qualidade de Operadora dos dados pessoais decorrentes da prestação de seus produtos e serviços, portanto, a Questor é responsável por implementar as medidas de segurança apropriadas para garantir parâmetros de segurança da informação e mitigar riscos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
As empresas que contratam os serviços prestados pela Questor, por sua vez, são as responsáveis pela qualidade e pela licitude dos dados inseridos nas plataformas e ferramentas disponibilizadas pela Questor. Nesse sentido, cabe ao cliente garantir que o tratamento dos dados pessoais decorrentes da implementação de nossas soluções atende a uma das bases legais previstas na legislação aplicável, bem como a manutenção do processo de atendimento às solicitações de titulares de dados pessoais.
Vê-se, portanto, que a correta classificação de um agente de tratamento em Controlador ou Operador demanda análise da atividade em concreto, sendo fundamental para a correta interpretação da LGPD, pois tais agentes estão sujeitos a regras e regimes diferentes.
Quando um dado tem sua associação dificultada por algum processo técnico ele é chamado de dado pseudoanonimizado, pois ainda entra nas implicações da LGPD. Um dado anonimizado, por outro lado, não pode ser identificado ou rastreado de forma alguma, e por isso não é considerado um dado pessoal, não se encaixando nas regras da LGPD.
Vejamos como a LGPD conceitua o dado anonimizado:
Art. 5º, III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;