Uma definição ampla de dados, arquivos e seu processamento

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO GDPR – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Acreditamos que sabemos o que são dados pessoais (observe que o termo não é usado no singular, provavelmente porque é necessário reunir pelo menos dois dados – um nome e um endereço, por exemplo – para começar a processá-los). Mas, atenção, para evitar erros, levemos em consideração a definição formulada no Artigo 4º do Regulamento: “qualquer informação relativa a uma pessoa singular identificada ou identificável; uma “pessoa singular identificável” é aquela que pode ser identificada, direta ou indiretamente, em especial por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online, ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular”.

Embora a formulação esteja longe de ser fluida, ela não deixa dúvidas quanto ao amplo significado em que o termo deve ser entendido. "Qualquer informação" anexada a uma pessoa constitui dados pessoais. A lista de adjetivos associados à "identidade" da pessoa sublinha, se necessário, o escopo da palavra informação. 

A CNIL esclareceu o conceito de dados pessoais em um comentário ao Artigo 2º da Lei de Proteção de Dados: "Os dados são considerados "pessoais" quando dizem respeito a pessoas físicas direta ou indiretamente identificadas. Uma pessoa é identificada quando, por exemplo, seu nome aparece em um arquivo.

Uma pessoa é identificável quando um ficheiro contém informações que indiretamente permitem a sua identificação (ex.: endereço IP, nome, número de matrícula, número de telefone, fotografia, elementos biométricos como a impressão digital, ADN, número de Identificação Nacional de Estudante (INE), conjunto de informações que permitem discriminar uma pessoa dentro de uma população (certos ficheiros estatísticos) como, por exemplo, local de residência e profissão e sexo e idade). Dados que possa considerar anónimos podem constituir dados pessoais se permitirem identificar uma pessoa específica indiretamente ou através de informações cruzadas. Estas podem, na verdade, ser informações que não estão associadas ao nome de uma pessoa, mas que permitem facilmente identificá-la e conhecer os seus hábitos ou gostos.

Neste sentido, os dados pessoais incluem também toda a informação que, cruzada, permite identificar uma pessoa específica (por exemplo, uma impressão digital, um ADN, uma data de nascimento associada a um município de residência)...

O RGPD exclui do seu âmbito de aplicação as atividades dos Estados relacionadas com a sua segurança (16^e considerando) e, claro, atividades de natureza puramente nacional (art. 2º). Por outro lado, o regulamento aplica-se a todas as empresas (e administrações, organizações e associações) que processam dados de cidadãos europeus, estejam elas estabelecidas no continente ou não. Da mesma forma, se uma empresa utiliza um subcontratante sediado fora da UE, este também deve agir em conformidade (art. 3º).

Como esses dados são armazenados em arquivos, observemos também a definição desta palavra: "qualquer conjunto estruturado de dados pessoais, acessível de acordo com critérios específicos, seja esse conjunto centralizado, descentralizado ou distribuído funcional ou geograficamente". Aqui, novamente, fica claro que não podemos ser astutos ao tentar armazenar dados em bancos de dados que não poderiam ser chamados de "arquivos". Não apenas nossa ferramenta seria reclassificada, mas a autoridade supervisora também, sem dúvida, consideraria isso uma circunstância agravante.

Da mesma forma, um artesão que seja resistente à informatização e que mantenha arquivos em papel sobre seus clientes em ordem alfabética não pode evitar o RGPD (art. 2, parágrafo 1).

É porque se destinam a ser processados que os dados que constituem os arquivos devem ser protegidos. O que é processamento? "Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a restrição, o apagamento ou a destruição" (Art. 4º, parágrafo 2º). A lista de palavras é quase exaustiva: assim que tocamos nos dados, nós os processamos e, portanto, estamos sujeitos à regulamentação. A fortiori, a definição de perfis – o processamento de dados de forma a avaliar ou prever comportamentos – deve ser rigorosamente monitorada.

O RGPD recomenda a pseudonimização sempre que possível, para que os dados não possam mais ser atribuídos a uma pessoa física sem o uso de informações adicionais. “A pseudonimização de dados pessoais pode reduzir os riscos para os titulares dos dados e ajudar os controladores e subcontratantes a cumprir suas obrigações de proteção de dados” (28).^e considerando).  

O controle sobre o processamento é levado ao limite, uma vez que se estende além das fronteiras. De fato, os dados transferidos para fora da União Europeia permanecem sujeitos à legislação europeia, tanto para a transferência quanto para qualquer processamento subsequente. Também é possível questionar a possibilidade de surgirem disputas legais, especialmente com a China ou os Estados Unidos. Para informar previamente os parceiros estabelecidos fora da UE, o regulamento recomenda a assinatura de regras corporativas vinculativas (BCRs) ou a adoção de cláusulas contratuais padrão, validadas pelo órgão europeu.

Por fim, esclareçamos que uma violação de dados pessoais é uma "violação de segurança que leva à destruição, perda, alteração, divulgação ou acesso não autorizados, acidentais ou ilícitos, a dados pessoais transmitidos, armazenados ou de outra forma tratados" (art. 4º, parágrafo 12). Portanto, aqui também, o termo deve ser entendido em um sentido muito amplo.