O que são dados pessoais e sensíveis, titulares de dados, consentimento
Conforme o artigo 5º, I, da Lei Geral de Proteção de Dados, define-se um dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. Há três elementos a serem considerados na definição adotada: a noção de dado; sua titularidade por pessoa natural; e a natureza do vínculo entre o dado e uma pessoa.
O substantivo que faz o núcleo desta definição é “informação”. Isso leva a crer que dado e informação têm uma relação de sinonímia, o que é terminologicamente problemático. A doutrina majoritária considera o dado como pré-informação, informação em potencial, ou ainda informação em seu estado bruto.[1] Nesse entendimento, um ou mais dados se tornariam uma informação após alguma forma de processamento, interpretação ou organização. Não obstante, essa foi a escolha dos termos nas definições da Lei Geral de Proteção de Dados (LGPD) brasileira e do General Data Protection Regulation (GDPR) europeu.
Um dado se torna dado pessoal – e passa a ser objeto da Lei – por se relacionar a alguma pessoa natural. Não há que se falar, portanto, em dado pessoal quando este se referir apenas a uma pessoa jurídica. Por óbvio, também não são pessoais os dados que não se refiram a nenhuma pessoa – como, por exemplo, dados meteorológicos. A civilista francesa Judith Rochfeld[2] identifica duas correntes que teorizam o conceito. A tese realista percebe os dados pessoais como bens ou produtos que se tornam objeto de direitos reais. Já a tese personalista, à qual tende a LGPD, compreende os dados pessoais como elementos da personalidade de cada um, direcionando a tutela jurídica à pessoa a que dizem respeito tais dados.[3]
A natureza do vínculo pessoa-dado remete à identificabilidade. Os vocábulos identificada (reducionista) e identificável (expansionista) restringem e alargam, respectivamente, o escopo de uma Lei.[4] Tanto a LGPD quanto o GDPR adotam o critério da razoabilidade para delimitar o âmbito expansionista do dado pessoal, o que se denota pela abordagem feita em relação à não incidência da Lei sobre os dados anonimizados.[5]
O vínculo entre o dado e seu titular prescinde do conhecimento deste sobre a existência e as formas de uso do dado – é o tratamento deste, por outro lado, que se condiciona às restrições legais da LGPD. Tomado isoladamente o dado, é suficiente para a constatação do vínculo o critério de identificabilidade do titular.
O elevado grau de restrição ao tratamento de dados pessoais sensíveis decorre de seu potencial discriminatório. No artigo 5º da LGPD, define-se o termo da seguinte forma:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
A redação muito se assemelha à do art. 9º-1 do GDPR,[6] que regulamenta o tratamento de “categorias especiais” de dados pessoais. O Regulamento europeu proíbe tais tratamentos, com exceção das hipóteses contidas no art. 9º–2. Em ambas as normas citadas, constata-se a presença de dois eixos: um relativo ao corpo humano (no qual focaremos) e outro voltado a aspectos ideológicos ou religiosos.
Dada a particularidade dessa categoria de dados pessoais, a LGPD consagra uma seção especial para sua regulamentação. A principal hipótese de tratamento legítimo de dados sensíveis é a do consentimento, que deve ser expresso de forma específica e destacada. Em outros termos, no momento de manifestar aceitação quanto ao tratamento de seus dados, devem os dados sensíveis ser elencados de forma a realçar sua distinção em relação aos demais dados pessoais – deste modo, dificulta-se a ocorrência de vícios de consentimento.
Os dados sobre origem racial ou étnica evidentemente são fontes de discriminação. A distinção entre raça e etnia merece atenção: a noção de etnia surge de critérios socioculturais, enquanto a raça abrange características biológicas ou, de forma mais precisa, fenotípicas ou morfológicas. Portanto, a raça se refere a características físicas como cor do cabelo, conformação facial e cranial e tom de pele. A etnia diz respeito à comunidade de onde surge a pessoa – as afinidades culturais e linguísticas e as semelhanças genéticas.[7]
Os dados referentes à saúde - sobre os quais versará o presente artigo - também podem gerar tratamentos discriminatórios. Se uma pessoa é portadora de HIV, por exemplo, os dados que atestam o fato poderiam ser utilizados por uma empresa de recrutamento de funcionários de forma a não contratá-la. Outros dados de saúde ainda poderiam ser tratados por seguradoras para aumentar as taxas de planos de saúde, ou mesmo de modo a recusar o fornecimento do plano.
Já os dados sobre a vida sexual poderiam gerar discriminações com base na orientação sexual do titular ou seus hábitos sexuais – exemplo disso seria concluir, de forma equívoca e problemática, que o comportamento sexual do titular configura maior risco. Um caso real ilustra a sensibilidade dos dados sexuais: em 2017, uma empresa do Canadá (Standard Innovation), ofertou no mercado de consumo um vibrador que, por meio de rede bluetooth ou wi-fi, poderia ser controlado pelo celular do usuário. Ocorre que os dados referentes à temperatura corporal do usuário, a duração do uso e as configurações da vibração, eram enviados pela Internet à empresa, sob o pretexto de melhorar o produto. Os consumidores entraram com ação coletiva em face da empresa, que foi condenada a um pagamento milionário e a cessar a coleta dos dados.[8]
A última categoria de dados sensíveis relacionadas ao corpo humano são os dados biométricos. De acordo com os cientistas Arun Ross e Anil Kain, a biometria é uma ciência que visa a estabelecer a identidade de uma pessoa com base em atributos físicos ou comportamentais associados a um indivíduo. Seriam atributos físicos, por exemplo, as impressões digitais, as proporções da face, a geometria da mão, e a íris. Dentre os atributos comportamentais, por exemplo, pode-se mencionar a forma de andar (do inglês gait).[9] Os usos práticos da biometria geralmente são relacionados à autenticação de um usuário, como em sistemas eleitorais e bancários, bem como no controle de acesso a edifícios, desbloqueio de smartphones, e outros.
Na matéria de proteção de dados pessoais, a abordagem dada ao consentimento (e seus vícios) é realizada de maneira distinta em relação a outros ramos. Isto porque a adjetivação do substantivo “consentimento” na LGPD – evidentemente inspirada na norma europeia – qualifica o que seria uma manifestação válida e, por outro lado, em que casos é nula. O consentimento do titular deve ser livre (sem pressão de outrem), informado (os termos aceitos são explícitos), inequívoco (os termos não são ambíguos ou genéricos), e a finalidade do tratamento deve ser clara. O conceito é objeto de análise ímpar na recente obra de Bruno Bioni (2019).
O consentimento para o tratamento de dados deve estar separado das cláusulas que tratem de outros temas. Destarte, o consentimento deve ser nitidamente distinguível de outras seções do texto, de forma compreensível e em linguagem clara. Garante-se assim a validade do consentimento, pois torna este informado e inequívoco (Art. 5, XII).
O Regulamento Europeu coloca o termo clear affirmative act (ato afirmativo claro) para destacar qual deve ser a postura incumbida ao titular pelo controlador. Por ato afirmativo, entende-se que o titular deve ativamente manifestar sua vontade, e jamais por omissão.[10]
O exemplo que sempre se traz à tona para ilustrar a abordagem diz respeito às checkboxes clicadas pelo usuário ao concordar com os termos de uso de determinado site. Ao invés de se deixar apenas esta checkbox, cria-se uma adicional para concordar com a coleta e tratamento dos dados pessoais. Note-se que, para constituir-se um ato afirmativo claro, tal checkbox não poderia estar marcada por padrão: o usuário é quem deve marcá-la.
A noção também se aplica, por óbvio, ao fornecimento de consentimento por meios físicos. Em um contrato comum, assinado em folha de papel, a ausência de critérios formais da LGPD para a cláusula destacada deixa em aberto o modo de implementação. Poder-se-ia preparar um segundo contrato, especificamente para a política de dados pessoais; ou ainda dois campos para a assinatura do titular. Outras formas de fornecimento do consentimento poderiam ser utilizadas. Por exemplo, o titular poderia consentir através de uma ligação telefônica. O importante é que se promova alguma forma de destaque da cláusula, de forma a evitar quaisquer vícios de consentimento.
[1] Cf. DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law, v. 12, n. 2, p. 91-108, 2011.
[2] ROCHFELD, Judith. Como qualificar os dados pessoais? Uma perspectiva teórica e normativa da União Europeia em face dos gigantes da Internet. Revista de Direito, Estado e Telecomunicações, Brasília, v. 10, n. 1, p. 61-84, maio 2018.
[3] Em sentido contrário à dicotomização: “[...] a opção legislativa [da LGPD] denota a intenção de refletir que o exercício do direito ali descrito se dará de modo direto e imediato, empregando-se termo que corresponde ao gênero do qual a propriedade é espécie. [E]videncia, ainda, a preocupação em demonstrar que a tutela ali conferida tem dupla natureza, restando contemplados os aspectos patrimoniais decorrentes da disposição dos dados – atribuída ao seu titular – e os extrapatrimoniais.” (MAIA, Roberta Mauro Medina. A titularidade de dados pessoais prevista no art. 17 da LGPD: direito real ou pessoal? In: TEPEDINO, G.; FRAZÃO, A; OLIVA, M. D. Lei Geral de Proteção de Dados Pessoais: e sua repercussão no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 2019, p 131-156. )
[4] BIONI, Bruno Ricardo. Xeque-mate: o tripé da proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil. São Paulo: GPoPAI/USP, 2015.
[5] “Trata-se de uma estratégia normativa alinhada à premissa de que os dados anônimos seriam sempre passíveis de reversão. Daí por que o critério da razoabilidade nada mais é do que uma diretriz acerca do que venha a ser um risco aceitável-tolerável em torno da reversibilidade do processo de anonimização, a fim de que os dados anonimizados estejam fora do conceito de dados pessoais.” (BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 92-93).
[6] Art 9º - 1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
[7] SANTOS, Diego Junior da Silva et al. Raça versus etnia: diferenciar para melhor aplicar. Dental Press J. Orthod., Maringá, v. 15, n. 3, p. 121-124, jun 2010.
[8] MAYNARD, Christopher. Standard Innovation settles class action over alleged vibrator data collection. Consumer Affairs, 16 mar 2017. Disponível em: <https://www.consumeraffairs.com/news/standard-innovation-settles-class-action-over-alleged-vibrator-data-collection-031617.html>. Acesso em: 03 mai 2020.
[9] ROSS, A.; JAIN, A.; LI, S. Z. Biometrics, Overview. In: Li, S. Z., Jain, A. K. (Eds.), Encyclopedia of Biometrics. Boston: Springer, 2015, pp. 289–294.
[10] REINO UNIDO. Information Commissioner’s Office. What is valid consent? [s.d.]. Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/what-is-valid-consent/>. Acesso em: 06 mai 2020.