O QUE É TRATAMENTO DE DADO PESSOAL?

Os incisos I do artigo 5º da LGPD conceitua dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”.

Percebe-se que a LGPD adotou o critério expansionista, ou seja, não define apenas como dado pessoal aquele que imediatamente identifique uma pessoa, mas abordou também os dados que tornam a pessoa identificável de forma não imediata ou direta.

Importante notar também que o Decreto 8.771/2016 já dispunha de definição de dados pessoais:

           Art. 14. Para os fins do disposto neste Decreto, considera-se:

              I – dado pessoal – dado relacionado à pessoa natural identificada ou identificável, inclusive números                           identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a                       uma pessoa; e […]

Percebe-se que o decreto utilizou o mesmo critério expansionista, indicando expressamente alguns exemplos, como números identificativos e dados locacionais.

Ainda, o inciso II do artigo 5 da LGPD trouxe também uma outra categoria de dado pessoal:

                II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião                                política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à                   saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados sensíveis são dados pessoais ligados diretamente à personalidade do ser humano, de modo que comportam maior rigor em sua proteção pela LGPD.

Agora que sabemos o que são dados pessoais, veremos no que consiste o tratamento de dados pessoais.

O inciso X do artigo 5º da LGPD conceitua tratamento como:

               X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção,                  recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,                                arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação,                                    comunicação, transferência, difusão ou extração;

O legislador, ao conceituar tratamento como “toda operação realizada com dados pessoais” e adicionar a palavra “como” quando descreveu uma série de hipóteses de tratamento, foi claro no sentido de que o rol descrito no inciso acima é meramente exemplificativo.

Importa ressaltar que as hipóteses de tratamento não são cumulativas, ou seja, uma única atividade da lista já se inclui no conceito de tratamento, por mais simples que seja ela.

Armazenar dados pessoais sem utilizá-los ou mesmo acessar dados sem armazená-los já são consideradas hipóteses de tratamento.

REFERÊNCIAS

COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados comentada. 4. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2021.

Lei Geral de Proteção de Dados http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Decreto nº 8.771 de 11 de maio de 2016 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm