O que são dados pessoais sensíveis?

1 Introdução

Uma crônica de um jornal de amanhã poderá se referir a um vazamento de dados da Wall Street, dos participantes do Festival de Cinema de Veneza ou, ainda, de dados da Família Real britânica. Poderá ser fake. Poderá, também, ser verídica e se tratar de dados genéticos, ideológicos ou políticos. Poderá ser esquecida, em um novo amanhecer, pela Internet e pelos internautas – algo próprio da cultura que de tudo se esvanesce, ou líquida, como diria Zygmunt Bauman. Poderá, ainda, destruir a reputação da monarquia britânica, ao divulgar informações de caráter político dos membros da Família Real – o que é terminantemente proibido. A divulgação de dados – sensíveis – pode deter impactos vastos, e não somente no Palácio de Buckingham, no Reino Unido, mas também, caro leitor, em sua vida. This is your digital life (esta é sua vida digital!). Algum leitor poderia dizer, no ano de 2016:

Isto é muito Black Mirror!

Expressão esta já esvanecida, o sentido ainda permanece: o mundo não está tão distante de uma distopia de George Orwell (como na obra 1984, publicada em 1949, que narra a história de uma sociedade vigiada por Telescreens: dispositivos usados pelo Partido do Estado da Oceania, representado pela figura do Big Brother, que reproduziam a propaganda do governo e vigiavam toda a sociedade). Hoje, é palco de Telescreens, pelos pixels das câmeras e transdutores dos microfones, dos dispositivos eletrônicos.

O governo chinês, ao que se assemelha a um Big Brother, está a coletar dados da população, por meio de mais de 200 milhões de câmeras, espalhadas por todo o país, com tecnologia de reconhecimento facial, para a criação de algo que está sendo denominado como um “Social Credit Score”. Os dados coletados e tratados poderão indicar um nível (ou score) de confiança do governo em relação aos indivíduos, bem como de empresas (das quais fazem parte ou exercem influência), por meio de suas rotinas, costumes e ações, como divulgou o próprio governo, em “Planning Outline for the Construction of a Social Credit System (2014-2020)”, ou seja, um plano para a construção de um sistema de score social. Os dados serão utilizados para que o Estado detenha uma transparência de informações sobre os indivíduos e empresas, a fim de investigar o compliance com as normas chinesas e incentivar o comportamento pelo governo desejado.

As vantagens propugnadas são, dizem, várias: um alto “Social Credit Score” já permite, por exemplo, que os indivíduos com um score maior que 650 obtenham uma consulta gratuita nos hospitais chineses.

“Mas, afinal, o que são dados pessoais sensíveis?”

2 O que são dados pessoais sensíveis?

Dados sensíveis são os dados de origem racial ou étnica, genética ou biométrica, sobre as convicções religiosa, política ou filosófica, bem como referentes à saúde e à vida sexual, de uma pessoa natural. Estão caracterizados no inc. II, art. 5° da Lei Geral de Proteção de Dados brasileira, embora este conceito já estivesse presente na legislação brasileira desde a Lei n° 12.414/11 (Lei do Cadastro Positivo), pela qual restou proibida as anotações em bancos de dados de análises de créditos de “informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”, como dispõe o inc. II, §3°, art. 3° da lei, em razão do princípio da finalidade, segundo o qual apenas as informações necessárias (à análise de crédito) devam ser tratadas, o que está de acordo com a conceituação elencada pela LGPD sobre o princípio, de acordo com a qual o tratamento de dados apenas pode ser realizado com a observância da “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades” (inc. I, art. 6° da LGPD).

Nesse sentido, a LGPD tutelou de forma distinta os dados pessoais e os dados pessoais sensíveis. Segundo o seu inc. I, art. 5°, dados pessoais são as informações relacionadas a pessoa natural identificada ou identificável. A anonimização é um dos principais instrumentos que sedimentam a liberdade de expressão, desraigada da preocupação social (com o outro) – contexto que se opõe fundamentalmente ao tratamento irrestrito dos dados pessoais.

A efetividade da autodeterminação do indivíduo (self-sovereign identity ou self-determination), que também recai sobre a proteção dos dados pessoais – e dos dados pessoais sensíveis – possui como fundamentos o consenso e o controle: o consenso é exercido mediante o acordo entre os indivíduos e as instituições, acerca de quais dados pessoais podem ser tratados, enquanto que o controle é a soberania do titular dos dados sobre as suas próprias informações, um dos princípios elencados pela LGPD.

Enquanto que o governo chinês está a demonstrar a vantagem de uma transparência dos cidadãos em relação aos seus dados pessoais (incluindo os dados pessoais sensíveis), as Américas e a União Europeia prontamente estão sedimentando a direção oposta – em um contexto marcado pelas revelações de Edward Snowden sobre um plano de vigilância global, desenvolvido pela “Five Eyes Alliance” (aliança entre Austrália, Canadá, Nova Zelândia, Reino Unido e EUA), que possibilitava a coleta de dados pessoais de usuários, pelos governos, diretamente da coleta por provedores de serviços de Internet, como o Google (GELLMAN, POITRAS, 2013, on-line).

O General Data Protection Regulation (GDPR), da União Europeia, elencou, em sua consideranda 51, que “merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais”, elencando-os na consideranda 71 como de “origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual”.

Stefano Rodotà já argumentou que os dados sensíveis apenas poderiam ser coletados unicamente em razão do interesse da pessoa em si considerada (RODOTÀ, 2008). O art. 11 da LGPD limitou as hipóteses para o tratamento de dados pessoais sensíveis, que poderão apenas ocorrer com o consentimento, de forma específica e destacada, para finalidades específicas (inc. I, art. 11). Sem o consentimento, poderá ainda ser tratado:

  • para o cumprimento de obrigação legal ou regulatória do controlador;
  • para o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas;
  • para a realização de estudos por órgãos de pesquisa;
  • para o exercício regular de direitos, inclusive em contratos e processos judicial, administrativo e arbitral;
  • para a proteção à vida ou à incolumidade física do titular dos dados ou de terceiro;
  • para a tutela da saúde, em procedimentos exclusivamente realizados por profissionais da saúde, por serviços de saúde ou por autoridades sanitárias; e
  • para a garantia da prevenção à fraude e à segurança do titular, em processos de identificação e autenticação de cadastros em sistemas eletrônicos (como, por exemplo, aos questionários de resgate ou alteração de senhas).

O GDPR já havia limitado as hipóteses para o tratamento de dados pessoais sensíveis (denominados de categorias especiais de dados pessoais), como instituiu o seu art. 9°, item 2, cuja redação é próxima ao que dispôs a LGPD, dois anos após, em 2018, apenas permitindo o tratamento quando do consentimento explícito do titular, para finalidades específicas (alínea “a” do item 2), além de outras hipóteses que prescindam do consentimento do titular. Exemplificativamente, para os casos de:

  • cumprimento de obrigações e exercício regular de direito, inclusive em processos judiciais (alíneas “b” e “f”);
  • para quando for necessário para a proteção dos interesses vitais do titular dos dados ou de terceiros (alínea “c”);
  • para quando for de interesse público (alíneas “g”, “i” e “j”);
  • para fins de investigação científica ou histórica (alínea “j”);
  • para a tutela da saúde pública (alínea “i”).

3 Tratamento discriminatório em razão do tratamento de dados pessoais sensíveis

A elaboração de perfis, com base na coleta de dados pessoais, é conhecida como técnica de on-line profiling (ou perfilização), por meio da qual a customização de marketing é empreendida. A customização, elaborada com a utilização de dados pessoais sensíveis, pode gerar, no contexto dos direitos fundamentais, tratamentos discriminatórios (RODOTÀ, 2008, p. 56), atentatórios ao exercício democrático do princípio da igualdade.

Um dos exemplos de tratamentos discriminatórios é, justamente, o caso da criação de um “Social Credit Score”, na China, porque os dados pessoais sensíveis (como o reconhecimento facial, que é um dado biométrico) são coletados para finalidades diversas, sem o consentimento dos titulares, à justificativa da implementação de um sistema de vantagens sociais pelo compliance com as normas chinesas (MULHOLLAND, 2018, p. 176).

4 Conclusão

Os dados pessoais sensíveis possuem sua importância relacionada à garantia dos direitos fundamentais: os princípios da não-discriminação e da igualdade, para que sejam alçados à efetividade, na Internet, necessitam fundamentalmente da proteção aos dados pessoais sensíveis, para que sua customização não seja realizada apenas aos interesses do mercado.

A efetividade da proteção dos dados pessoais sensíveis no Brasil será empreendida pela Autoridade Nacional de Proteção de Dados (ANPD), que deverá fiscalizar, como estabelecem as competências dispostas na LGPD, o tratamento dos dados realizados pelo setores público e privado, a evitar sua utilização irrestrita, como, por exemplo, quando da eleição presidencial dos EUA, em 2016, na qual a perfilização dos dados foi direcionada para captar as opiniões políticas dos usuários, pela Cambridge Analytica, em prol da campanha de Donald Trump.

Para saber mais sobre o caso, acesse o nosso post sobre o caso Cambridge Analytica versus Facebook (INSERIR LINK).

5 Referências

BRASIL. Lei 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, 15 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 25 out. 2019.

GELLMAN, Barton; POITRAS, Laura. U.S. and British intelligence mining data from nine U.S. Internet companies in broad secret program. The Washington Post, 2013. Disponível em: https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html. Acesso em: 20 out. 2019.

LIMA, Cíntia Rosa Pereira de.  A imprescindibilidade de uma entidade de garantia para a efetiva proteção dos dados pessoais no cenário futuro do Brasil. Tese de Livre Docência apresentada à Faculdade de Direito de Ribeirão Preto, Universidade de São Paulo. Ribeirão Preto, 2015.

MARR, Bernard. Chinese Social Credit Score: Uttopian Big Data Bliss or Black Mirror on Steroids? Forbes, 2019. Disponível em: https://www.forbes.com/sites/bernardmarr/2019/01/21/chinese-social-credit-score-utopian-big-data-bliss-or-black-mirror-on-steroids/#69bfd49748b8. Acesso em: 25 out. 2019.

MICHAEL GEIST. Law, Privacy and Surveillance in Canada in the Post-Snowden Era. Ottawa: University of Ottawa Press, 2015, p. 225.

MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da Lei Geral de Proteção de Dados (Lei 13.709/18). Revista Dir. Gar. Fund., Vitória, v. 19, n. 3, pp. 159-180, set/dez 2018.

ORWELL, George. 1984. Tradução de Alexandre Hubner e Heloisa Jahn. Rio de Janeiro: Companhia das Letras, 2009.

UNIÃO EUROPEIA. Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, 04 de maio de 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e8250-1-1. Acesso em: 20 out. 2019.

Autor: Kelvin Peroli

Graduando em Direito pela Faculdade de Direito da USP Ribeirão Preto – FDRP. Membro permanente do Grupo de Pesquisa: Tutela jurídica dos dados pessoais na internet (http://dgp.cnpq.br/dgp/espelhogrupo/4485179444454399) e do Grupo de Pesquisa: Observatório do Marco Civil da Internet no Brasil (http://dgp.cnpq.br/dgp/espelhogrupo/2215582162179038). Associado Fundador do Instituto Avançado de Proteção de Dados – IAPD. Associado (desde a fundação) do IBDCONT – Instituto Brasileiro de Direito Contratual.

Perfil do Autor

Graduando em Direito na Faculdade de Direito de Ribeirão Preto da USP, com experiência acadêmica na Seconda Università degli Studi di Napoli (Itália). Membro dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Pesquisa do CNPq. Integrante do Grupo de Estudos "Tech Law", do Instituto de Estudos Avançados da USP. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD. Membro do IBDCONT - Instituto Brasileiro de Direito Contratual. Autor de livro e artigos sobre Direito Digital.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima