Skip to main content

O que constitui os dados pessoais (GDPR)?

O GDPR é construído em torno da protecção dos dados pessoais dos cidadãos e residentes da UE. Compreender o que isto significa permitirá à sua empresa ter um controle sobre os seus requisitos GDPR. Na verdade, GDPR só se aplica a dados pessoais. Mas o que são dados pessoais exactamente? A amplitude desta categoria pode surpreendê-lo! Neste artigo, vamos ajudá-lo a determinar quais dos seus dados se enquadram nos regulamentos da GDPR, esperando que o impeça de apagar informações úteis desnecessariamente.

Também explicaremos a diferença entre dados pessoais e dados pessoais sensíveis - uma distinção chave sob GDPR, com implicações na forma como são recolhidos, armazenados e processados.

O que são Dados Pessoais Exatamente?

Infelizmente, a GDPR não inclui uma lista completa do que considera dados pessoais. O regulamento estabelece que os dados pessoais são - "Qualquer informação relativa a uma pessoa singular identificável".

Para o leigo, isto significa qualquer informação que possa ser usada - sozinha ou em combinação com outras informações - para identificar uma pessoa com dados vivos. Os dados pessoais podem ser algo óbvio, como um nome ou nome de utilizador, ou podem ser algo menos aparente, como imagens de CCTV.

Isto porque tais dados podem ser usados para confirmar a sua presença física em algum lugar. Também inclui dados de localização do telefone, endereços IP e dados de cookies, assim como endereços de e-mail e de casa.

Entretanto, é importante lembrar que essas coisas por si só não constituem necessariamente dados pessoais, como definido pelos regulamentos da GDPR - tudo depende da circunstância específica.

O que é que a Circunstância tem a ver com isso?

Tome o nome de alguém, por exemplo.

Você pode supor que isso seria sempre categorizado como dados pessoais sob GDPR, mas você estaria errado. Dado que existem 48.532 John Smiths nos EUA, esse nome por si só não pode ser usado para identificar uma pessoa específica(US Census Bureau). Em comparação, provavelmente é seguro dizer que o filho de Elon Musk é a única pessoa no planeta chamada X Æ A-12 Musk (por enquanto).

Portanto, é lógico que a GDPR consideraria seu nome como dados pessoais, já que esta informação é suficiente por si só para zerar sua identidade individual. No entanto, isto muda se for combinada com outras informações em arquivo. O endereço de e-mail johnsmith@businessx.com seria considerado dados pessoais, pois indica que existe apenas um John Smith trabalhando para esta empresa em particular.

Alguma coisa não é considerada como dados pessoais?

Na maioria dos casos, os dados de pessoas mortas não são considerados dados pessoais segundo a GDPR. O considerando 26 também declara que os dados anônimos não se enquadram nos regulamentos da GDPR. A anonimização é o processo de eliminação de todos os identificadores pessoais dos dados. Não deve ser confundido com dados com pseudônimos ou criptografados, que ainda podem ser reprocessados para identificar pessoas. No entanto, a GDPR incentiva ativamente a pseudonímia de dados pessoais porque ela proporciona um nível extra de segurança para as pessoas em causa, pois os dados com pseudônimos só podem ser acessados por funcionários autorizados - reduzindo assim os riscos de privacidade para as pessoas que entregaram seus dados às empresas.

E quanto aos dados pessoais sensíveis da GDPR?

Os dados pessoais sensíveis - ou "dados de categoria especial" na linguagem oficial do Artigo 9 - foram destacados pela GDPR como algo que deve ser tratado com segurança extra. Aqui estão todos os exemplos de dados pessoais sensíveis:

  • Origem racial ou étnica
  • Opiniões políticas
  • Crenças religiosas ou filosóficas
  • Filiação sindical
  • registo criminal
  • Dados classificados
  • Dados genéticos
  • Dados financeiros
  • Dados biométricos
  • Dados de saúde
  • Vida sexual ou orientação sexual
  • Informações comerciais ou de trabalho

Esta distinção entre dados pessoais e dados pessoais sensíveis é importante. Sob a GDPR, os dados sensíveis só podem ser processados se satisfizerem uma ou mais das seguintes condições:

  • Se a pessoa tiver dado o seu consentimento explícito ou já tiver tornado os dados públicos
  • Se os dados forem necessários para proteger os interesses dos titulares dos dados que fisicamente não podem dar o seu consentimento
  • Se os dados forem essenciais para cumprir os requisitos de emprego, segurança social ou protecção social nos termos da lei
  • Se os dados forem necessários a uma organização sem fins lucrativos para realizar atividades legítimas
  • Se os dados forem necessários para actividades relacionadas com o interesse público substancial no que diz respeito à saúde ou medicina

Você está pronto para receber dados

Esperamos que tenha agora uma melhor ideia dos dados pessoais e sensíveis que tem em ficheiro. Este é o primeiro passo para identificar e classificar os dados e assegurar que a forma como armazena os dados pessoais respeita os direitos dos utilizadores da Internet da UE sob a GDPR. A melhoria da segurança desta informação sensível irá também protegê-lo melhor no infeliz caso de uma violação de dados - reduzindo as multas que a sua empresa receberia das autoridades de protecção de dados.

Você pode descobrir mais sobre a GDPR e a privacidade dos dados em nosso guia abrangente.