Dados pessoais são, numa noção ampla, quaisquer informações relativas a uma pessoa singular identificada ou identificável.
É identificável a pessoa que possa ser reconhecida, direta ou indiretamente, por referência a elementos como o nome, um número de identificação, dados de localização, identificadores eletrónicos ou elementos próprios da sua identidade física, fisiológica, genética, mental, económica, cultural ou social.
Não é necessário que a informação seja íntima, confidencial ou particularmente sensível. Basta que diga respeito a uma pessoa singular identificada ou que, por si só ou conjugada com outros elementos razoavelmente acessíveis, permita identificar essa pessoa.
São exemplos de dados pessoais o nome, o apelido, a morada, o número de telefone, o NIF, o número do cartão de cidadão, um endereço de correio eletrónico nominativo (por exemplo, nome.apelido@empresa.pt), uma fotografia, uma imagem do rosto, a voz, dados de localização, o endereço IP, identificadores de cookies, o histórico de navegação, o histórico de compras ou a matrícula de um veículo quando associável a uma pessoa singular.
Também podem ser dados pessoais informações aparentemente neutras, como preferências, hábitos de consumo, profissão, função exercida, horários, deslocações, avaliações de desempenho ou interações com uma plataforma digital, desde que estejam relacionadas a uma pessoa identificada ou identificável.
O que significa tratar dados pessoais e como tratá-los?
Tratar dados pessoais significa realizar qualquer operação sobre esses dados, incluindo recolher, registar, organizar, conservar, consultar, utilizar, comunicar, transmitir, limitar, apagar ou destruir.
A proteção dos dados pessoais visa assegurar a reserva da vida privada, a autodeterminação informativa e o controlo da pessoa sobre a utilização da informação que lhe diz respeito. Por isso, o tratamento de dados pessoais deve respeitar princípios como a licitude, lealdade e a transparência, a limitação das finalidades, a minimização dos dados, a exatidão, a limitação da conservação, a segurança e a responsabilidade do responsável pelo tratamento.
Isto significa que os dados pessoais não podem ser recolhidos ou utilizados livremente. Qualquer tratamento carece de uma base de licitude adequada. Essa base pode ser, entre outras, o consentimento do titular, a execução de um contrato, o cumprimento de uma obrigação legal, a proteção de interesses vitais, o exercício de funções de interesse público ou o interesse legítimo do responsável pelo tratamento ou de terceiro.
O consentimento
O consentimento é apenas uma das bases possíveis. Quando seja utilizado, deve ser livre, específico, informado e inequívoco. Em certos casos, a lei exige ainda consentimento expresso. Não é, por isso, suficiente um consentimento implícito, ambíguo, pré-assinalado, genérico ou impossível de demonstrar. O responsável pelo tratamento deve conseguir provar quando, como, para que finalidade e com que informação o consentimento foi prestado.
O interesse legítimo
O interesse legítimo também não pode ser invocado automaticamente. É necessário demonstrar que há esse interesse legítimo. Por conseguinte, o tratamento é necessário para esse fim e os direitos, liberdades e expectativas razoáveis do titular dos dados não prevalecem sobre esse interesse.
Dados sensíveis
Entre os dados pessoais, existem categorias que merecem proteção reforçada, habitualmente designadas por dados sensíveis ou categorias especiais de dados. Incluem-se aqui os dados que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos tratados para identificar inequivocamente uma pessoa, dados relativos à saúde, à vida sexual ou à orientação sexual.
Os dados relativos a condenações penais e infrações têm igualmente um regime especialmente restritivo, embora não sejam tecnicamente uma categoria especial do artigo 9.º do RGPD. O seu tratamento só é admissível nas condições legalmente previstas e, em regra, sob controlo de autoridade pública ou com autorização legal específica.
O caso do marketing direto
Um exemplo frequente de tratamento de dados pessoais é o envio de comunicações de marketing direto, como newsletters, emails promocionais ou SMS comerciais.
Nas comunicações eletrónicas de marketing direto, a regra deve ser analisada com cuidado. Se já existir uma relação de clientela, os dados de contacto tiverem sido obtidos no contexto da venda de um produto ou serviço e a comunicação disser respeito a produtos ou serviços próprios análogos aos anteriormente adquiridos, poderá não ser necessário novo consentimento, desde que seja sempre assegurada a possibilidade de oposição, de forma fácil e gratuita, no momento da recolha dos dados e em cada comunicação enviada.
Pelo contrário, se não existir relação prévia com o destinatário, ou se a comunicação disser respeito a produtos ou serviços diferentes dos anteriormente adquiridos, o envio de comunicações eletrónicas de marketing direto depende, em regra, de consentimento prévio e expresso.
Empresas e dados pessoais
Começamos por referir que dados pessoais dizem respeito a pessoas singulares. De facto, o RGPD protege dados relativos a pessoas singulares. Tal significa que informações exclusivamente respeitantes a pessoas coletivas, como a firma, o NIPC, a marca ou um email genérico do tipo info@empresa.pt, não são, enquanto tais, dados pessoais.
Ainda assim, deve-se ter cautela: dados empresariais podem conter dados pessoais quando identificarem gerentes, trabalhadores, representantes, sócios, clientes ou outros indivíduos associados à empresa. Além disso, certas regras relativas a comunicações eletrónicas não solicitadas também podem proteger pessoas coletivas.
Referências: Considerandos 47 e 171, artigos 3, 4, 6, 7, 9 e 21 do Regulamento Geral de Proteção de Dados / GDPR.
Direitos & Deveres 