Serão, mesmo, dados pessoais?

A definição de dados pessoais inscrita no RGPD é simples e clara, mas a prática suscita várias questões, vejamos uma dessas questões.

Para a ICO determinados dados tanto podem ser dados pessoais como não ser, dependendo da finalidade do tratamento. Parece confuso? Sim, é confuso, e até pode gerar extrapolações de alcance significativo. Recomenda-se uma interpretação prudente.

A ICO (aqui) começa por afirmar que determinados dados na posse de uma organização podem ser dados pessoais, mas, eventualmente, se estiverem na posse de outra organização já podem deixar de ser considerados como dados pessoais. A mesma informação em organizações diferentes adquire naturezas diferentes. E explica que a diferença resulta da finalidade com que as duas organizações tratam a mesma informação.

A ICO ilustra esta orientação dando o exemplo que se relata de seguida.

Um jornalista tira uma fotografia na praia para publicar num artigo de jornal sobre as elevadas temperaturas para a época. A fotografia mostra algumas pessoas na praia e dada a qualidade da mesma é possível identificar, reconhecer, algumas das pessoas na praia.

Considera-se que o jornalista não trata a fotografia para conservar informação sobre as pessoas fotografadas, ou analisar as pessoas, ou apreender/decidir algo acerca dessas pessoas. Acrescento eu, que para o jornalista/jornal a fotografia é de pessoas anónimas ou pelo menos razoavelmente anonimizadas.  

Uma das pessoas fotografadas na praia tinha metido, exatamente para esse dia, um dia de nojo por falecimento de um familiar.

Alguns colegas de trabalho viram a fotografia no jornal, digitalizaram e enviaram por email para o chefe do fotografado. A fotografia é adicionada ao ficheiro do colaborador dando início a um processo disciplinar.

Esta mesma fotografia, agora na posse do seu empregador, tem a finalidade de documentar o seu colaborador, acrescentando informação e contribuindo para decidir algo acerca dessa pessoa. Por esta razão a fotografia para o empregador passa a ter a natureza de dado pessoal. Acrescento eu, é informação sobre uma pessoa singular perfeitamente identificada.

Conclui a ICO: É necessário considerar cuidadosamente a finalidade para a qual a organização está a usar os dados para decidir se estão relacionados com um indivíduo. Ou seja, é a finalidade que revela uma das características fundamentais (“relacionado com”, ou “relativo a”) para a classificação da informação como sendo um dado pessoal.

Diga-se, em abono da verdade, que o exemplo da ICO parece razoável e convincente. Mas duvido que esteja bem fundamentado, ou pelo menos, que tenha elencado todas as características do caso que suscitam a sua aceitação pelo senso comum.

Sem mais interpretações, e seguindo a orientação da ICO podem colocar-se várias questões, vejamos as seguintes:

1 – Se as pessoas na fotografia nada dizem ao jornal e considerando que seria despropositado o jornal tentar identificar as pessoas e relacionar com uma atividade de conservar/aprender/decidir, por similitude, chegamos à conclusão que, eventualmente, uma empresa de prestação de serviços de “Storage as a Service” na Cloud que trata dados encriptados que nada lhe dizem e que não tem a finalidade de lhe vir a dizer, poderia considerar que não estava a tratar dados pessoais. E como corolário a utilização das transferências de dados para essa Cloud, em certas circunstâncias, ficaria fora do âmbito do RGPD.

2 – Existem muitas outras circunstâncias em que as organizações têm dados sobre pessoas, mas a finalidade não implica a identificação, pretendendo unicamente padronizar comportamentos, analisar comportamentos e influenciar decisões.  Casos em que exista a possibilidade de identificar, mas a identificação é demasiado complexa e fora das finalidades da organização. Por exemplo, como considerar a identificabilidade das pessoas relacionadas com logs de IPs, logs de atividades de redes? Podemos concluir que se a informação não estiver “relacionada”  com a pessoa singular de forma “pratica” então não estaremos perante dados pessoal?

Recorro a questões e perguntas com resposta fácil para evidenciar a contradição.

ARTICLE 29  DATA PROTECTION WORKING PARTY – WP 136 – Opinion 4/2007 on the concept of personal data, evidencia que, de facto, a informação tem que estar “relacionada” com a pessoa singular, mas para tal, para relacionar, a pessoa singular tem que ser identificável (aqui).

E, assim, saltámos do conceito de “finalidade” para o conceito de “identificado – identificável”. É por esta razão que me parece que o fundamento dado pela ICO é pouco claro. Julgo que a ICO poderia ter chegado à mesma conclusão com base na questão “identificado-identificável” e não com base na finalidade do tratamento. Tudo ficaria mais claro.

Vejamos a definição de dados pessoais do RGPD:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Os blocos da definição de dados pessoais do RGPD são:

  • Qualquer informação
  • Relativa a
  • Pessoa singular
  • Identificada ou identificável

Da definição, pode parecer que será tido como dado pessoal, qualquer informação relativa a uma pessoa singular que seja identificável.

Mas deverá ser ponderado o considerando 26 do RGPD que introduz o critério de razoabilidade e que tem a seguinte redação:

“Os princípios da proteção de dados deverão aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, importa considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.”

A conclusão é que a simples possibilidade de identificar o titular de dados associado a determinada informação não significa, por si só, estarmos na presença de dados pessoais. Se não há probabilidade razoável de identificação, então, nesse caso, esses dados não são dados pessoais e estão fora do âmbito do RGPD.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)