Com a transformação digital, a importância dos dados se tornou ainda maior, com discussões inevitáveis sobre o tema. Alguns desses ativos são gerados a partir do uso de sistemas digitais, por pessoas. Contudo, também existem dados referentes à vida pessoal de usuários, que são utilizados nas aplicações para determinados fins. Chamamos esses de dados pessoais.
Nos últimos anos, o debate sobre a evolução tecnológica e sobre o tratamento de dados pessoais avançou bastante. Temos pessoas mais conscientes em empresas e em setores de Marketing, cientes das limitações e dos princípios éticos por trás da concepção de privacidade.
Para continuar entendendo melhor a relevância dos dados pessoais e sensíveis em um contexto de discussão pós-LGPD (Lei Geral de Proteção de Dados), acompanhe. Neste texto, vamos definir dados em suas categorias e como se relacionam com a nova lei. Exploraremos:
Faça o download deste post inserindo seu e-mail abaixo
O que são dados pessoais?
A Lei Geral de Proteção de Dados nasce, sobretudo, com o forte intuito de atuar na proteção dessa categoria de dados. Portanto, os dados pessoais precisam ser devidamente definidos para que entendamos o objeto de estudo e discussão da nova lei.
Os dados pessoais são os que permitem a identificação de uma pessoa em específico. São ativos que, isolados ou cruzados, possibilitam encontrar um indivíduo e se referir a ele. Assim, são referenciais únicos, que distinguem um ser humano de uma massa de pessoas, de modo a permitir uma ação específica.
Um exemplo comum no Brasil é o CPF. Cada pessoa registrada no país tem um único número desse documento que o classifica e o identifica. Assim, ter essa informação é dispor de um dado pessoal, que pode ser usado para rastrear a pessoa (não no sentido geográfico, mas de encontrar).
Ou ainda, podemos mencionar a ideia de “impressão digital”, uma marca presente nos nossos dedos que nos distingue de outras pessoas. A partir de um acesso biométrico, nossos dados das impressões podem ser utilizados como uma forma de identificar quem somos.
No Marketing Digital, um email pode ser considerado um dado pessoal, visto que é único e é acessado por uma pessoa com uma senha privada. Um número de telefone celular também é um ótimo exemplo. Essas informações possibilitam que a empresa fale diretamente com o cliente e segmente as ações, a partir de uma identificação.
Outras interpretações entendem os dados pessoais como aqueles que impactam diretamente o indivíduo quando são utilizados para fins escusos. Ora, se um dado identificável é usado para um crime, fica fácil compreender como isso gera um efeito direto na pessoa identificada, visto que ela se torna o próprio objeto do ocorrido.
Como outros exemplos, podemos mencionar: nome e sobrenome, RG, dados de endereçamento eletrônico (IPs), idade, endereço, gostos, preferências, hábitos, dados biométricos, entre outros.
O que são dados pessoais sensíveis?
Na LGPD e nas discussões acerca da privacidade, emergiram novas categorias de dados. Uma delas é a de dados sensíveis. São aqueles que podem ser utilizados para algum tipo de discriminação ou prejuízo direto à pessoa a partir de julgamentos de uma perspectiva moral.
Como exemplos, temos dados sobre orientação política, sobre vida sexual e saúde, biométricos, orientação religiosa e outros. São dados privados e ainda mais específicos, portanto.
Assim, são informações que precisam de um sigilo maior e de um cuidado ainda mais estrito por parte de quem as trata, segundo a LGPD, como veremos no último tópico deste artigo.
O que são dados anônimos?
Já os dados anônimos são os dados pessoais que passam por um processo de anonimização. Isto é, eles são processados para que se perca a conexão direta com um indivíduo em específico. Nesse sentido, são dados utilizados que não geram um impacto específico em certo ser humano.
Facilmente entendemos como a anonimização pode representar tanto uma possibilidade de exploração dos dados sem lidar com a legislação da LGPD quanto uma impossibilidade de gerenciar os dados para o fim especificado. Afinal, os dados são dispostos em versões gerais, com recursos para impedir o acesso direto, o que pode gerar perda do valor da informação para o uso.
Por exemplo, para o Marketing, os dados anônimos podem ajudar quando é necessário avaliar informações de perfil dos clientes ou entender tendências de mercado gerais. Na definição de persona do Marketing Digital, por exemplo, é possível fazer uma pesquisa geral sobre as preferências, dores e hábitos dos clientes de forma anonimizada para chegar a um perfil específico e semifictício do cliente ideal.
Nesse caso, não interessa saber quem são os clientes que responderam, mas o que eles disseram, de fato, para estabelecer as características que vão fundamentar as ações e as campanhas. Por isso, há uma facilidade maior na adaptação para a LGPD, já que esses dados não geram tanto impacto para os titulares.
Contudo, quando se trata de buscar contatos com leads para uma conversa posterior que leve à compra, eles não são úteis. Nesse cenário, é fundamental ter um dado pessoal e um acesso direto.
Uma das características dos dados anônimos é, justamente, a capacidade de não poder ser revertido a dado pessoal depois de um processo de transformação. Ou seja, dados que não poderão ser identificáveis novamente.
Os dados anônimos são diferentes dos dados pseudônimos, portanto. A pseudonimização dos dados consiste em tornar os dados anônimos, mas com a possibilidade de que eles possam ser revertidos para pessoais posteriormente.
Agora, vamos analisar alguns métodos de anonimização dos dados para entender melhor como funciona esse tipo de informação.
Anonimização
Um tipo de processo comum é o que transforma completamente o dado, removendo as ligações com o indivíduo, sem reversão, como já falamos. A exclusão completa de uma coluna com informações pessoais em uma base de dados, por exemplo.
Supressão
A supressão utiliza dados fixos para substituir as partes identificáveis de uma base de dados. Exemplos são o uso de asteriscos ou de outras formas padronizadas de dados.
Generalização
A generalização consiste em transformar dados específicos em categorias gerais, de modo a eliminar as conexões individuais. Um exemplo disso é a transformação de informações sobre um cliente em dados sobre uma classe ou grupo (como a definição clássica de público-alvo). Essa é uma boa estratégia, pois permite o uso ativo dos dados, sem que eles sejam pessoais.
Pseudonimização
Um método comum de pseudonimização é o uso de uma tabela paralela àquela que contém os dados pessoais. Nas tabelas paralelas, os dados são anonimizados, mas permitem uma conexão com os dados originais através de uma chave, por exemplo.
Criptografia
Outro recurso muito popular é a criptografia. Essa abordagem se baseia em utilizar chaves privadas e/ou públicas para permitir o acesso aos dados originais. Depois da transformação criptográfica, são gerados dados anônimos protegidos, que só poderão ser desbloqueados com as chaves.
Qual a diferença entre os dados pessoais, sensíveis e anônimos?
Quando colocamos em perspectiva essas três definições, podemos obter algumas conclusões interessantes. Os dados pessoais são os mais gerais, pois estabelecem, inclusive, o objetivo principal da normatização.
Dados sensíveis são diferentes, por serem mais específicos e delicados diante de uma avaliação moral, mas estão dentro da concepção de pessoal. Os dados pessoais sensíveis podem envolver algum tipo de desconforto que, geralmente, pode ser evitado com os pessoais.
Por exemplo, alguém pode discriminar uma pessoa por sua visão da religião, suas preferências políticas ou por aspectos de sua vida privada. Vagas de emprego podem ser recusadas, projetos e oportunidades ou confirmações em protocolos/requisições, também.
As leis de segurança e privacidade se preocupam muito com as ocorrências que dependem desses dados pessoais específicos. Por isso, é preciso ter cuidado maior com os sensíveis, afinal, a não discriminação é um dos princípios da lei.
Já os dados anônimos podem ser compreendidos como o contrário dos dados pessoais, como já desenvolvemos aqui. Em nenhum momento eles podem ser revertidos novamente para condição de identificáveis, visto que isso anula a própria ideia de anonimização. Nesse sentido, os anônimos são muito distintos dos sensíveis.
Os dados pseudonimizados se encaixam, portanto, entre os pessoais (identificáveis) e os anonimizados. Passam por um processo de transformação, mas que não é radical a ponto de tornar aqueles dados impossíveis de serem revertidos. Geralmente, ainda estão sob a tutela das leis de privacidade e segurança.
Para que servem esses dados na LGPD?
A Lei Geral de Proteção de Dados lançou luz sobre as noções de dados pessoais, sensíveis e anônimos recentemente. Da mesma forma, estabeleceu alguns padrões e prescrições que devem ser consideradas por todo tipo de empresa, pois todos que tratam dados estão sujeitos a essa lei.
Os dados pessoais devem ser tratados apenas com bases legais. Uma delas é o consentimento do titular, que deve ser claro, fornecido após a demonstração da real finalidade do uso dos dados. Outros requisitos são: obrigação legal, proteção da vida do titular, execução para políticas públicas, proteção ao crédito, entre outras.
Os dados sensíveis também só podem ser manipulados diante de condições preestabelecidas, como estudos para órgãos de pesquisa, exercício de direitos, prevenção à fraude, proteção da vida, entre outros. Ou seja, é preciso um cuidado especial, de acordo com o que já falamos.
Os dados anonimizados, por definição, estão livres da LGPD. Caso os dados realmente não sejam identificáveis, não é necessário dar atenção aos requisitos da lei, uma vez que não se trata de um dado pessoal. Inclusive, algumas das técnicas de anonimização citadas são adotadas como uma solução para gerenciar o problema de adaptação com a norma.
O que se discute muito, atualmente, é quanto ao nível de anonimização que é possível com as técnicas atuais. Há pesquisadores que sustentam a ideia de que os métodos nunca conseguem, de fato, reverter essa ligação com os dados originais, de modo que sempre se tornam pseudoanônimos. Nesse caso, é fundamental entender a lei e se sujeitar a ela.
Além dessas considerações gerais, a LGPD propõe algumas preocupações estruturais que devem fazer parte da mentalidade e cultura da empresa. Primeiramente, é necessário estipular uma finalidade muito específica e clara para o uso dos dados e expressar isso de maneira inequívoca para os titulares. Depois que essa finalidade for estabelecida, é necessário manter os dados apenas até o seu cumprimento.
Outro ponto importante é o livre acesso. O titular deve ter a liberdade de consultar os seus dados, alterá-los, transferir para outras bases e, até mesmo, excluí-los a qualquer momento, mesmo depois de ter concedido o consentimento. Essa é a grande questão diferencial das leis de privacidade, como a GDPR (General Data Protection Regulation) e a LGPD: o foco total no titular.
A imagem abaixo condensa os direitos principais dos titulares diante desse novo momento:
Profissional dedicado
Além disso, a empresa deve estabelecer uma autoridade geral interna para fiscalizar os dados, sendo que essa pessoa deve responder aos órgãos gerais e externos. Em alguns casos, é um Data Protection Officer.
Em casos de incidentes que envolvem os dados pessoais ou sensíveis, é preciso notificar os titulares e os principais órgãos, com uma definição clara das medidas que serão tomadas para intervenção. É fundamental ser claro com relação ao que será feito.
Caso as empresas não gerenciem devidamente a segurança e a privacidade, elas poderão ser multadas com até R$50 milhões, ou poderão sofrer advertências e bloqueio de dados — cada ação dependendo do nível do problema e do impacto para os titulares.
No mundo moderno, gerenciado por dados, a preocupação com as leis e com a privacidade deve ser central. Afinal, para um uso consciente e saudável desses ativos, as empresas devem recorrer aos princípios da lei e se importar ativamente com os direitos dos seus clientes, uma vez que isso se transforma em confiança na relação comercial.
Os dados, a partir de então, deverão ser gerenciados com cuidado em todo o ciclo de vida. Será imprescindível mapeá-los por uso e buscar uma visão geral de como esses ativos estão sendo aplicados, de modo que seja possível fazer uma fiscalização completa e segura.
Como vimos, a divisão entre dados pessoais, sensíveis e anônimos é fundamental para uma cultura que considera os dados como ativos e que se importa com a privacidade. Entender essas concepções e suas diferenças é o primeiro passo para se adaptar a LGPD e para avançar na discussão sobre a privacidade e a segurança. Desse modo, a empresa pode reduzir os atritos nessa conformidade e otimizar os seus resultados.
Gostou do conteúdo? Entenda melhor como funciona o marketing baseado em dados.
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo no WriterAccess.
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo em WriterAccess.