Sobre a taxatividade do rol de dados pessoais sensíveis
Data: 13/01/2024
Autoria: André Simoni e Gusmão
Com mais de cinco anos desde o seu nascimento, algumas dúvidas ainda pairam sobre a Lei Geral de Proteção de Dados (LGPD). Entre eles, o posicionamento sobre a taxatividade do rol dos chamados dados pessoais sensíveis, constantes no artigo 5º, inciso II, alvo de críticas por parte dos especialistas.
Em suma, os opositores da corrente acima defendem uma certa expansividade do conceito de dado pessoal sensível, inclusive de que trataria de um rol exemplificativo, invoca-se o próprio princípio da “não discriminação” (artigo 6º, inciso IX, LGPD) como fundamento. Geralmente, cita-se a geolocalização para exemplificar a questão, uma vez que, por meio do cruzamento com outros dados, tais como a localização de clínicas, laboratórios ou hospitais, poderia revelar dados de saúde dos titulares.
Nesse contexto, critica-se o posicionamento adotado pela 2ª Turma do Superior Tribunal de Justiça (STJ), que, em ação indenizatória por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais, quais sejam, nome completo, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica, a consignou que se trataria de rol taxativo:
Já em relação a alegada ofensa ao art. 5º, II, da LGPD, constata-se assistir razão à concessionária recorrente a esse respeito. Isso porque o referido dispositivo traz um rol taxativo daquilo que seriam dados pessoais sensíveis e, por ostentarem essa condição, exigem tratamento diferenciado, conforme previsão no art. 11 da mesma LGPD.
(AREsp n. 2.130.619/SP, relator Ministro Francisco Falcão, Segunda Turma, julgado em 7/3/2023, DJe de 10/3/2023.)
Resta, portanto, a dúvida quanto à natureza do referido rol. Seria ele taxativo ou exemplificativo? Qual seria o critério para a sua definição?
A maioria das legislações sobre privacidade ao redor do mundo define uma subcategoria dados pessoais como merecedoras de proteção especial, considerando-as passiveis de utilização nociva e, geralmente, com potencial discriminatório.
O Regulamento Geral de Proteção de Dados da União Europeia (RGPD/GDPR) definiu como “categorias especiais de dados pessoais”, em seu artigo 9º, aqueles que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Já a Lei de Proteção de Informações Pessoais de 2013 da África do Sul define como informação pessoal especial as crenças religiosas e filosóficas, origem étnica e racial, filiação sindical, concepção política, dados de saúde, vida sexual e informação biométrica e antecedentes criminais referentes à suposta prática de infração ou sua apuração.
Na América Latina, a Lei de Proteção de Dados da Argentina (Ley 25.326), em vigor desde 2000, define dados sensíveis como sendo aqueles que revelam origem racial e étnica, opiniões políticas, convicções religiosas, filosóficas ou morais, filiação sindical e informações sobre saúde ou vida sexual.
Em âmbito nacional, a LGPD definiu como sendo dados sensíveis aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Conforme se verifica, as legislações, apesar de apresentarem denominadores comuns, possuem diferenças quanto a determinadas categorias de dados. As legislações mais modernas, tais como a LGPD e a GDPR[1], fazem referência aos dados biométricos, enquanto as mais antigas, como a Argentina, não.
Por sua vez, diferenças regionais, jurídicas e sociais igualmente implicam no entendimento sobre aquilo que pode ser englobado nessa categoria. A legislação da África do Sul, assim como em outras, os dados referentes à antecedentes criminais são dignos de proteção adicional. De modo ainda mais radical, a California Consumer Privacy Act of 2018 traz um rol de dados ainda maior e justificável no contexto de livre mercado em que está inserida:
(ae) “Informações pessoais sensíveis” significa:
(1) Informações pessoais que revelam:
(A) Número de identificação da segurança social, carteira de motorista, carteira de identidade estadual ou passaporte do consumidor.
(B) O login da conta do consumidor, conta financeira, cartão de débito ou número de cartão de crédito em combinação com qualquer segurança necessária ou código de acesso, senha ou credenciais que permitam acesso a uma conta do consumidor.
(C) A geolocalização precisa do consumidor.
(D) A origem racial ou étnica, as crenças religiosas ou filosóficas ou a filiação sindical do consumidor.
(E) O conteúdo da correspondência, e-mail e mensagens de texto do consumidor, a menos que a empresa seja o destinatário pretendido da comunicação.
(F) Dados genéticos de um consumidor.
(2) (A) O processamento de informações biométricas com a finalidade de identificar exclusivamente um consumidor.
(B) Informações pessoais coletadas e analisadas relativas à saúde do consumidor.
(C) Informações pessoais coletadas e analisadas sobre a vida sexual ou orientação sexual de um consumidor.
(Tradução livre)
Em outras palavras, diferentes realidades manifestam diferentes necessidades legislativas, as quais são (e devem) ser alvo de debates no transcurso do respectivo processo de elaboração das leis.
Isso não significa que o argumento levantado por aqueles que defendem uma certa expansividade da caracterização dos dados pessoais sensíveis seja desprovido de mérito. Conforme maioria da legislação aqui citada, o verbo “revelar” está quase sempre presente, reconhecendo a possibilidade para que determinados dados transpareçam outros.
Mas isso faz justamente referência aos dados pessoais diretos, que são aqueles atribuíveis diretamente a determinado indivíduo, como impressão digital ou fotos, e indiretos, em que é necessária uma informação ou base adicional para identificação do indivíduo, como placas de carro ou o primeiro nome da maioria das pessoas.
Nesse sentido, é perfeitamente possível a existência de dados indiretamente sensíveis. Adotando o exemplo da geolocalização, se por meio do cruzamento com outras informações é possível descobrir que determinado individuo está realizando certo tratamento, a geolocalização não se tornou dado sensível. Mas a informação de saúde indiretamente revelada, sim.
Contudo, dizer que o rol apresentado no artigo 5º, inc. II, da LGPD, é exemplificativo, visto que o conteúdo da norma é impedir condutas discriminatórias, não aparenta ser a interpretação mais correta. Dizer isso seria reconhecer que dados como data de nascimento, sexo e salário, também poderiam ser reconhecidos como sensíveis, posto que poderiam conduzir ao etaríssimo, sexismo e preconceitos sociais, respectivamente.
Portanto, por uma escolha legislativa, assim como interpretação do texto, entende-se que o rol apresentado é taxativo. Não obstante, ainda se trata de questão controversa, que deverá ser enfrentada pelo Autoridade Nacional de Proteção de Dados (ANPD) e pela jurisprudência.
[1] Diga-se de passagem, a Diretiva 95/46/CE do Parlamento Europeu, que antecedeu a atual GDPR, igualmente não fazia referência aos dados biométricos como categoria especial de dados pessoais.
Fonte: Conjur