O que são dados pessoais?

Resposta

Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.

O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.

Exemplos de dados pessoais:

• o nome e apelido;
• o endereço de uma residência;
• um endereço de correio eletrónico como nome.apelido@empresa.com;
• o número de um cartão de identificação;
• dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
• um endereço IP (protocolo de internet);
• testemunhos de conexão (cookies);
• o identificador de publicidade do seu telefone;
• os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.-

*Importa salientar que, em alguns casos, existe legislação setorial específica que regula, por exemplo, a utilização de dados de localização ou a utilização de cookies – Diretiva relativa à privacidade e às comunicações eletrónicas (Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002 (JO L 201 de 31.7.2002, p. 37) e Regulamento (CE) n.º 2006/2004 do Parlamento Europeu e do Conselho, de 27 de Outubro de 2004 (JO L 364 de 9.12.2004, p. 1) .

Exemplos de dados não considerados pessoais:

• o número de registo de empresa;
• um endereço de correio eletrónico como info@empresa.com;
• dados anonimizados.

Referências

• Artigo 2.ºe artigo 4.º, n.os 1 e 5; considerandos 14, 15, 26, 27, 29 e 30 do RGPD
• Parecer 4/2007 sobre o conceito de dados pessoais do Grupo de Trabalho de Proteção de Dados do Artigo 29.º
• Parecer 05/2014 sobre técnicas de anonimização do Grupo de Trabalho de Proteção de Dados do Artigo 29.º

• a name and surname;
• a home address;
• an email address such as name.surname@company.com;
• an identification card number;
• location data (for example the location data function on a mobile phone)*;
• an Internet Protocol (IP) address;
• a cookie ID*;
• the advertising identifier of your phone;
• data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.

*Note that in some cases, there is a specific sectoral legislation regulating for instance the use of location data or the use of cookies – the ePrivacy Directive (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002(OJ L 201, 31.7.2002, p. 37)  and Regulation (EC) No 2006/2004) of the European Parliament and of the Council of 27 October 2004 (OJ L 364, 9.12.2004, p. 1)

• a company registration number;
• an email address such as info@company.com;
• anonymised data.

• Article 2, Article 4(1)and (5) and Recitals (14), (15), (26), (27), (29) and (30) of the GDPR
• Article 29 Working Party Opinion 4/2007 on the concept of personal data
• Article 29 Working Party Opinion 05/2014 on Anonymisation Techniques