Resposta

Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.

O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.

Exemplos de dados pessoais:

  • o nome e apelido;
  • o endereço de uma residência;
  • um endereço de correio eletrónico como nome.apelido@empresa.com;
  • o número de um cartão de identificação;
  • dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
  • um endereço IP (protocolo de internet);
  • testemunhos de conexão (cookies);
  • o identificador de publicidade do seu telefone;
  • os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.-

*Importa salientar que, em alguns casos, existe legislação setorial específica que regula, por exemplo, a utilização de dados de localização ou a utilização de cookies – Diretiva relativa à privacidade e às comunicações eletrónicas (Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002 (JO L 201 de 31.7.2002, p. 37) e Regulamento (CE) n.º 2006/2004 do Parlamento Europeu e do Conselho, de 27 de Outubro de 2004 (JO L 364 de 9.12.2004, p. 1) .

Exemplos de dados não considerados pessoais:

  • o número de registo de empresa;
  • um endereço de correio eletrónico como info@empresa.com;
  • dados anonimizados.

Referências

  • Artigo 2.º e artigo 4.º, n.os 1 e 5 e considerandos 14, 15, 26, 27, 29, 30 do RGPD
  • Parecer 4/2007 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre o conceito de dados pessoais, 01248/07/PT, WP 136
  • Parecer 05/2014 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre técnicas de anonimização