Introdução a Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709/2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

No âmbito da LGPD, o tratamento dos dos pessoais pode ser feito por dois "agentes de tratamentos" , o Controlador e o Operador:

O Controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, que é representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.

O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere.

Podemos considerar “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Essas operações de tratamento irão ser destacadas a seguir:

• Acesso: Ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
• Armazenamento: Ação ou resultado de manter ou conservar em repositório um dado;
• Arquivamento: Ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;
• Avaliação: Analisar o dado com o objetivo de produzir informação:
• Classificação: Maneira de ordenar os dados conforme algum critério estabelecido;

• Coleta: Recolhimento de dados com finalidade específica;
• Comunicação: Transmitir informações pertinentes a políticas de ação sobre os dados;
• Controle: Ação ou poder de regular, determinar ou monitorar as ações sobre o dado;  
• Difusão: Ato ou efeito de divulgação, propagação, multiplicação dos dados;
• Distribuição: Ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
• Eliminação: Ato ou efeito de excluir ou destruir dado do repositório;

• Extração: Ato de copiar ou retirar dados do repositório em que se encontrava.
• Modificação: Ato ou efeito de alteração do dado;
• Processamento: Ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
• Produção: Criação de bens e de serviços a partir do tratamento de dados;
• Recepção : Ato de receber os dados ao final da transmissão;
• Reprodução: Ato de receber os dados ao final da transmissão;
• Transferência: Mudança de dados de uma área de armazenamento para outra, ou para terceiro;
• Utilização: Ato ou efeito do aproveitamento dos dados.

Ademais, é importante esclarecer que, por taxativa previsão da LGPD (Art. 4°), as disposições da Lei não são aplicadas ao tratamento de dados pessoais nas seguintes situações:

I - Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - Realizado para fins exclusivamente jornalísticos, artístico e acadêmico (aplicando-se a esta última hipótese os arts. 7º e 11 da LGPD);

III - Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou;

IV - Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Os casos de tratamento de dados que estão previstos e permitidos pela LGPD vão ser explicados a seguir. Mas é muito importante destacar que eles não são amplos e absolutos; ao contrário, existem limites para essa operação que estão dados pela boa-fé e demais princípios previstos no Art. 6º da mesma norma.

Antes de começar alguma espécie de tratamento de dados pessoais, o agente deve se certificar previamente que a finalidade da operação esteja registrada de maneira clara e explícita e os propósitos especificados e informados ao titular dos dados.

No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. O tratamento para cumprimento de obrigação legal ou regulatória pelo controlador também é uma hipótese corriqueira no serviço público. Nessas duas situações, o consentimento do titular de dados é dispensado.

De um outro lado, em hipóteses bastante específicas, o consentimento do titular pode ser necessário para finalidades determinadas. Quando isso acontecer, as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.

Além do mais, no tratamento feito pelo poder público , as regras previstas nos artigos 23 (procedimentos de atuação) e 30 (regulamentos da ANPD) da LGPD sempre devem ser seguidos de maneira complementar.

A LGPD previu expressamente no seu artigo 7, dez hipóteses de tratamento de dados, bem como estabeleceu os requisitos para a execução de tal procedimento. São as chamadas bases legais de tratamento de dados pessoais.

Entre essas hipóteses, vale ressaltar que neste documento o tratamento de dados pessoais pela Administração Pública Federal, que foi citada no inciso III.

Nesses casos, é possível compartilhar dados com órgãos públicos ou transferência de dados a terceiro fora do setor público. Quando isso acontecer, os agentes de tratamento devem comunicar as operações executadas, de maneira clara , aos titulares dos dados. É importante lembrar que tal comunicação precisa ser renovada na alteração da finalidade ou em qualquer alteração nas operações de tratamento, inclusive de novo compartilhamento ou transferência.

O compartilhamento dentro da administração pública no âmbito da execução de políticas públicas é previsto na lei e dispensa o consentimento específico. Mas, o órgão que coleta deve informar claramente que o dado será compartilhado e com quem. De um outro lado, o órgão que solicita acesso a dado colhido por outro, isto é, solicita receber o compartilhamento, precisa justificar esse acesso com base na execução de uma política pública específica e claramente determinada, descrevendo o motivo da solicitação de acesso e o uso que será feito com os dados. Informações protegidas por sigilo seguem protegidas e sujeitas a normativos e regras específicas.

Nessa sequência, são apresentadas considerações sobre as hipóteses legais de tratamento de dados da LGPD.

Essa hipótese que exige consentimento do titular do dado. Se trata da regra da autonomia da vontade. É a manifestação livre e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

O titular dos dados tem liberdade para autorizar, negar ou revogar (reconsiderar) autorização anteriormente concedida para tratamento de seus dados pessoais.

Trata-se de consentimento altamente qualificado, já que a manifestação de vontade precisa ser (I) livre e inequívoca; (II) formada mediante o conhecimento de todas as informações necessárias para tal, o que inclui a finalidade do tratamento de dados e eventual compartilhamento; e (III) restrita às finalidades específicas e determinadas que foram informadas ao titular dos dados.

O ônus da prova do consentimento cabe ao controlador, sendo proibido o tratamento de dados pessoais mediante vício de consentimento.

O consentimento também pode ser tácito quando o titular do dado o torna manifestamente público previamente. Tal situação está prevista no §4° do Art. 7°: “É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei."

O controlador que obtiver o consentimento e necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas em Lei.

Hipótese que dispensa o consentimento do titular do dado. É a regra da legalidade ampla e da preservação do interesse público sobre o particular. Esse é um autorizador da LGPD que dá a possibilidade que a lei não entre em conflito com outras legislações ou regulamentos vigentes. No Anexo II deste documento, constam previsões normativas que autorizam tratamento de dados extra LGPD; entre elas, a Lei de Acesso à Informação (Lei nº 12.527/2011 - LAI), a do processo administrativo na administração pública federal (Lei nº 9.784/1999) e o Marco Civil da Internet (Lei nº 12.965/2014).

III - Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei

Hipótese que dispensa o consentimento do titular do dado. É o tratamento de dados feito com a finalidade específica da execução de política pública formalmente instituída por Lei ou Ato administrativo. O instrumento que fixa a política pública que autoriza o tratamento do dado pessoal pode ser desde uma norma formal até um contrato ou instrumento congênere. É importante falar que este tipo de tratamento independe de consentimento do titular e deve respeitar as regras previstas pelos artigos 23 a 30 da LGPD.

Sempre que a administração pública efetuar o tratamento de dados pessoais no exercício de suas competências legais vinculadas a políticas públicas e entrega de serviços públicos, não precisará colher o consentimento; mas, necessariamente, será obrigada a informar a finalidade e a forma como o dado irá ser tratado.

Todas as regras descritas pelos Artigos 23 a 30 da LGPD tem que ser observadas pelos órgãos e entidades públicas. As ações destacadas a seguir são de especial importância para viabilizar o tratamento dos dados pelo poder público:

• Informar as hipóteses em que, no exercício de suas competências, o órgão respalda o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos (Art. 23, I);
• Indicar encarregado quando realizar operações de tratamento de dados pessoais, nos termos do art. 39 da LGPD (Art. 23, II);
• Observar as formas de publicidade das operações de tratamento que poderão ser estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD, Art. 23, § 1º);

• Manter os dados em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. (Art. 25); e
• Realizar o uso compartilhado de dados pessoais de acordo com as finalidades específicas de execução de políticas públicas e atribuição legal do órgão ou entidade, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da LGPD (Art. 26)

IV -Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais

Hipótese que dispensa o consentimento do titular do dado. Utilização estrita para realização de estudos por órgão de pesquisa público ou privado.

V - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados

Hipótese de consentimento específico do titular para utilizar na execução ou na preparação de negócio jurídico em que seja parte.

No caso de haver necessidade de processamento de dado pessoal para a consecução dos termos ajustados em contrato, o consentimento do titular estará abrangido pela autonomia da vontade expressa no momento da formalização do contrato, não sendo necessária nova previsão expressa para o tratamento decorrente do negócio. São exemplos de tratamento sem previsão expressa: enviar comunicado ou notificação; processar pagamentos.

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

Hipótese que dispensa o consentimento do titular do dado. Previsão para exercício regular de direito, incluindo contraditório, ampla defesa e devido processo legal. Trata-se de ressalva para esclarecer que a proteção aos dados pessoais não compromete o direito que as partes têm de produzir provas umas contra as outras, ainda que estas se refiram a dados pessoais do adversário; ou seja, que não cabe oposição ao tratamento de dados pessoais no contexto dos processos judiciais, administrativos e arbitrais.

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro

Hipótese que dispensa o consentimento do titular do dado nos casos de necessidade de tutela do bem maior da pessoa natural, a vida e sua incolumidade, ambos inseridos no conceito de dignidade da pessoa humana como fundamento da República.

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

Hipótese que dispensa o consentimento do titular do dado nos casos de estrita necessidade de tutela da saúde do titular, de terceiro ou pública. É a única hipótese de tratamento de dado manejado por agente exclusivo: profissionais de saúde, serviços de saúde ou autoridade sanitária.

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais

Hipótese que dispensa o consentimento do titular do dado. É uma previsão geral e subsidiária, mediante prévia e expressa motivação pelo controlador da finalidade e necessidade (legítimo interesse) do tratamento.

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.

Em tais circunstâncias, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, devendo o controlador adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

Convém salientar que o tratamento autorizado por esta hipótese traz consigo conjunto adicional de medidas de salvaguarda dos dados, inclusive com a possibilidade de a ANPD solicitar ao controlador relatórios de impacto à proteção de dados pessoais, justamente pelo risco de violação que tal hipótese acarreta, em particular, para entidades privadas. A elaboração do referido relatório de impacto é abordada na seção 2.5 deste documento

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente

Hipótese que dispensa o consentimento do titular do dado. Previsão para os casos estritos de tutela do crédito. Há expressa necessidade de observância simultânea da legislação pertinente.

A LGPD estabeleceu uma estrutura legal que empodera os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade

Os direitos a serem garantidos aos titulares dos dados estão organizados nas tabelas a seguir , as quais estão segregadas em direitos decorrentes dos princípios estabelecidos pelo art. 6º da LGPD e em direitos específicos dos titulares constantes dos demais artigos da referida Lei.

Tabela: Direitos garantidos aos titulares de dados

Além dos direitos dos titulares de dados que são decorrentes do art. 6º da LGPD, a Lei apresenta diretos específicos dos titulares de dados, que são destacados na tabela abaixo.

Tabela: Diretos específicos dos titulares de dados

Para o exercício dos direitos dos titulares, a Lei prevê um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva, bem como criam meios processuais para provocar a Administração Pública.

Essas obrigações são apresentadas neste documento como: (i) obrigações de transparência ativa [que serão tratadas no item 2.4, denominado Publicidade]; (ii) meios de acesso à informação em transparência passiva; e (iii) meios de petição e manifestação à administração pública.

Em todos os casos, o titular do dado tem a faculdade para optar por resposta por meio eletrônico, seguro e idôneo para esse ou sob forma impressa.

Parte substancial dos direitos dos titulares perante o poder público são exercidos por meio do exercício do direito de acesso à informação. É sempre importante salientar que a Lei 12.527/2011, a LAI, já previa, em seu art. 31, procedimentos e diretrizes básicas para o tratamento de dados pessoais no âmbito público.

Entre eles, estão o tratamento transparente, a garantia expressa aos direitos de personalidade e o consentimento do titular para a disponibilização de suas informações àqueles que não possuíssem a necessidade de conhecê-la no exercício de sua função pública. Aquela Lei chegou a prever, inclusive, regulamentação específica para o tratamento de dados pessoais no âmbito público.

A LGPD, reconhecendo esse legado, informa que, no âmbito público, os prazos e procedimentos para o exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, citando (mas sem se ater exclusivamente) a Lei de Acesso à Informação, a Lei do Processo Administrativo e a Lei do Habeas data (essa última no âmbito judicial).

Desta forma, submetem-se aos prazos e procedimentos já estabelecidos pela Lei nº 12.527/2011 - inclusive com o recebimento dos requerimentos junto ao Serviço de Informação ao Cidadão, o exercício dos seguintes direitos expressamente previstos na Lei Geral de Proteção de Dados Pessoais:

a. Acesso à informação sobre a confirmação da existência de tratamento (art. 18, I);

b. Acesso aos dados coletados (art. 18, II);

c. Acesso à informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (art. 18, VII);

d. Nos casos em que o tratamento tiver origem no consentimento do titular ou em contrato, o acesso à cópia eletrônica integral de seus dados pessoais. Devem ser observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente inclusive em outras operações de tratamento (art. 19, §3º); e e. acesso às informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial (art. 20, §1º).

Como já foi dito, no âmbito administrativo, a LGPD cita expressamente as Leis 12.527/2011 (LAI) e 9.784/1999 (processo administrativo) como referência não exclusiva para o exercício dos direitos dos titulares. É de se repisar que, ao mesmo tempo, ela aparta os procedimentos que ela prevê daqueles a serem utilizados em face do poder público, ao mencionar que o exercício de tais direitos seria realizado por meio de legislação específica.

Como a Lei não estabelece a observância exclusiva daquele conjunto da Lei de Acesso à Informação e da Lei Geral do Processo Administrativo, e considerando a existência de procedimentos mais benéficos ao titular para o exercício de seus direitos no que se refere a esse último conjunto apresentado, o mecanismo mais célere estabelecido pelo Código de Defesa dos Usuários de Serviços Públicos (Lei n° 13.460/2017) poderia ser adotado como padrão para o recebimento de solicitações de providências e reclamações relativas ao tratamento de dados.

Além da vantagem em termos de prazo e procedimentos padronizados, com unidades de recebimento de petições e reclamações padronizadas e coordenadas, a Lei 13.460/2017, diferentemente da Lei Geral do Processo Administrativo, tem abrangência nacional, permitindo melhor coordenação entre instituições públicas na defesa dos direitos dos titulares de dados.

O titular do dado tem o direito, mediante requerimento expresso seu ou de representante legalmente constituído, sem custos, nos prazos e nos termos previstos em regulamento, de requisitar manifestação conclusiva do controlador ou agente responsável pelo tratamento sobre os seguintes itens:

a. correção de dados incompletos, inexatos ou desatualizados (art. 18, III);

b. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD (art. 18, IV);

c. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD (art. 18, VI); e

d. revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20)

A resposta precisa ser providenciada de imediato e em formato simplificado; ou por declaração clara e completa, fornecida no prazo previsto em Lei e que indique: origem dos dados, a inexistência de registro, critérios utilizados, finalidade do tratamento (observados os segredos comercial e industrial).

O titular do dado tem a faculdade de optar por resposta por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.

A petição tem que ser respondida com agilidade, clareza e completude, sob pena de o titular dos dados ter a prerrogativa de representar contra o responsável na ANPD, organismos de defesa do consumidor ou ajuizar pretensão com tal causa de pedir.

Na falta de possibilidade de atendimento imediato do requerimento do titular do dado pessoal, o controlador poderá comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Por último, o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Os dados pessoais referentes ao exercício regular de direitos pelo titular, previstos no Art. 18 da LGPD (Capítulo III), não podem ser utilizados em seu prejuízo. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

No âmbito da administração pública federal, nos habituamos ao uso de um conjunto de terminologias decorrentes da implantação da LAI (Lei nº 12.527/2011), tais como “informação pessoal” e “informação pessoal sensível”. A fim de que possamos harmonizar os conceitos até então replicados naquele contexto com aqueles trazidos pela LGPD e pelo Decreto nº 10.046/2019, relembremos o modo como os utilizamos ao longo dos últimos anos.

De acordo com o Inciso IV do artigo 4º da Lei nº 12.527/11, informação pessoal é aquela relacionada à pessoa natural identificada ou identificável. Entende-se por pessoa natural a pessoa física, ou seja, o indivíduo. Os contornos mais relevantes desse conceito são apresentados pelo artigo 31 da LAI, o qual foi regulamentado pelos artigos 55 a 62 do Decreto nº 7.724/12.

Segundo o art. 31 da LAI, não é toda e qualquer informação pessoal que goza de um regime específico de proteção. Apenas aquela com potencial de vulnerar os direitos de personalidade, tais como definidos no art. 5º, X da Constituição Federal, estaria sob uma proteção especial. No núcleo desse conjunto de dados, estaria o que se denominou, com amparo na doutrina existente, a informação pessoal sensível. Ou seja, aquela informação que viola o direito de autodeterminação da imagem ou que possa levar a que terceiros adotem ações discriminatórias contra o titular daquele dado.

A existência de gradações desta natureza mostrou-se bastante importante ao longo dos últimos anos, pois passou a indicar limites à mitigação da expectativa de privacidade no caso em que os titulares dos dados eram os próprios agentes públicos.

A LGPD manteve o conceito de dado pessoal trazido pela Lei 12.527/2011 e evoluiu sobre o conceito de informação sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º, II).

Diferentemente da LAI, no entanto, os direitos e salvaguardas sobre dados pessoais da LGPD incidem sobre todos os tipos de dados pessoais, observadas as legislações existentes, inclusive os regimes existentes de transparência e acesso à informação. Ou seja, a tutela da lei se estende não mais apenas aos dados pessoais sensíveis ou diretamente relacionados aos direitos de personalidade, mas, em maior ou menor medida, a todos os dados pessoais.

Com a edição do Decreto nº 10.046/2019, buscou-se agrupar essas categorias em uma matriz que torna mais racional a gestão de informações pelos órgãos e entidades públicas. Desta forma, à taxonomia de dados pessoais já existente, soma-se o que se denomina (i) atributos biográficos; (ii) atributos biométricos; (iii) atributos genéricos; e (iv) dados cadastrais, assim definidos:

(i) atributos biográficos - dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;

(ii) atributos biométricos - características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, conforme Art. 2º, inciso II do Decreto 10.046/2019;

(iii) atributos genéticos - características hereditárias da pessoa natural, obtidas pela análise de ácidos nucleicos ou por outras análises científicas; e

(iv) dados cadastrais - informações identificadoras perante os cadastros de órgãos públicos.

Não existe uma perfeita coincidência entre tais atributos e os conceitos que vimos até agora; porém, a compatibilização destes conceitos é bastante simples.

Primeiro, vale destacar que todos os tipos de atributos constituem informações pessoais, pois são relativos a titular pessoa física identificado ou identificável.

Atributos genéticos e biométricos, por definição legal, constituem dados pessoais sensíveis. Atributos biográficos, em conjunto com dados como números de cadastro tais como CPF, CNPJ, NIS, PIS, PASEP e Título de Eleitor são o que se denomina de dados cadastrais.

Por sua vez, a depender do seu conteúdo, atributos biográficos poderão ou não ser considerados sensíveis. Nos termos da Lei, serão considerados sensíveis aqueles atributos biográficos que digam respeito à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.

Assim, via de regra, o tratamento de atributos biométricos e genéticos se dará com base no regime de tratamento de dados pessoais sensíveis; já o tratamento de atributos biográficos será feito de acordo com o seu conteúdo, o qual definirá a tipologia do dado à luz da LGPD.