Classificação de Dados Pessoais: Uma Decisão Judicial Importante na Europa
Recente decisão do Tribunal de Justiça da União Europeia coloca novos elementos sobre o que pode ser considerado um dado pessoa. Em uma questão de um banco em situação de crise, o Tribunal se pronunciou sobre se os dados transmitidos a uma consultoria (a Deloitte) pelo Conselho Único de Resolução (CRU) eram ou não considerados dados pessoais no contexto do regulamento aplicável.
O Conselho Único de Resolução (CRU), uma autoridade europeia criada em 2014 para contribuir para a estabilidade financeira assegurando a resolução ordenada de bancos em dificuldades, encarregou a empresa Deloitte com uma missão de avaliação externa dos ativos do banco. Durante esse processo, várias informações, incluindo comentários emitidos pelos acionistas, foram enviadas à Deloitte. Para verificar a completude da informação e detectar duplicatas, um código alfanumérico foi atribuído aos acionistas.
O CRU não informou os acionistas sobre a transferência de seus dados pessoais para a Deloitte, o que levou a uma queixa no Comitê Europeu de Proteção de Dados (CEPD). O CEPD considerou a queixa válida, pois as informações compartilhadas com a Deloitte eram dados pseudonimizados. Além disso, o CEPD considerou que a Deloitte era um destinatário de dados pessoais dos reclamantes, e o fato de a Deloitte não ter sido mencionada na declaração de privacidade do CRU como destinatária potencial das informações coletadas e tratadas pelo CRU foi considerado uma violação da obrigação de informação.
No entanto, o CRU argumentou que os dados transmitidos à Deloitte não eram dados pessoais no sentido do regulamento, portanto, eles não precisavam informar as pessoas afetadas sobre essa transferência.
O tribunal destacou a atenção que o CRU deu para organizar essa transferência. As informações coletadas durante a fase de inscrição, como provas de identidade e propriedade dos instrumentos de capital do banco, eram acessíveis apenas a um número limitado de membros do pessoal do CRU. Além disso, o CRU filtrou automaticamente os comentários recebidos, usando algoritmos para identificar duplicatas. Os comentários relevantes para a decisão preliminar foram tratados pelo CRU, enquanto aqueles relacionados à avaliação foram transferidos para a Deloitte para revisão.
Esta decisão do tribunal europeu pode ter implicações significativas para a interpretação da Lei Geral de Proteção de Dados (LGPD) no Brasil. A LGPD, semelhante ao Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, estabelece diretrizes rigorosas para a coleta e o uso de dados pessoais. O caso evidencia a importância de uma análise cuidadosa sobre o que constitui um dado pessoal e como isso pode ser alterado mediante o processo de transferência ou pseudonimização. As empresas brasileiras e os reguladores da LGPD podem, portanto, aprender com esse caso, para garantir que as práticas de transferência de dados estejam em total conformidade com a lei e que os direitos dos titulares dos dados sejam plenamente respeitados.
