Com a entrada em vigor da maior parte da LGPD, prevista para ocorrer em setembro de 2020, a aplicação das suas normas demandará uma adaptação considerável não apenas das empresas que desempenham atividades de tratamento de dados, mas de todas as empresas que atuam no mercado de consumo, e também das pessoas jurídicas de direito público.
Assim, uma das primeiras questões a ser esclarecidas diz respeito ao objeto de tutela da lei: a LGPD protege dados ou informações? Há diferenças entre eles?
O inciso I do art. 5º da Lei Geral de Proteção de Dados define o dado pessoal como sendo a "informação relacionada a pessoa natural identificada ou identificável”.
Essa não é a primeira definição legal de dado pessoal no país.
O art. 14, I, do Decreto nº 8.771/2016 (Regulamento do Marco Civil da Internet), conceitua o dado pessoal como sendo o “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”.
Por sua vez, a Lei nº 12.527/2011 (Lei de Acesso à Informação) conceitua a informação como sendo os “dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato” (art. 4º, I). Em complemento, a informação pessoal é definida como “aquela relacionada à pessoa natural identificada ou identificável” (art. 4º, IV).
A partir desses conceitos, os dados podem ser compreendidos como elementos que, isoladamente, não possuem necessariamente um sentido compreensível, enquanto a informação consiste na ordenação dos dados para produzir e transmitir conhecimento.
Assim, os dados são tratados para gerar informações, que, por sua vez, produzem conhecimento e, eventualmente, valor econômico.
Consequentemente, as informações são extraídas a partir dos dados (inclusive de sua relação a uma pessoa) e não o inverso.
Por isso, pode-se afirmar que os dados são a matéria-prima da informação.
Por exemplo, um nome, um endereço de e-mail e um número de telefone, são dados pessoais porque dizem respeito a uma pessoa natural. O conhecimento de que todos esses dados pertencem a uma mesma pessoa é uma informação. Ainda, o conhecimento de que o nome e o endereço de e-mail são de uma mesma pessoa, mas o número de telefone não, também é uma informação (diferente da informação anterior).
Se um aplicativo de tele-entrega de comida tem todos esses dados do usuário e o seu endereço domiciliar (informados voluntariamente no cadastro), sabe que ele mora com mais três pessoas e que usa o aplicativo, em média, para pedir almoço duas vezes por semana, pedir pizza e sushi à noite seis vezes por mês, há um conjunto de dados que constituem algumas informações sobre esse usuário.
Com base nessas informações extraídas dos dados, o aplicativo pode enviar promoções e conceder descontos, entre outras ações baseadas na previsão da tomada de decisões do usuário. Por exemplo, pode conceder descontos e entregas grátis nos dias da semana e do mês em que o usuário normalmente não utiliza os serviços de tele-entrega estimulando-o ao uso do aplicativo.
A Target, uma das maiores redes de lojas de varejo nos Estados Unidos, consegue extrair diversas informações a partir da análise de dados pessoais de seus clientes, inclusive dos seus hábitos de compras. Entre as informações obtidas a partir dos dados estão, inclusive, se as suas clientes estão grávidas e, até mesmo, o mês da gestação. Em 2012, em Minneapolis, um pai esteve em uma loja da Target para reclamar do envio de cupons de desconto de roupas de bebê e berços para a sua filha adolescente. Alguns dias depois, o gerente ligou novamente para pedir desculpas ao cliente, mas foi ele quem se desculpou, porque sua filha estava realmente grávida.
Existe um grande volume de dados produzidos diariamente na internet, em uma quantidade que dobra a aproximadamente cada dois anos, e o tratamento desses dados, com a sua conversão em informações, produz um bem valioso.
Por isso, a Lei Geral de Proteção de Dados protege os dados pessoais, isolados ou em conjunto, e regula o seu tratamento, antes, durante, e após o uso desses dados para a extração de informações sobre os seus titulares.