Se você trabalha com captura de leads, marketing ou vendas, é muito provável que já tenha pensado em algo assim:
“Se está na internet e qualquer um pode ver… não posso usar?”
A resposta curta é: depende. E a razão é simples: o GDPR não foca em se um dado é “público” ou “privado”, mas sim em se esses dados identificam (ou podem identificar) uma pessoa.
Vamos dar exemplos reais, sem jargão e sem rodeios.
Primeiro: o que o GDPR significa com “dados pessoais”?
Dados pessoais são qualquer informação relacionada a uma pessoa física identificada ou identificável.
A parte importante está em “identificável”. Você não precisa colocar “DNI” ou “passaporte”. Se você conseguir alcançar uma pessoa específica com esses dados, direta ou indiretamente, o GDPR entra em ação.
Exemplos fáceis (e muito comuns)
- Nome e sobrenome
- E-mail (sim, mesmo que seja profissional)
- Número de Telefone
- Usuário do Instagram se permitir que alguém seja identificado
- Foto de perfil quando aplicável a uma pessoa
- Endereço IP (em muitos contextos)
- Dados de localização
E cuidado: um dado pode ser pessoal mesmo que não se identifique sozinho; se combinado com outros dados, permite que alguém seja identificado.
Então, o que significa um dado ser “público”?
O fato de ser acessível ao público (por exemplo, publicado em um site ou em uma rede social) não elimina sua natureza de dados pessoais.
“Público” descreve onde estão os dados, não o que são ou como podem ser usados.
Pense nisso como uma analogia rápida:
- O fato de uma casa ter uma porta aberta não faz dela “qualquer um”.
- Só porque um e-mail está visível na internet não significa que ele seja “sem regras”.
Dados profissionais: também são dados pessoais?
Sim, muitas vezes. Esse ponto é um dos mais mal compreendidos.
Um e-mail do tipo [email protected] geralmente está vinculado a uma pessoa específica (nome + sobrenome ou primeiro nome + cargo do cargo). Isso torna, na prática, um fato pessoal.
Mesmo quando o e-mail é mais genérico (por exemplo , [email protected]), depende do contexto: se houver uma pessoa identificável por trás dele ou se o uso dos dados acabar afetando alguém específico, pode se enquadrar no escopo do GDPR.
Regra prática
Se você conseguir dizer “esta informação é desta pessoa”, trate como dados pessoais.
E quanto aos dados da empresa? O GDPR se aplica?
O GDPR protege indivíduos, não empresas em si. Mas no mundo real, muitos dados “da empresa” estão ligados às pessoas:
- Um site corporativo com um “Contato: Laura Gómez”
- Um perfil no Instagram de um freelancer
- Um e-mail de um vendedor com nome e sobrenome
Assim que os dados são associados a uma pessoa identificável, não é mais “apenas uma empresa”.
O grande erro: “se for público, eu posso usar”
Esse é o clássico que gera problemas (e reclamações) no recrutamento.
O fato de um dado ser público pode influenciar algumas decisões (por exemplo, a base legal usada ou a expectativa razoável do sujeito dos dados), mas não é um passe livre.
Com dados pessoais, mesmo que sejam públicos, há princípios que sempre importam:
- Propósito: ser claro sobre para que você usa
- Minimização: Use apenas o necessário
- Transparência: não jogue o jogo da distração sobre quem você é e por que nos contata.
- Respeito aos direitos: por exemplo, lidar com a oposição
Lista rápida: isso é dado pessoal?
Se tiver dúvidas, faça a si mesmo estas perguntas:
- Esses dados se referem a uma pessoa real?
- Isso permite identificar alguém direta ou indiretamente?
- Pode ser combinado com outros dados para identificar?
- O uso desses dados pode afetar uma pessoa específica?
Se você respondeu “sim” a um ou mais casos, trate como dados pessoais.
Por que você tem interesse em entender isso se você faz recrutamento?
Porque a maioria dos “sustos” legais não vem do uso de tecnologia, mas sim do uso de dados sem critério mínimo.
No recrutamento, o risco geralmente não é “usar um e-mail”, mas:
- usar mais dados do que o necessário,
- Contato sem transparência,
- não gerenciando bem o direito de objetar,
- ou não conseguir justificar a base legal para o processamento.
Fechamento: uma ideia útil para evitar erros
No GDPR, “dados pessoais” não significa “dados secretos”. Significa “dados que se conectam com uma pessoa”.
E a partir daí, o importante não é só onde você conseguiu isso, mas como você usa, para que e quais garantias você aplica.
Este artigo é informativo e não constitui aconselhamento jurídico personalizado.
