Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
May 27, 2023
Questões regulatórias
Pesquisar artigo
Pesquisar artigo
Os neurodados pessoalmente identificáveis são sempre considerados informações pessoais, independentemente da finalidade. No entanto, não há definição explícita de neurodados como uma forma específica de informação pessoal ou dados de categoria especial sob o GDPR do Reino Unido. Portanto, as organizações precisam considerar cuidadosamente ambos:
Os principais desafios incluem:
Quando os neurodados são coletados e processados para fins médicos, por exemplo, é provável que sejam dados de saúde de categoria especial (SCD) de acordo com o Artigo 9(1) do GDPR do Reino Unido. Portanto, exige uma base legal para processamento sob o Artigo 6 e satisfação de uma condição para processamento de dados de categoria especial sob Artigo 9. As organizações podem identificar uma base apropriada para processamento e consentimento pode ser a base legal apropriada e condição de categoria especial.
Alguns grupos, como a empresa privada Neurorights Foundation, recomendaram que o consentimento explícito seja fornecido antes que os neurodados sejam processados em todos os casos.14 Devemos lidar com essas ligações com cuidado; embora o consentimento médico continue sendo uma questão distinta e importante, o consentimento explícito para processamento de dados é apenas uma das várias condições de categoria especial apropriadas sob o GDPR do Reino Unido. Não é inerentemente 'melhor' do que outras condições; as organizações devem considerar cuidadosamente o que é mais apropriado.
Qualquer confiança automática mais ampla no consentimento para usar informações pessoais para fins de consumo também pode causar confusão e pode ser inapropriada de acordo com o GDPR do Reino Unido. O diálogo mais amplo e os apelos para o uso do consentimento podem levar as pessoas a assumir que têm o direito de retirar automaticamente o consentimento para organizações que usam suas informações. De fato, as organizações podem usar outras bases apropriadas para processamento e cabe a elas serem transparentes sobrequal base que eles usaram e quais direitos são aplicáveis. Em vez de sempre focar no consentimento, a transparência do processamento pode ser mais eficaz para ajudar as pessoas a entender como as organizações estão usando suas informações.
Em casos raros, as organizações podem usar neurodados diretamente para identificar ou verificar uma pessoa física. Neste caso, é categoria especialbiométrico dados que também se enquadram no Artigo 9(1) do GDPR. No entanto, embora tecnicamente viável, é provável que a maioria dos usos seja classificatória, conforme explorado nos cenários. Isso se deve ao custo e à complexidade de identificar pessoas dessa maneira em comparação com outras metodologias biométricas robustas. Onde a informaçãopoderia permitem que as organizações identifiquem pessoas, os neurodados também podem ser dados biométricos de acordo com o Artigo 4(14) do GDPR do Reino Unido. Portanto, são informações pessoais, mas não dados de categoria especial. (Dados biométricos de categoria especial exigem que as organizações processem informações pessoais para fins de identificação exclusiva). As organizações que processam informações pessoais precisam considerar quando e como as informações que estão usando podem permitir que uma pessoa seja identificada e qual pode ser o impacto provável.
Por outro lado, as organizações podem usar extensivamente alguns neurodados em larga escala sem aplicar as salvaguardas adicionais para o processamento de dados de categoria especial.
Por exemplo, muitos dos cenários acima discutem a classificação emocional e comportamental das pessoas, para fins de emprego, bem-estar ou entretenimento. Existe, portanto, o risco de mais perfis ou mesmo de pseudonimização. Isso se deve à complexidade das informações coletadas e à maior facilidade com que as informações podem ser associadas a uma pessoa. As organizações podem propositadamente vincular informações a uma pessoa após a identificação ou verificação para obter o máximo benefício.
Nesses casos, as organizações podem ter informações que podem não atender à definição do Artigo 9 do GDPR do Reino Unido de dados de categoria especial, mas ainda podem causar danos substanciais se forem mal utilizados. (Em particular, perda de autonomia, discriminação, efeitos inibidores e sofrimento pessoal em nível pessoal).15 O processamento em larga escala dessas informações provavelmente representará um desafio para incentivar as melhores práticas. Isso destaca a necessidade de considerar os neurodados como de alto impacto e alto risco, mesmo quando usados em contextos que não contam explicitamente como dados de categoria especial. Finalmente, as organizações também precisam estar cientes sobre se as informações pessoais podem se tornar dados de categoria especial. Por exemplo, rastrear informações de funcionários, como concentração que podem revelar dados de saúde mental.