Como a LGPD classifica os diferentes tipos de dados

Em vigor desde 18 de setembro de 2020 e criada com o objetivo de proteger os direitos fundamentais de liberdade e privacidade dos cidadãos, a Lei Geral de Proteção de Dados (LGPD) tem a própria classificação de dados, definindo critérios que orientam o tratamento adequado e seguro dessas informações.

Longe de ser apenas uma exigência burocrática, essa categorização garante que o tratamento das informações siga níveis de proteção adequados, diminuindo ao máximo o grau de risco e impacto para os titulares dos dados.

Confira a seguir como a Lei nº 13.709/2018, a LGPD, trabalha na prática para a proteção dos diferentes tipos de dados.

O que é e para que serve a LGPD?

A Lei Geral de Proteção de Dados é a legislação máxima brasileira para a regulação do tratamento de dados pessoais, seja no ambiente digital ou físico, sempre que:

• O tratamento for feito no Brasil;
• Os dados forem de pessoas localizadas no Brasil;
• O objetivo do tratamento é oferecer ou fornecer bens e serviços para pessoas no Brasil.

Baseada na GDPR (General Data Protection Regulation), válida desde 2018 na União Europeia, a LGPD protege os dados de qualquer pessoa física viva, independentemente de ela ser cliente, empregado, paciente, usuário de um serviço, fornecedor ou visitante de um site.

Desse modo, a coleta e o armazenamento de dados feitos de modo inadequado se tornam algo fora da lei, assim como o vazamento dessas informações.

Assim, a legislação prevê penas que variam de sanções como advertência (com prazo para adoção de medidas corretivas) até processos criminais, caso a conduta também configure crime tipificado no Código Penal, como estelionato, fraude ou invasão de dispositivo informático.

A LGPD tem como principais objetivos:

• Proteger os direitos fundamentais de liberdade e privacidade das pessoas, garantindo maior controle sobre como seus dados pessoais são coletados, usados, armazenados e compartilhados;
• Definir regras claras para empresas, órgãos públicos e organizações que tratam dados pessoais, visando aumentar a transparência;
• Responsabilizar quem descumprir as normas, prevendo sanções administrativas, como advertências e multas que podem chegar a 2% do faturamento anual da empresa (limitadas a R$ 50 milhões por infração);
• Fortalecer a confiança dos titulares dos dados (ou seja, as pessoas físicas) nas relações com empresas e instituições.

A lei também carrega a definição de conceitos importantes, como:

• Titular: pessoa natural a quem os dados pessoais se referem;
• Controlador: quem toma as decisões sobre o tratamento dos dados;
• Operador: quem realiza o tratamento dos dados em nome do controlador;
• Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre controlador, titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

A definição desses conceitos é importante porque distribui responsabilidades de forma clara, garante proteção efetiva dos direitos, facilita a fiscalização e aplicação da lei, apoia a estruturação interna das empresas e dá segurança jurídica, evitando interpretações divergentes ou conflitantes. 

Quais são os dados classificados pela LGPD?

A LGPD estabeleceu uma distinção de três tipos diferentes de dados: os dados pessoais, os dados pessoais sensíveis e os dados pessoais anonimizados.

A partir dessa categorização foi estabelecido que os dados pessoais anonimizados – que não podem mais ser associados a uma pessoa natural identificada ou identificável – não recebem um tratamento prescrito pela legislação.

Ou seja: apenas o tratamento dos dados pessoais, sensíveis ou não, devem se adequar à LGPD. 

Confira a seguir quais são os tipos de dados:

Dados pessoais

Esses dados podem, isoladamente ou em conjunto, permitir identificar alguém. Exemplos:

• Nome;
• CPF;
• RG;
• Endereço;
• Telefone;
• E-mail;
• Localização (dados de geolocalização);
• Dados de navegação (cookies, IP, etc.).

Dados identificáveis

Uma categoria dentro dos dados pessoais, os dados identificáveis são aqueles que, mesmo que não identifiquem alguém de forma imediata, podem levar à identificação quando cruzados ou combinados com outros dados.

A LGPD considera como dados pessoais tanto aqueles que identificam imediatamente alguém (por exemplo, CPF, RG, nome completo) quanto os que tornam a pessoa identificável, mesmo que de forma indireta (como placa do carro, endereço, dados de localização, IP etc.).

Alguns exemplos comuns são:

• Nome completo;
• Número do CPF ou RG;
• Número de passaporte;
• Endereço residencial ou comercial
• Número de telefone;
• Endereço de e-mail pessoal;
• Dados biométricos (como impressão digital, reconhecimento facial);
• Dados de localização (GPS);
• IP de um dispositivo, quando associado a outros dados;
• Número da placa de um veículo;
• Dados bancários (como número da conta ou cartão).

Dados pessoais sensíveis

São dados pessoais que têm maior potencial de causar discriminação ou constrangimento ao titular. Por isso, recebem tratamento ainda mais rigoroso.

O tratamento desses dados exige bases legais específicas e, na maioria dos casos, consentimento explícito do titular. Segundo o Art. 5º, inciso II, da LGPD, são considerados sensíveis os dados sobre:

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dados referentes à saúde ou à vida sexual;
• Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Dados anonimizados

O anonimizamento de dados é o processo técnico de transformar ou modificar dados pessoais em dados que não permitem mais identificar o titular, nem direta nem indiretamente.

Na prática, isso é feito por meio de técnicas que removem, substituem ou embaralham informações que poderiam levar à identificação da pessoa. 

As principais técnicas de anonimização são:

• Supressão (ou remoção): retirada completa de informações identificadoras, como nomes, CPF, e-mails, números de telefone etc;
• Generalização (ou agregação): substituição de dados específicos por informações mais amplas ou genéricas;
• Pseudonimização (não é anonimização completa): troca de dados identificáveis por códigos ou pseudônimos;
• Mascaramento ou randomização: alteração de dados de modo aleatório, embaralhando valores para que não correspondam mais ao titular original;
• Perturbação: inclusão de “ruído” (pequenas alterações) aos dados para dificultar ou impedir a reidentificação.

Como exemplo prático, imagine uma base de pesquisa sobre saúde que contém informações como nome, idade, cidade e diagnóstico dos participantes.

Para realizar a anonimização desses dados, são adotadas medidas como a remoção de nomes e CPFs, o agrupamento das idades em faixas etárias (como “30 a 35 anos”) e a substituição das cidades por regiões mais amplas, como “Sudeste”.

Com essas transformações, torna-se impossível identificar quem são as pessoas, mesmo que os dados sejam cruzados com outras bases.

É interessante ressaltar, ainda, que a anonimização real é irreversível. Se for possível reidentificar os dados (mesmo com algum esforço ou usando dados adicionais), eles não são considerados anonimizados, e continuam sendo dados pessoais, precisando seguir as regras da LGPD.

Por que é importante a classificação de dados da LGPD para a conformidade das empresas?

A classificação de dados prevista na LGPD é essencial para que as empresas consigam tratar os dados pessoais de acordo com as regras estabelecidas, mantendo a conformidade com a lei. Veja a seguir porque isso é tão importante:

• Atender obrigações específicas previstas na LGPD: só é possível cumprir as exigências específicas se a empresa souber exatamente quais dados tem e como estão classificados;
• Estruturar políticas, processos e controles internos: com a classificação, a empresa consegue definir políticas claras de segurança, retenção, descarte e compartilhamento de dados, além de documentar tudo de forma organizada, o que facilita auditorias internas e externas;
• Reduzir riscos de sanções e multas: como a LGPD prevê penalidades administrativas para empresas que tratam dados de forma inadequada, a classificação correta dos dados ajuda a aplicar medidas proporcionais de proteção, evitando violações e demonstrando comprometimento com o cumprimento da lei;
• Garantir segurança para os titulares dos dados: facilita informar aos titulares de forma clara e transparente qual finalidade e qual o grau de sensibilidade desses dados;
• Apoiar a governança de dados: classificar os dados permite que a empresa tenha um “mapa” atualizado das informações que trata, identificando riscos, lacunas e oportunidades de melhoria contínua no processo de proteção de dados.

Seja um parceiro da Symbioti!

A segurança dos dados é um pilar estratégico para qualquer empresa que deseja prosperar no ambiente digital. Por isso, é fundamental investir em estratégias e práticas para estar em conformidade com a LGPD e garantir um futuro mais seguro e sustentável para o seu negócio.

A Symbioti se dedica a compreender perfeitamente quais são as necessidades da sua empresa em Segurança e Gestão da Informação.

Assim, além de se proteger e proteger os dados da sua organização, você também fica em conformidade com a LGPD.

Saiba mais sobre como se tornar um parceiro da Symbioti aqui.