LGPD: qual a diferença entre dados pessoais, dados pessoais sensíveis e anonimizados?

A Lei Geral de Proteção de Dados (LGPD) tem como objetivo proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural. Para isso, protege os dados pessoais e dados pessoais sensíveis de pessoas físicas, tanto em formato físico quanto digital.

Com a entrada em vigor da Lei nº 13.709/2018, houve um avanço no debate sobre o tratamento de dados pessoais. Nesse cenário, as empresas passaram a desenvolver novos processos internos para entrar em conformidade com a LGPD, buscando entender as principais diferenças entre dados pessoais, dados pessoais sensíveis e dados anonimizados.

É essencial entender as diferenças entre as categorias pois cada uma tem suas próprias regras de tratamento e um eventual incidente pode trazer graves danos financeiros e à imagem da empresa no mercado.

Além disso, o tratamento de dados pessoais deve seguir as bases legais discriminadas no artigo 7º da LGPD:

1. Consentimento do titular;

2. Cumprimento de obrigação legal ou regulatória;

3. Execução de políticas públicas pela administração pública;

4. Realização de estudos por órgão de pesquisa;

5. Execução de contrato;

6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;

7. Proteção da vida ou incolumidade física do titular ou de terceiro;

8. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais da área da saúde, serviços de saúde ou autoridade sanitária;

9. Atendimento dos interesses legítimos do controlador ou de terceiro;

10. Proteção do crédito.

Saiba mais sobre as diferenças entre os tipos de dados de acordo com a lei:

O que é dado pessoal?

Segundo a legislação, dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável. 

Por mais que essa definição seja considerada aberta, o conceito inclui informações básicas, como nome, CPF, RG, e-mail, endereço residencial e outras informações que estejam relacionadas a uma pessoa, como seus hábitos de consumo, aparência e aspectos de sua personalidade, por exemplo.

Isso acontece porque a LGPD determina que podem ser considerados dados pessoais aqueles usados para formação do perfil comportamental de determinada pessoa e que possa identificá-la.

O que é dado pessoal sensível?

Segundo o art. 5º, inciso II, dado pessoal sensível é um dado pessoal sobre:

• Origem racional ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual;
• Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Esses dados estão relacionados às informações privadas sobre um indivíduo e exigem um tratamento especial por parte das empresas, já que seu uso só pode ser feito se o titular ou seu responsável legal consentir, de forma específica e destacada, para determinadas finalidades.

Se não houver autorização expressa, essas informações só podem ser tratadas em casos específicos determinados pela lei.

O que é dado anonimizado?

Outro tipo de dado pessoal citado na legislação é o anonimizado, ou seja, que passou por etapas que garantiram sua desvinculação da pessoa ao qual estava relacionado.

Um dado só é considerado anonimizado se não permitir que, por meios técnicos ou outros, possa ser reconstruído o caminho até a pessoa que era titular – nesses casos, o dado não está sujeito à LGPD.

Por outro lado, se a identificação puder ser feita de alguma forma, o dado é considerado pseudonimizado e, então, a lei se aplica a ele.

Assim, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Agora que você sabe a diferença entre dados pessoais, dados pessoais sensíveis e anonimizados, saiba como elaborar uma política de privacidade de acordo com a LGPD.