Como este tema funciona no porte da sua empresa
Você tipicamente coleta dados comuns (nome, email, telefone, endereço). Se vende alimento ou farmácia, pode ter dados de saúde (sensível). Se processa pagamento, dados financeiros (sensível de facto). Risco é menor se você não armazena senhas ou dados de cartão — armazena apenas o contato do cliente.
Você coleta comuns + começa a aparecer sensíveis (academiua tem foto, advogado tem sigilo, psicólogo tem saúde mental). Necessário mapear o que você trata. LGPD manda você documentar — não é opcional. Estrutura de conformidade básica.
Trata múltiplas categorias de dados. Pode ter fornecedores processando dados. Complexidade aumenta. Necessário mapeamento formal, documentação, fluxo de consentimento estruturado. LGPD é operacional, não cosmético.
Dado pessoal é qualquer informação que identifica ou torna identificável uma pessoa (nome, email, CPF, até foto). Dado sensível é categoria especial que a lei restringe mais (saúde, religião, biométrico, localização precisa). Você precisa saber quais dados sua empresa coleta para cumprir LGPD.
Como isso muda conforme o tipo de negócio
Dados comuns: nome, endereço, histórico de compra. Dados sensíveis: se venda alimentos especiais (diabético, alérgico) ou farmácia (saúde), categoria sensível. Se faz crédito próprio (financeiro), financeiro é sensível de facto.
Psicólogo/terapeuta: dados de saúde mental (sensível). Academia: foto/corpo (sensível). Consultor financeiro: dados financeiros (sensível de facto). Você coleta muita informação — mapear é obrigatório.
Dados comuns: nome, email, uso da plataforma. Se app de saúde: dados sensíveis. Se coleta localização: localização precisa é sensível. Dados de comportamento do usuário (navegação) podem ser pessoais também — contexto importa.
O que é dado pessoal na LGPD
Definição legal: "Dado pessoal é informação relacionada a pessoa natural identificada ou identificável" (Lei 13.709/18, art. 5º, inciso I).
Traduzindo: você coleta dado pessoal quando reúne qualquer coisa que identifique ou possa identificar alguém. Exemplos óbvios: nome, email, CPF, RG. Exemplos menos óbvios: número de IP (identifica computador/pessoa), cookie com identificador único, fotografia, endereço de entrega, histórico de navegação combinado.
Teste simples: Se alguém pega esse dado e consegue descobrir quem é a pessoa (de forma viável, não impossível), é dado pessoal.
Isso significa que LGPD cobre mais coisa do que você talvez pense. Não é só "CPF e RG". É também:
- Dados de contato: email, telefone, endereço
- Dados de transação: "cliente X comprou produto Y em data Z" (histórico de compra vinculado a pessoa)
- Dados técnicos: IP do visitante do seu website, cookie de rastreamento que identifica o usuário
- Dados biométricos: foto de rosto, impressão digital, íris
- Dados de localização: endereço de entrega, localização em tempo real de um app
Se você coleta qualquer um desses, você está sob LGPD.
Dado sensível: a categoria com restrição extra
A LGPD divide dados pessoais em duas categorias: comuns (maioria) e sensíveis (minoria com restrição jurídica maior).
Dados sensíveis (Lei 13.709/18, art. 5º, inciso II):
- Origem racial ou étnica
- Convicção religiosa
- Opinião política
- Filiação sindical
- Dados genéticos ou biométricos (para identificação)
- Dados sobre saúde
- Dados sobre vida sexual ou orientação sexual
Dados sensíveis têm regra diferente: você só pode tratar com consentimento expresso OU com justificativa legal muito específica (ex.: interesse do titular, direito à vida, saúde pública). Não é "consentimento tácito" — é consentimento claro e específico.
Exemplos práticos:
Farmácia: "Cliente X comprou remédio para pressão" = dado de saúde (sensível). Você só pode guardar se: (1) cliente consentiu explicitamente ("posso arquivar seu histórico médico?"), ou (2) lei permite (receita médica de terceiro, você é custódio legal).
Psicólogo: Notas sobre sessão de paciente = dados de saúde mental (sensível). Consentimento obrigatório.
Academia: Foto de corpo do cliente para "acompanhar progresso" = dados biométricos (sensível). Consentimento obrigatório.
App de meditação: "Usuário preferir meditação sobre religião" ou "usuário pediu meditação sobre lidar com luto" = potencialmente dados sensíveis (origem da dor = saúde mental). Consentimento é seguro.
Erro comum: "Se anonimizar, deixa de ser regulado". Falso se anonimização for reversível. Se você pode "reidentificar" a pessoa depois, ainda é dado pessoal sensível — requer conformidade LGPD.
Dados pseudonimizados vs anonimizados
LGPD reconhece dois estados especiais:
Pseudonimizado: Dado onde você remove identificador direto, mas o dado ainda pode ser re-identificado (ex.: "Cliente #12345" em vez de "João Silva", mas você guarda tabela #12345 ? João). Ainda requer proteção LGPD — é considerado dado pessoal.
Anonimizado: Dado onde anonimização é irreversível (ex.: estatística "30% dos clientes compraram produto X" — não há forma de saber qual cliente específico). Não requer proteção LGPD se for definitivamente impossível identificar.
Na prática: se você guarda "usuário #456" e tem tabela de conversão, é pseudonimizado (requer LGPD). Se você trata somente estatísticas agregadas sem possibilidade de re-identificação, é anonimizado (não requer LGPD).
Muitos negócios tentam pseudonimizar para contornar LGPD — não funciona. ANPD (autoridade reguladora) tem decisões que tratam pseudonimização como dado pessoal ainda.
Dados de criança: proteção extra
Se seu negócio coleta dados de pessoa menor de 13 anos, restrição é ainda maior.
Você precisa de consentimento do responsável legal (pai/mãe/tutor) — não consentimento da criança. Para maior de 13, consentimento da criança é válido (mas responsável pode revogar, dependendo da situação).
Exemplo: App infantil que coleta email — você precisa consentimento do responsável, mesmo que criança concorde.
Regra: se público é menores, consentimento do responsável é obrigatório. Isso levanta custo de conformidade — requer mecanismo de validação de responsável.
Checklist: que dados sua PME coleta?
Sente-se e responda sim/não para cada categoria:
Dados comuns:
- ? Nome do cliente
- ? Telefone
- ? Endereço (residencial ou comercial)
- ? CPF ou CNPJ
- ? Histórico de compra (lista de pedidos)
- ? IP de visitante do seu site
- ? Cookie de rastreamento
- ? Dados de pagamento (cartão — você processa ou gateway?)
Dados sensíveis:
- ? Informação de saúde (categoria, doença, medicamento, alergia)
- ? Informação de religião, política, opinião pessoal
- ? Foto de rosto ou corpo (biométrico)
- ? Localização em tempo real
- ? Dados genéticos
- ? Informação sobre vida sexual
Dados de criança:**
- ? Você coleta dados de menores de 13 anos?
Cada SIM é um tipo de dado que você TRATA (coleta, armazena, usa). Você é responsável por conformidade LGPD desse dado.
Erro comum: "CPF não é sensível"
Muitos acham que CPF é sensível. Errado. CPF é dado comum — identificador, mas não sensível conforme definição legal.
MAS: CPF requer proteção especial mesmo sendo comum. Você não pode guardar CPF de qualquer forma — precisa encriptar, restringir acesso, etc. Proteção diferente de sensível, mas é proteção mesmo.
Regra: dado comum (como CPF) requer conformidade LGPD. Dado sensível (saúde) requer conformidade + consentimento expresso extra.
Sinais de que você precisa entender melhor seus dados pessoais
Se você se reconhece em três ou mais destes cenários, é hora de mapear que dados sua empresa coleta:
- Você não sabe ao certo que dados seu negócio coleta e armazena
- Você trata dados de saúde (farmácia, academia, psicólogo) mas não tem documento de consentimento
- Você coleta dados de menores de 13 anos mas não pediu consentimento de responsável
- Você usa cookie ou rastreamento online mas não sabe se é legal em LGPD
- Seu site tem formulário mas você nunca formalizou onde guarda os dados
- Você nunca escreveu uma política de privacidade
- Você recebeu questionário ou solicitação da ANPD sobre dados que coleta
Caminhos para mapear seus dados pessoais
Você pode fazer um mapeamento simples por conta própria, ou contratar especialista para auditoria completa. Aqui estão as rotas:
Você faz um inventário dos dados que sua empresa coleta (usando o checklist deste artigo), classifica como comum ou sensível, e documenta em uma planilha. Costo: seu tempo (2–4 horas).
- Perfil necessário: Você (dono) + alguém de RH/administrativo que sabe quais dados você recolhe.
- Tempo estimado: 2–4 horas para inventário; 30 min/mês para manutenção.
- Faz sentido quando: Sua empresa é micro ou pequena com coleta simples (só nome/email/endereço de cliente).
- Risco principal: Inventário incompleto ou classificação errada — pode resultar em conformidade falsa.
Você contrata consultor LGPD ou advogado para fazer auditoria completa de dados, classificar, indicar conformidade. Costo: R$ 1.000–3.000 para auditoria light.
- Tipo de fornecedor: Consultor LGPD, advogado especialista em LGPD, auditoria de conformidade de dados.
- Vantagem: Especialista garante classificação correta; identifica riscos; recomenda próximos passos (política de privacidade, consentimento, etc.).
- Faz sentido quando: Você trata dados sensíveis, coleta de menores, ou quer auditoria completa antes de publicar política.
- Resultado típico: Relatório de auditoria em 2–4 semanas; recomendações de conformidade; template de política de privacidade.
Sua PME já mapeou que dados pessoais coleta?
Conformidade LGPD começa com entender o que você trata. Se você não sabe exatamente que dados sua empresa coleta e armazena, conversa com especialista é primeiro passo. Na oHub, você encontra consultores LGPD que fazem auditoria de dados, advogados que validam classificação, e especialistas em conformidade que estruturam política de privacidade. Sem custo para conversa inicial.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre dado pessoal e sensível na LGPD?
Dado pessoal: informação que identifica alguém (nome, email, CPF, até IP). Dado sensível: categoria especial com restrição extra (saúde, religião, biométrico, localização precisa). Todo dado sensível é pessoal, mas nem todo pessoal é sensível. Sensível requer consentimento expresso; pessoal comum requer conformidade básica.
Email e telefone são dados pessoais na LGPD?
Sim. Email e telefone identificam pessoa — são dados pessoais comuns. Você precisa conformidade LGPD se coleta e armazena (política de privacidade, direito do cliente acessar/deletar). Não são sensíveis, mas são pessoais.
IP de cliente é dado pessoal?
Sim, IP identifica computador/pessoa — é dado pessoal. Se seu website coleta IP de visitante (via servidor), você trata dado pessoal. Se comenta IP com publicidade (rastreamento), é ainda mais vigilância — LGPD se aplica.
Cookie é dado pessoal LGPD?
Depende. Cookie com identificador único que você associa a pessoa = dado pessoal. Cookie simples de sessão = menos claro. Regra: se cookie permite rastrear ou identificar usuário, é pessoal. LGPD cobre — você precisa consentimento antes de colocar cookie rastreador.
Dados de localização geográfica são sensíveis?
Localização precisa em tempo real = sensível. Localização por CEP ou bairro (endereço de entrega) = comum. A diferença é precisão — se sabe exatamente onde pessoa está agora, é sensível. Se sabe apenas onde mora, é comum.
Qual é a lista completa de dados sensíveis?
Lei 13.709/18 art. 5º inciso II lista: origem racial/étnica, religião, opinião política, filiação sindical, dado genético, biométrico (para identificação), saúde, vida sexual. Se seu negócio não coleta nenhum desses, provavelmente não trata sensível. Se coleta um, consentimento expresso é obrigatório.