O que são dados pessoais e o que sua PME provavelmente trata

O que é dado pessoal conforme LGPD art. 5, I

Definição legal: "informação relacionada a pessoa natural identificada ou identificável" (direto: nome/CPF, ou indireto: combinação de dados que permite identificar). Exemplos concretos que sua PME provavelmente trata:

• Básicos: Nome, CPF, RG, telefone, email, endereço, data de nascimento
• Digitais: IP (do computador de alguém), cookie (rastreia comportamento online), hash de senha, ID de usuário
• Midiáticos: Foto, voz, vídeo, biometria (impressão digital, reconhecimento facial)
• Contextuais: Histórico de compra, histórico de atendimento, lista de contatos, endereço IP + horário (identifica pessoa indiretamente)

Pergunta-chave: é possível identificar uma pessoa a partir dessa informação? Se sim, é dado pessoal. Se não, não é.

Dado "pseudo-anonimizado" (pode ser re-identificado com ferramenta adicional ou informação extra) — ainda é dado pessoal. Exemplo: "Usuário 12345 fez compra de R$ 1.000 em 2024-05-01" — se você tiver a chave que conecta 12345 a João da Silva, ainda é pessoal.

Dado "anonimizado" de verdade (impossível re-identificar mesmo com ferramenta extra) — não é dado pessoal. Exemplo: "50% dos clientes prefere cor azul" — sem saber quem são os clientes, é anônimo.

Dado sensível: categoria especial com proteção maior

LGPD define "dado sensível" como informação que merece proteção reforçada:^[1]

• Raça ou etnia
• Religião ou convicção filosófica
• Orientação sexual ou identidade de gênero
• Dados de pessoa menor de 18 anos
• Dados de saúde (diagnóstico, medicação, histórico médico)
• Dados biométricos (impressão digital, reconhecimento facial, retina)
• Dados genéticos

Por que reforçado? Porque esses dados são mais invasivos — vazamento causa dano psicológico, social, financeiro maior. Se sua PME trata dados sensíveis (ex: clínica que tem diagnóstico, salão que atende pessoa trans), responsabilidade legal é máxima.

Quem trata dados: controlador vs processador

Lei LGPD separa dois papéis:^[1]

Controlador: decide por que e como dados são coletados. Você é (na maioria dos casos). Exemplo: você decide "vou coletar CPF do cliente para enviar nota fiscal".

Processador: executa o tratamento por ordem do controlador. Exemplo: Google Workspace (processa email), Salesforce (processa dados de cliente), servidor de TI terceirizado.

Ambos têm obrigações LGPD. Você (controlador) é responsável por garantir que processador também cumpre lei. Contrato de "Processamento de Dados" deve deixar claro quem faz o quê.

Situação real: você (controlador) usa Salesforce (processador) para guardar CPF de cliente. Se Salesforce sofre vazamento, ANPD vai cobrar você (controlador), não só Salesforce. Por isso, você precisa saber: Salesforce tem DPA (Data Processing Agreement)? Tem criptografia? Está em servidor brasileiro ou fora?

O problema real: PME coleta, guarda, compartilha sem pensar

Padrão comum que vc provavelmente reconhece:

Coleta sem pensar: "Preciso do CPF para emitir nota fiscal" (verdade). Mas também pede data de nascimento, nome da mãe, endereço completo, telefone (porque o formulário do sistema tem esses campos). Coleta tudo por inércia.

Guarda sem deletar: "Pode servir depois para algo". Dados de cliente que você não faz mais negócio há 5 anos continuam no seu banco de dados, na planilha, no backup.

Compartilha sem contrato: "Vou mandar essa lista para freela fazer marketing". Nenhum contrato, nenhuma criptografia, arquivo vai por email aberto, freela salva em PC dela, cópia fica no email da nuvem dela.

Acesso descontrolado: Estagiário vê toda base de cliente. Recepcionista tem acesso a CPF de todos os funcionários. Ninguém tem permissão granular (quem vê o quê).

Resultado: você trata muito mais dados do que realmente precisa, com controle muito menor que imagina.

Descobrir que você trata mais dados do que pensava

Recomendação prática: faça "auditoria de senso comum".

Passo 1 — Inventário: Percorra cada sistema/planilha da empresa. Pergunta: "que tipo de dado pessoal vive aqui?" Exemplo: ERP tem CPF/RG de cliente? Planilha de estoque tem email de fornecedor? Servidor tem pasta de fotos de funcionário? Gmail tem arquivo de contato?

Passo 2 — Retenção: Para cada tipo de dado, pergunte: "por quanto tempo preciso guardar?" CPF de cliente: até quanto tempo após última compra? Email de prospect: até quando? Foto de funcionário: até quando após desligamento? Lei é clara: "guarde o mínimo necessário". Depois disso, delete.

Passo 3 — Acesso: Quem tem acesso? Estagiário? Freela? Limpeza? Todos devem ter acesso apenas ao que precisam para trabalhar.

Passo 4 — Criptografia e backup: Dados são criptografados em repouso (na máquina)? Backup é criptografado? Pode soar exagerado para PME, mas LGPD exige "medidas técnicas e administrativas" de proteção.

Passo 5 — Documentação: Escreva o que você descobriu: "Sistema X guarda dados Y. Tem Z pessoas com acesso. Retém por W período. Criptografia: sim/não." Isso é seu "Registro de Tratamento de Dados" — LGPD exige que você documente.

Depois que descobrir: decisão realista é "qual dado realmente preciso guardar?" Muitas PMEs descobrem que guardam CPF de cliente há 10 anos mas podia ser 1 ano. Se deletar dados desnecessários, reduce risco e reduz custo de infraestrutura também.

Diferença entre "tenho permissão?" e "é dado pessoal?"

Duas perguntas diferentes:

Pergunta 1: "É dado pessoal?" Resposta: sim ou não. Se é identificável, é pessoal. Fim. Essa é uma classificação objetiva.

Pergunta 2: "Tenho base legal para tratar?" Resposta: sim ou não. Se é pessoal, você precisa ter "base legal" — motivo legal para coletar e guardar. Exemplos: (1) consentimento (cliente concorda explicitamente), (2) contrato (você precisa do CPF para enviar produto), (3) obrigação legal (RG de funcionário para folha de pagamento), (4) interesse legítimo (prospecto de cliente para marketing, mas com direito de recusa fácil).

Exemplo de confusão: "email de cliente é dado pessoal? Sim. Tenho base legal para guardar? Sim, porque comprou de você (contrato)."

Segundo exemplo: "foto de cliente porque "pode viralizar marketing"? Sim, é pessoal. Tenho base legal? Precisa de consentimento explícito (não basta comprar uma vez)."

Erros comuns de PME com dados

Erro 1: Achar que só CPF/RG é dado pessoal. Falso. Email é dado pessoal (identifica a pessoa). Telefone é. Endereço é. IP é. Combinação de dados é. Muita PME pensa "não temos dado sensível, apenas email/telefone" — mas email e telefone também são dados que precisam de proteção.

Erro 2: Compartilhar "dados de teste" com desenvolvedor. Você manda arquivo com 100 CPF/emails/endereços reais para freela "testar integração". Freela salva em PC dela, ambiente dela fica com dados reais de cliente seu, risco de vazamento aparece. Solução: usar dados fake (CPF 000.000.000-00, email [email protected]) sempre.

Erro 3: Esquecer que IP é dado pessoal. Você tem log de acesso com IP de cada usuário. IP identifica pessoa indiretamente (IP + horário + atividade = você consegue saber quem fez o quê). Logs precisam de proteção, backup, retenção clara.

Erro 4: Não controlar saída de dados. Alguém sai da empresa com pendrive/email com lista de cliente. Nunca foi controlado que saiu. Risco de vazamento cresce muito. Solução: controlar quando dados saem de sistemas (quem baixou, quando, qual arquivo).

Erro 5: Confundir "anonimização" com "ocultar identificação". Você tira nome do arquivo e deixa ID: "Usuario_12345_dados.csv". Ainda é pessoal (você pode re-identificar com sistema interno). Anonimização real é impossível re-identificar mesmo que quisesse.