Quais dados sao considerados pessoais pela LGPD?

Dados pessoais sao qualquer informacao que identifique ou possa identificar uma pessoa: nome, CPF, email, IP, cookies, localizacao, dados biometricos. Dados sensiveis (raca, saude, religiao, biometria) tem protecao adicional. Dados anonimizados (irreversivelmente) estao fora do escopo da LGPD.

Qual a diferenca entre anonimizacao e pseudonimizacao?

Anonimizacao remove irreversivelmente a possibilidade de identificacao - o dado deixa de ser pessoal e sai do escopo da LGPD. Pseudonimizacao substitui identificadores por tokens/hashes reversiveis - o dado continua pessoal mas com risco reduzido. Use anonimizacao para analytics, pseudonimizacao para dados que precisam ser reidentificados.

Quanto tempo tenho para atender pedido de titular?

A LGPD exige resposta imediata em formato simplificado ou, quando complexo, em ate 15 dias. Na pratica, implemente SLA de 48h para confirmacao de recebimento, 15 dias para resposta completa. Automatize o maximo possivel para escalar - solicitacoes manuais nao escalam.

LGPD: Guia Tecnico de Implementacao para TI

Fundamentos da LGPD para Times de TI

A LGPD (Lei Geral de Protecao de Dados - Lei 13.709/2018) nao e apenas responsabilidade do juridico ou compliance. Times de TI e desenvolvimento sao fundamentais para implementação efetiva, pois os controles tecnicos determinam se a organizacao realmente protege dados pessoais ou apenas tem politicas no papel.

2% a 50M

multa de ate 2% do faturamento ou R$ 50 milhoes por infracao (LGPD Art. 52)

Conceitos essenciais

Dado pessoal: Qualquer informacao que identifique ou possa identificar uma pessoa
Dado sensivel: Dados sobre saude, raca, religiao, biometria, orientacao sexual, etc.
Titular: A pessoa a quem os dados se referem
Controlador: Quem decide sobre o tratamento (sua empresa)
Operador: Quem processa dados em nome do controlador (fornecedores)
Tratamento: Qualquer operacao com dados: coleta, armazenamento, uso, compartilhamento, exclusao
Encarregado (DPO): Responsavel por comunicacao com titulares e ANPD

O que e dado pessoal na pratica

Obvios: Nome, CPF, RG, email, telefone, endereco
Menos obvios: IP, cookies, device fingerprint, localizacao GPS
Combinados: Dados que sozinhos nao identificam, mas combinados sim (cargo + empresa + cidade)
Sensiveis: Biometria (foto facial, digital), dados de saude, religiao, orientacao sexual, filiacao sindical

Mapeamento de Dados Pessoais (Data Mapping)

O primeiro passo tecnico e mapear onde estao os dados pessoais na organizacao. Sem visibilidade, nao ha como proteger.

Inventario de dados estruturado

Para cada sistema/banco de dados, documente:

Quais dados pessoais: Campos especificos (nome, email, CPF, etc.)
Categoria de titulares: Clientes, funcionarios, leads, fornecedores
Finalidade: Por que coletamos e usamos
Base legal: Qual das 10 bases legais justifica
Retencao: Quanto tempo mantemos
Compartilhamento: Com quem compartilhamos (internamente e externamente)
Transferencia internacional: Se dados vao para fora do Brasil
Medidas de segurança: Criptografia, controle de acesso, logs

// Exemplo de estrutura de data mapping em JSON
{
  "sistema": "CRM Salesforce",
  "dados_pessoais": [
    {
      "campo": "email",
      "tipo": "dado_pessoal",
      "titulares": ["clientes", "leads"],
      "finalidade": "comunicacao comercial",
      "base_legal": "consentimento",
      "retencao": "5 anos apos ultimo contato",
      "criptografado": true,
      "compartilhado_com": ["Mailchimp", "time comercial"]
    }
  ]
}

Ferramentas para descoberta automatica

Data discovery: Varonis, BigID, OneTrust para escanear repositorios
Database scanning: Scripts para identificar campos com padroes de PII (CPF, email)
Cloud DLP: Google Cloud DLP, AWS Macie para dados em cloud
Network monitoring: Identificar fluxos de dados entre sistemas

Bases Legais na Pratica Tecnica

Todo tratamento de dados precisa de uma base legal. A escolha impacta diretamente a implementação tecnica:

As 10 bases legais da LGPD (Art. 7)

Consentimento: Titular concordou (requer mecanismo de coleta e revogacao)
Obrigacao legal: Lei exige (ex: dados fiscais)
Administracao publica: Politicas publicas
Estudos/pesquisa: Anonimizado quando possivel
Execucao de contrato: Necessario para cumprir contrato
Exercicio de direitos: Processos judiciais/administrativos
Protecao da vida: Emergencias de saude
Tutela da saude: Por profissionais de saude
Legitimo interesse: Interesse do controlador (requer LIA)
Protecao do credito: Analise de credito

Implementação tecnica de consentimento

Consentimento e a base legal mais complexa tecnicamente:

Granularidade: Consentimentos separados para finalidades diferentes
Registro: Armazenar quando, como e para que consentiu
Revogacao: Permitir retirada tao facil quanto concessao
Renovacao: Mecanismo para solicitar novo consentimento quando necessario

// Estrutura de registro de consentimento
{
  "titular_id": "hash_do_email",
  "consentimentos": [
    {
      "finalidade": "marketing_email",
      "concedido": true,
      "data_concessao": "2026-01-15T10:30:00Z",
      "metodo": "checkbox_cadastro",
      "versao_termos": "v2.3",
      "ip_origem": "hash_ip",
      "revogado": false
    }
  ]
}

Legitimo interesse - Legimate Interest Assessment (LIA)

Legitimo interesse requer balanceamento documentado entre interesse do controlador e direitos do titular. Documente tecnicamente:

Qual o interesse legitimo especifico
O tratamento e necessario para esse interesse?
O interesse prevalece sobre direitos do titular?
Quais medidas de mitigacao implementadas

Implementando Direitos dos Titulares

A LGPD garante 9 direitos aos titulares (Art. 18). Sua infraestrutura precisa suportar todos:

Direito de Acesso

Titular pode solicitar todos os dados que voce tem sobre ele.

Implementação: API/endpoint que agrega dados de todos os sistemas e retorna em formato legivel. Considere portal self-service para escala.

Direito de Correcao

Titular pode corrigir dados incorretos ou incompletos.

Implementação: Interface para edicao com propagacao para todos os sistemas (master data management). Logs de alteracao para auditoria.

Direito de Eliminacao

Titular pode solicitar exclusao de dados tratados com consentimento.

Implementação: Processo de hard delete ou anonimizacao irreversivel. Cuidado: nao apagar dados necessarios para outras bases legais (ex: fiscal).

Direito de Portabilidade

Titular pode receber dados em formato estruturado para levar a outro fornecedor.

Implementação: Exportacao em formato padrao (JSON, CSV) com todos os dados fornecidos pelo titular. Prazo: formato simplificado imediato ou 15 dias para completo.

Direito de Oposicao e Revogacao

Titular pode se opor a tratamentos baseados em legitimo interesse ou revogar consentimento.

Implementação: Mecanismo de opt-out que interrompe processamento. Para marketing: link de unsubscribe em cada comunicacao.

Automatize para escalar

Solicitacoes manuais por email nao escalam. Implemente portal self-service onde titulares podem exercer direitos diretamente. APIs internas permitem propagacao automatica entre sistemas.

Medidas Tecnicas de segurança (Art. 46)

A LGPD exige "medidas tecnicas e administrativas aptas a proteger dados pessoais". Implemente defesa em profundidade:

Criptografia

Em transito: TLS 1.3 para todas as comunicacoes, certificados validos
Em repouso: AES-256 para bancos de dados e storage
Campo-nivel: Criptografia especifica para campos sensiveis (CPF, dados de saude)
Chaves: Gerenciamento adequado (HSM, KMS) com rotacao periodica

Controle de acesso

Principio do minimo privilegio: Acesso apenas ao necessario para funcao
RBAC/ABAC: Controle baseado em papeis ou atributos
MFA: Autenticacao multi-fator para acesso a dados pessoais
Segregacao: Ambientes de producao isolados de desenvolvimento
Revisao periodica: Auditar acessos trimestralmente

Logs e auditoria

Quem: Usuario que acessou/modificou
O que: Qual dado foi acessado/modificado
Quando: Timestamp preciso
De onde: IP, dispositivo
Retencao: Minimo 6 meses, idealmente 2 anos
Integridade: Logs protegidos contra alteracao

Anonimizacao e pseudonimizacao

Diferenca crucial

Anonimizacao: Irreversivel - dado deixa de ser pessoal (fora do escopo LGPD). Tecnicas: k-anonimato, diferencial privacy, agregacao
Pseudonimizacao: Reversivel com chave - dado continua pessoal, mas com risco reduzido. Tecnicas: tokenizacao, hashing com salt

Privacy by Design e by Default

Privacy by Design (Art. 46 §2) significa incorporar privacidade desde a concepcao de sistemas. Principios praticos:

Minimizacao de dados

Coletar apenas dados necessarios para a finalidade
Questionar cada campo: "realmente precisamos disso?"
Definir retencao maxima na concepcao
Automatizar expurgo quando periodo expirar

Privacy by Default

Configuracoes mais privadas como padrao
Compartilhamento desabilitado por padrao
Coleta opcional como opt-in, nao opt-out
Minimo de dados visiveis por padrao

Checklist de desenvolvimento

[ ] Data mapping atualizado para nova feature
[ ] Base legal definida para cada tratamento
[ ] Campos de PII identificados e protegidos
[ ] Retencao definida com expurgo automatico
[ ] Logs de acesso implementados
[ ] Endpoints de direitos dos titulares atualizados
[ ] Testes de segurança incluindo PII

DPIA - Relatorio de Impacto a Protecao de Dados

O DPIA (Data Protection Impact Assessment), chamado de RIPD na LGPD, e obrigatorio quando tratamento pode gerar alto risco aos titulares. A ANPD pode exigir a qualquer momento.

Quando elaborar DPIA

Tratamento de dados sensiveis em larga escala
Monitoramento sistematico de areas publicas
Decisoes automatizadas com efeitos legais
Profiling extensivo
Transferencia internacional de dados
Novas tecnologias com risco desconhecido

Conteudo do DPIA

Descrição do tratamento e finalidades
Avaliação de necessidade e proporcionalidade
Identificação de riscos aos titulares
Medidas de mitigação implementadas
Parecer do DPO
Aprovação da liderança

Gestão de Incidentes de Dados Pessoais

A LGPD exige comunicação a ANPD e titulares em caso de incidente de segurança que possa acarretar risco ou dano relevante (Art. 48).

Prazo de comunicacao

A LGPD diz "prazo razoavel" - a ANPD definiu em regulamentacao: 2 dias uteis para comunicacao inicial. Cronograma pratico:

0-24h: Detecção, contencao inicial, avaliação de impacto
24-48h: Notificação a ANPD com informacoes preliminares
48-72h: Notificação a titulares se risco relevante
Continuo: Atualizações conforme investigação avança

Conteudo da Notificação

Descrição da natureza dos dados afetados
Informações sobre os titulares envolvidos
Medidas tecnicas de segurança utilizadas
Riscos relacionados ao incidente
Medidas adotadas para reverter/mitigar
Contato do encarregado (DPO)

Prepare-se antes do incidente

Defina processo de resposta a incidentes especifico para dados pessoais. Templates de Notificação prontos, contatos da ANPD, criterios de avaliacao de risco. Quando o incidente ocorre, nao ha tempo para improvisar.

Perguntas Frequentes

Logs de sistema são dados pessoais?

Sim, se contiverem informações que identifiquem usuarios: IP, user ID, email em URLs, etc. Aplique retencao adequada, controle de acesso e considere pseudonimizacao para logs de longo prazo. Logs agregados/anonimizados saem do escopo.

Como lidar com dados em backups?

Backups contem dados pessoais e estao sujeitos a LGPD. Para solicitacoes de exclusao, documente que dados permanecem em backups ate rotacao natural (aceitavel se backup criptografado com retencao definida). Nao restaure dados excluidos de backups antigos.

Posso usar dados pessoais para treinar AI/ML?

Depende da base legal. Consentimento especifico para este fim ou legitimo interesse com LIA documentado. Prefira dados anonimizados quando possivel. Se o modelo memoriza dados pessoais (LLMs), considere tecnicas de differential privacy. DPIA recomendado para tratamento automatizado extensivo.

Conclusao

Implementar LGPD tecnicamente vai muito alem de termos de uso e politicas de privacidade. Requer mudancas fundamentais em como sistemas sao projetados, dados sao armazenados e acessos sao controlados.

O mapeamento de dados e o alicerce - sem saber onde estao os dados pessoais, nao ha como protege-los ou atender direitos dos titulares. Invista tempo nesta etapa antes de implementar controles.

Automatizacao e essencial para escala. Processos manuais de atendimento a solicitacoes de titulares colapsam rapidamente. Construa APIs internas que permitam exercicio de direitos programaticamente, com propagacao automatica entre sistemas.

Por fim, trate LGPD como requisito de engenharia, nao como burocracia de compliance. Privacy by Design significa pensar em protecao de dados na concepcao de cada feature, nao como adicao posterior. Sistemas bem projetados sao naturalmente mais faceis de manter em conformidade.

Precisa de Ajuda com LGPD?

Oferecemos consultoria tecnica de adequacao: mapeamento de dados, implementação de controles e automacao de processos de titulares.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Privacidade, Protecao de Dados e Compliance Regulatorio.