O documento discute quando um dado é considerado pessoal, notando que depende muito do contexto. Ele apresenta exemplos de dados pessoais como nome e endereço, e como anonimização e pseudonimização afetam a classificação. A LGPD foca nos tratamentos de dados pessoais, não apenas nos dados em si. Contextos como o tipo de cadastro ou banco de dados são importantes para determinar se um dado como nome fantasia é pessoal ou não.
TDC 2021 Innovation - Quando um Dado é Considerado Pessoal?
1. Quando um dado é
considerado pessoal?
(Há mais coisa entre o céu e a
terra do que sugere a sua
governança de dados)
24 de Março de 2021
2. 2
Sobre a Apresentação
—
Tema: Reflexão sobre quando um
dado é pessoal ou não
Agenda:
1. Nome Fantasia é um Dado Pessoal?
2. Quando um Dado é Considerado Pessoal?
3. A LGPD é sobre Dados Pessoais?
4. Contexto é Tudo!
6. 6
MEI
—
Razão social (nome
empresarial) é o nome
registrado que individualiza
uma PJ para exercer suas
atividades.
Possui regra de formação:
NOME + CPF
Outros atributos podem ser
dados pessoais: CNPJ,
endereço, nome fantasia
etc
7. 7
Candidato a Cargo Político
—
Nome empresarial: Eleição + Ano da Eleição + Nome do Candidato + Cargo Eletivo
Sensível
8. 8
Classificação Estática Conservadora (MCS)
—
Metadados Centralizados do SERPRO
● Mais de 280k tabelas
● Mais de 3 milhões de atributos
● Diversas bases
● Classificação manual
Problema:
Como classificar estaticamente o nome
fantasia e atributos da pessoa jurídica?
12. 12
Exemplos de Dados Pessoais
—
Nome
CPF
Endereço
Foto (crachá)
Cartão de
Crédito
Etnia
Religião
Foto (vigilância)
Biometria
Saúde
Filiação Política
Localização
Histórico de
Compras
Cliques
Rating
Preferências
Cookies
19. 19
Foco da LGPD: Os Tratamentos
—
Esta Lei dispõe sobre o
tratamento de dados pessoais,
inclusive nos meios digitais …
(LGPD)
20. 20
LGPD x Governança de Dados (SERPRO)
—
LGPD
Privacidade
Compliance
Referência
Governança
de Dados
Rentabilização
Datacêntrico
Metadados
Qualidade de Dados
Oportunidades
Compartilhamentos
Classificação
21. 21
Lição Aprendida: O RAT (art. 37) RoPA (GDPR)
—
Art. 37. O controlador e o
operador devem manter registro
das operações de tratamento de
dados pessoais que realizarem,
especialmente quando baseado no
legítimo interesse.
Equipe Multidisciplinar
Processo de Negócio
(Escopo de Negócio)
Registro de
Atividades de
Tratamento
1. Definir o escopo de negócio
2. Elaborar um RAT dos tratamentos
25. 25
Contexto Exemplo 1: Nome Fantasia
—
MEI
?
O Nome Fantasia é um
Dado Pessoal?
Dado Pessoal
Sim
Político
?
Não
Dado Pessoal
Sensível
Sim
Dado Não
Pessoal
Não
Qual tipo de dado?
1. Cadastro da DEMAC (RFB)?
2. Cadastro do TSE?
3. Cadastro dos pipoqueiros?
28. 28
Questões sobre o Contexto 2
—
1. Os dados de percentual são pessoais?
2. Foram usados dados pessoais no processo?
3. O tratamento realizado foi legal (LGPD)?
4. A publicação pela mídia foi legal (LGPD)?