O documento discute quando um dado é considerado pessoal, afirmando que depende muito do contexto. Primeiro, analisa se o nome fantasia de uma pessoa jurídica é um dado pessoal, concluindo que depende se é de um MEI, candidato político ou outra situação. Em seguida, define o que são dados pessoais segundo a LGPD e discute a identificabilidade. Por fim, enfatiza que o contexto do tratamento é fundamental para determinar se um dado é pessoal.
Quando um dado é pessoal? Contexto e classificação
1. Quando um dado é
considerado pessoal?
(Há mais coisa entre o céu e a
terra do que sugere a sua
governança de dados)
24 de Março de 2021
2. 2
Sobre a Apresentação
—
Tema: Reflexão sobre quando um
dado é pessoal ou não
Agenda:
1. Nome Fantasia é um Dado Pessoal?
2. Quando um Dado é Considerado Pessoal?
3. A LGPD é sobre Dados Pessoais?
4. Contexto é Tudo!
6. 6
MEI
—
Razão social (nome
empresarial) é o nome
registrado que individualiza
uma PJ para exercer suas
atividades.
Possui regra de formação:
NOME + CPF
Outros atributos podem ser
dados pessoais: CNPJ,
endereço, nome fantasia
etc
7. 7
Candidato a Cargo Político
—
Nome empresarial: Eleição + Ano da Eleição + Nome do Candidato + Cargo Eletivo
Sensível
8. 8
Classificação Estática Conservadora (MCS)
—
Metadados Centralizados do SERPRO
● Mais de 280k tabelas
● Mais de 3 milhões de atributos
● Diversas bases
● Classificação manual
Problema:
Como classificar estaticamente o nome
fantasia e atributos da pessoa jurídica?
12. 12
Exemplos de Dados Pessoais
—
Nome
CPF
Endereço
Foto (crachá)
Cartão de
Crédito
Etnia
Religião
Foto (vigilância)
Biometria
Saúde
Filiação Política
Localização
Histórico de
Compras
Cliques
Rating
Preferências
Cookies
19. 19
Foco da LGPD: Os Tratamentos
—
Esta Lei dispõe sobre o
tratamento de dados pessoais,
inclusive nos meios digitais …
(LGPD)
20. 20
LGPD x Governança de Dados (SERPRO)
—
LGPD
Privacidade
Compliance
Referência
Governança
de Dados
Rentabilização
Datacêntrico
Metadados
Qualidade de Dados
Oportunidades
Compartilhamentos
Classificação
21. 21
Lição Aprendida: O RAT (art. 37) RoPA (GDPR)
—
Art. 37. O controlador e o
operador devem manter registro
das operações de tratamento de
dados pessoais que realizarem,
especialmente quando baseado no
legítimo interesse.
Equipe Multidisciplinar
Processo de Negócio
(Escopo de Negócio)
Registro de
Atividades de
Tratamento
1. Definir o escopo de negócio
2. Elaborar um RAT dos tratamentos
25. 25
Contexto Exemplo 1: Nome Fantasia
—
MEI
?
O Nome Fantasia é um
Dado Pessoal?
Dado Pessoal
Sim
Político
?
Não
Dado Pessoal
Sensível
Sim
Dado Não
Pessoal
Não
Qual tipo de dado?
1. Cadastro da DEMAC (RFB)?
2. Cadastro do TSE?
3. Cadastro dos pipoqueiros?
28. 28
Questões sobre o Contexto 2
—
1. Os dados de percentual são pessoais?
2. Foram usados dados pessoais no processo?
3. O tratamento realizado foi legal (LGPD)?
4. A publicação pela mídia foi legal (LGPD)?