Blog | LeV Compliance

A Classificação dos Dados pela LGPD

Resumo da redação   

Primeiramente, você precisa saber que a Lei Geral de Proteção de Dados (LGPD) surgiu no intuito de proteger os direitos […]

A Classificação dos Dados pela LGPD

12/11/21

Primeiramente, você precisa saber que a Lei Geral de Proteção de Dados (LGPD) surgiu no intuito de proteger os direitos de liberdade e de privacidade, criando normas a serem seguidas por empresas e governos para a coleta e o tratamento de dados pessoais. 

Neste artigo falamos principalmente sobre a classificação dos dados na LGPD, mas caso você queira saber mais sobre o que é a LGPD, você pode conferir nosso artigo mais completo sobre o tema.

Para que possa haver a classificação dos dados, saiba quais são os tipos de dados abordados pela LGPD:

O que são dados pessoais?

Dados pessoais são aqueles que permitem identificar uma pessoa. Exemplos: nome, RG, CPF, data e local de nascimento, telefone, endereço residencial, etc.

O que são dados pessoais sensíveis? 

Dados pessoais sensíveis também são aqueles que permitem a identificação de alguém, mas possuem camadas que exigem ainda mais cuidado na hora de seu tratamento. Exemplos:  informações sobre crianças e adolescentes, dados de saúde, origem racial ou étnica, convicções religiosas ou filosóficas, dados genéticos, biométricos, de saúde ou vida sexual, entre outros.

Por meio dessas informações, o titular dos dados pode sofrer algum tipo de discriminação, por isso são consideradas sensíveis.

O que são dados anonimizados?

Dados anonimizados passam por etapas que desvinculam qualquer possibilidade de identificação de seu titular. Caso seja possível reorganizar os dados e identificar um indivíduo, considera-se um dado pseudo-anonimizado.

A anonimização de dados é um processo que retira as informações pessoais de modo a não oferecer oportunidades de identificação de indivíduos. Existem três técnicas principais: 

  • Criptografia;
  • Generalização; 
  • Perturbação. 

Na criptografia, são aplicados algoritmos que transformam as informações em um conjunto aleatório de caracteres. 

Na generalização, são trocadas informações por outras genéricas. 

Por fim, a perturbação troca as informações por outras fictícias. 

Somente será considerado anonimização se esses métodos não puderem ser revertidos, caso contrário, as informações são consideradas pseudo anonimizadas, conforme visto anteriormente.

Por que existe uma classificação para os dados?

A classificação de dados é essencial para ajudar as empresas a manterem-se alinhadas à Lei Geral de Proteção de Dados, que define dentre outras exigências as práticas corretas de coleta, tratamento, proteção e publicação de dados pessoais e dados pessoais sensíveis.

Quanto mais organizada e madura estiver a classificação de dados de uma empresa, melhor será o tratamento da informação e menores são as chances de sofrerem com algum tipo de crise envolvendo a LGPD.

A classificação de dados na LGPD

A classificação de dados pode ser feita pelo setor de TI da empresa, por ser o setor mais ligado à segurança de dados, mas é recomendável que seja feita em conjunto com o setor jurídico, ou o encarregado de dados – DPO – quando houver.

Pequenas empresas talvez não tenham estabelecido um setor de TI interno, ou até mesmo um acompanhamento jurídico constante. Entretanto, o ideal é que em um primeiro momento a empresa busque profissionais das respectivas áreas para que seja feito o alinhamento e repassados aos colaboradores os cuidados necessários com os dados perante a lei.

O recomendado é que o profissional que cria e manipula uma informação é o responsável por sua classificação, podendo alterar os níveis a qualquer momento. Essas boas práticas permitem que o dado seja classificado e rotulado antes mesmo de ser manipulado, acessado e distribuído.

Como deve ser feita essa classificação?

A política de segurança da informação de uma empresa serve como documento para definir os níveis da classificação das informações e como elas devem ser utilizadas pelos colaboradores.

De maneira geral, não existe uma regra específica para essa classificação, sendo que pode ser personalizado por cada empresa, de acordo com as suas atividades, coleta e utilização dos dados. Mas quando não existe nada em específico que o profissional responsável queira detalhar, é possível tomar como base o seguinte:

  • Público: Informações que podem ser disponibilizadas e acessíveis a qualquer pessoa;
  • Interno: Informações que podem ser acessadas apenas por colaboradores da empresa;
  • Confidencial: Informações acessíveis a apenas um grupo de pessoas autorizadas;
  • Restrito:  Dados acessíveis apenas por pessoas pré-definidas.

A classificação da informação e a LGPD andam lado a lado, enquanto a lei define como deve ser feito a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer conforme a legislação.

A classificação de dados na LGPD e o direito à explicação

Durante um processo contra uma empresa envolvendo o desrespeito à Lei Geral de Proteção de Dados, uma empresa terá o direito de explicar as razões antes de ser multada.

Esse direito de explicação é uma derivação do princípio de transparência, que garante aos titulares dos dados as informações de maneira precisa e acessível em relação a como determinada empresa realizou o tratamento dessas informações de acordo com seus agentes de tratamento.

É claro que algumas explicações não serão aceitas por não fazerem sentido, como dizer a ANPD que a empresa “Não teve tempo” para se adequar, mesmo após 3 anos da existência da lei.

Foi quase uma década de discussões, consultas públicas, mais de 2500 contribuições, audiências públicas no Congresso Nacional e interações com os mais diversos atores nacionais e internacionais para que a Lei Geral de Proteção de Dados (Lei 13.709/2018) fosse aprovada no dia 14 de agosto de 2018.

Essa nova Lei foi elaborada de maneira transversal e multissetorial, contemplando direitos que já podiam ser encontrados em conjuntos de leis nacionais anteriores, como o direito à explicação e à transparência.

Diante do exposto, pode-se entender melhor como a lei classifica os dados e também  os cuidados que a sua empresa precisa ter para que, quando for necessário, haja uma maneira tranquila de explicar a forma que a sua empresa trabalha com os dados coletados.

A LeV Compliance e a sua empresa adequada à LGPD
Disponibilizamos para sua empresa um mapeamento de risco completo, para você entender qual o momento que a sua empresa se encontra e o que será necessário implementar para que esteja em conformidade com a LGPD.

Siga nossas redes sociais:



VOLTAR


(55) 3511-2553
atendimento@levcompliance.com.br

Tecnopuc

Santa Rosa


R. Guaporé, 401 - Centro
Sala 504 Edifício NEO
Santa Rosa - RS, 98780-082

Tecnopuc

Tecnopuc


Av. Ipiranga, 6681 - Partenon
Porto Alegre - RS, 90619-900

Tecnopuc

Instituto Caldeira


Tv. São José, 455 - Navegantes
Porto Alegre - RS, 90240-200