Legislação Tributária
ATO NORMATIVO DA SEFAZ

Ato: Orientação LGPD/SEFAZ

Número/Complemento
Assinatura
Publicação
Pág. D.O.
Início da Vigência
Início dos Efeitos
1/2025
12/18/2024
09/02/2025
19
02/09/2025
02/09/2025

Ementa:EMENTA: Estabelecer as diretrizes para a correta identificação e classificação de dados pessoais e dados pessoais sensíveis tratados no âmbito da SEFAZ, em conformidade com a Lei Geral de Proteção de Dados (LGPD), orientando os servidores sobre seus conceitos e a importância da sua distinção para o tratamento adequado e seguro das informações.
Assunto:Lei Geral de Proteção de Dados (LGPD)
Alterou/Revogou:
Alterado por/Revogado por:
Observações:


Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
ORIENTAÇÃO LGPD/SEFAZ Nº 001/2025

Data: [a mesma da assinatura digital]
TEMA: Como Identificar e Classificar Dados Pessoais e Sensíveis

BASE LEGAL:
1. Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018:
1.1. Art. 5º, inciso I (Definição de Dado Pessoal);
1.2. Art. 5º, inciso II (Definição de Dado Pessoal Sensível);
1.3. Art. 7º (Bases legais para tratamento de Dado Pessoal);
1.4. Art. 11 (Bases legais para tratamento de Dados Pessoais Sensíveis).

2. Marco Civil da Internet - Lei nº 12.965/2014:
2.1. Art. 7º (Direitos e garantias dos usuários).

3. Legislação do Estado de Mato Grosso:
3.1. Decreto Estadual nº 1.427, de 30 de abril de 2025: Regulamenta a Proteção de Dados Pessoais no âmbito do Poder Executivo do Estado de Mato Grosso, em especial seu artigo 2º (incisos II e III).
3.2. Resolução nº 002/2024/COGGE/SEFAZ, de 18 de dezembro de 2024: Institui a Política de Proteção de Dados Pessoais da Secretaria de Estado de Fazenda, especialmente seus artigos 4º, 8º e 11.
3.3. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III.
3.4. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais

RESUMO:
Todo servidor da SEFAZ tem o dever de saber diferenciar um dado pessoal de um dado pessoal sensível. A correta identificação é o primeiro passo para garantir que o tratamento da informação seja feito com a base legal apropriada e com o nível de segurança exigido pela LGPD, protegendo o cidadão e a própria Secretaria de riscos legais e operacionais.

ARGUMENTOS (Questões, Dúvidas e Cenários Práticos):
1. Argumento 1: O que exatamente é um "dado pessoal"? O CNPJ de uma empresa ou o número de um processo administrativo são considerados dados pessoais?
1.1. Resposta: Dado Pessoal é qualquer informação que, sozinha ou em conjunto com outras, permita identificar uma pessoa natural (física). A chave é a capacidade de "identificar alguém".
1.1.1. Exemplos diretos: Nome, CPF, RG, CNH, endereço residencial, e-mail pessoal, número de telefone, data de nascimento.
1.1.2. Exemplos indiretos: Placa de veículo (pois pode ser vinculada ao proprietário), endereço de IP (identifica um dispositivo, que pode levar a uma pessoa), matrícula de servidor.
1.1.3. Não são dados pessoais: Informações de pessoas jurídicas com personalidade jurídica própria (ex: Sociedades Anônimas - S.A. e Limitadas - Ltda.), como CNPJ, razão social e endereço comercial. Números de processos também não são dados pessoais, a menos que possam ser usados para identificar facilmente uma pessoa física.
1.1.4. Atenção Especial - MEI e Empresário Individual (EI): Observar que os dados de MEI e EI devem ser tratados com as mesmas salvaguardas de dados pessoais. Conforme interpretação do art. 5º, I, da LGPD, como a pessoa física e a jurídica se confundem (o nome empresarial e o CNPJ estão diretamente ligados ao CPF do titular), seus dados cadastrais são considerados dados pessoais e devem receber toda a proteção da lei:
1.1.4.1. O que é o MEI/EI? O Microempreendedor Individual (MEI) e o Empresário Individual (EI) são naturezas jurídicas onde a pessoa física e a pessoa jurídica se confundem. O CNPJ do MEI, por exemplo, é diretamente atrelado ao CPF do titular. Não há separação de patrimônio nem de personalidade jurídica.
1.1.4.2. Interpretação do Art. 5º, I, da LGPD: A lei define dado pessoal como "informação relacionada a pessoa natural identificada ou identificável".
1.1.4.3. O nome empresarial de um MEI é, por padrão, o nome completo do titular seguido do seu CPF. Ex: "JOSÉ DA SILVA 12345678900".
1.1.4.4. O endereço comercial do MEI é, em muitos casos, o mesmo endereço residencial do titular.
1.1.4.5. O e-mail de contato frequentemente é o e-mail pessoal.
1.1.4.6. Conclusão Lógica: Como os dados cadastrais do MEI e do EI permitem a identificação direta e inequívoca de uma pessoa natural (o empresário), eles são, por definição, dados pessoais e devem ser tratados como tal, recebendo todas as salvaguardas previstas na LGPD. Tratar o CNPJ de um MEI como se fosse o CNPJ de uma grande corporação (S.A., Ltda.) é um erro grave.
1.1.4.7. Posicionamento da ANPD: A Autoridade Nacional de Proteção de Dados já se manifestou em diversas ocasiões e em seus guias orientativos, consolidando o entendimento de que dados de Empresários Individuais e MEIs são considerados dados pessoais.

2. Argumento 2: Qual a diferença prática entre um dado pessoal e um "dado pessoal sensível"? Por que o dado sensível exige mais cuidado?
2.1. Resposta: Dado Pessoal Sensível é uma categoria especial de dado pessoal que, por sua natureza, pode gerar discriminação se for mal utilizado. A LGPD os protege com mais rigor.
2.1.1. O que são: Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde (atestados, laudos), dados genéticos ou biométricos (impressão digital, reconhecimento facial) e dados sobre a vida sexual.
2.1.2. Por que exigem mais cuidado: O tratamento de dados sensíveis só pode ocorrer em situações muito mais restritas (previstas no Art. 11 da LGPD) e exige medidas de segurança ainda mais robustas, pois seu vazamento pode causar danos morais e sociais significativos ao titular.

3. Argumento 3: Um documento que contém várias informações, como um formulário de cadastro, deve ser tratado como um todo? Como classificar a informação?
3.1. Resposta: A análise deve ser feita sobre cada informação contida no documento. Se um formulário contém nome, CPF, telefone e, por exemplo, um atestado médico (dado de saúde), o documento como um todo deve ser tratado com o nível de proteção mais alto, ou seja, como se contivesse dados pessoais sensíveis. A presença de um único dado sensível "contamina" o tratamento do conjunto de dados, exigindo o máximo de cuidado.

4. Argumento 4: O que é um "dado anonimizado" e, nesse caso, ele ainda precisa seguir as regras da LGPD?
4.1. Resposta: Dado Anonimizado é aquele que pertencia a um titular, mas passou por um processo que removeu de forma irreversível a possibilidade de identificação. Por exemplo, transformar uma lista de idades de contribuintes (35, 42, 55 anos) em uma estatística ("a idade média é 44 anos") é uma forma de anonimização. Uma vez que o dado é efetivamente anonimizado, ele deixa de ser considerado dado pessoal e, portanto, não se submete mais às regras da LGPD. Contudo, o processo de anonimização deve ser robusto para que não possa ser revertido.

5. Argumento 5: O que é um "dado pseudonimizado" e, nesse caso, ele ainda precisa seguir as regras da LGPD?
5.1. Dado Pseudonimizado é aquele que foi transformado para não permitir a identificação direta, mas que pode ser revertido ao seu estado original por meio de informações adicionais mantidas separadamente.
5.2. Exemplo: Em uma base de dados, substitui-se o nome "João da Silva" pelo código "X4T7B". Em outra tabela, guardada em local seguro e separado, fica o registro de que "X4T7B" corresponde a "João da Silva".
5.3. Ele ainda segue as regras da LGPD? Sim. Como o processo é reversível, o dado pseudonimizado continua sendo considerado um dado pessoal e deve ser protegido pelas regras da LGPD. A pseudonimização é uma importante medida de segurança que reduz riscos, mas não elimina a necessidade de conformidade com a lei.

CONCLUSÃO:

Esta orientação trata dos critérios e limites legais de como identificar e classificar os dados pessoais e sensíveis na SEFAZ-MT.

Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.


Nelson Corrêa Viana
Encarregado de Dados (DPO)
Conforme Resolução Nº 003/2024/COGGE/SEFAZ, DE 18 DE DEZEMBRO DE 2024