Texto: ORIENTAÇÃO LGPD/SEFAZ Nº 001/2025
Data: [a mesma da assinatura digital] TEMA: Como Identificar e Classificar Dados Pessoais e Sensíveis
2. Marco Civil da Internet - Lei nº 12.965/2014: 2.1. Art. 7º (Direitos e garantias dos usuários).
3. Legislação do Estado de Mato Grosso: 3.1. Decreto Estadual nº 1.427, de 30 de abril de 2025: Regulamenta a Proteção de Dados Pessoais no âmbito do Poder Executivo do Estado de Mato Grosso, em especial seu artigo 2º (incisos II e III). 3.2. Resolução nº 002/2024/COGGE/SEFAZ, de 18 de dezembro de 2024: Institui a Política de Proteção de Dados Pessoais da Secretaria de Estado de Fazenda, especialmente seus artigos 4º, 8º e 11. 3.3. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III. 3.4. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais RESUMO: Todo servidor da SEFAZ tem o dever de saber diferenciar um dado pessoal de um dado pessoal sensível. A correta identificação é o primeiro passo para garantir que o tratamento da informação seja feito com a base legal apropriada e com o nível de segurança exigido pela LGPD, protegendo o cidadão e a própria Secretaria de riscos legais e operacionais. ARGUMENTOS (Questões, Dúvidas e Cenários Práticos): 1. Argumento 1: O que exatamente é um "dado pessoal"? O CNPJ de uma empresa ou o número de um processo administrativo são considerados dados pessoais? 1.1. Resposta: Dado Pessoal é qualquer informação que, sozinha ou em conjunto com outras, permita identificar uma pessoa natural (física). A chave é a capacidade de "identificar alguém". 1.1.1. Exemplos diretos: Nome, CPF, RG, CNH, endereço residencial, e-mail pessoal, número de telefone, data de nascimento. 1.1.2. Exemplos indiretos: Placa de veículo (pois pode ser vinculada ao proprietário), endereço de IP (identifica um dispositivo, que pode levar a uma pessoa), matrícula de servidor. 1.1.3. Não são dados pessoais: Informações de pessoas jurídicas com personalidade jurídica própria (ex: Sociedades Anônimas - S.A. e Limitadas - Ltda.), como CNPJ, razão social e endereço comercial. Números de processos também não são dados pessoais, a menos que possam ser usados para identificar facilmente uma pessoa física. 1.1.4. Atenção Especial - MEI e Empresário Individual (EI): Observar que os dados de MEI e EI devem ser tratados com as mesmas salvaguardas de dados pessoais. Conforme interpretação do art. 5º, I, da LGPD, como a pessoa física e a jurídica se confundem (o nome empresarial e o CNPJ estão diretamente ligados ao CPF do titular), seus dados cadastrais são considerados dados pessoais e devem receber toda a proteção da lei: 1.1.4.1. O que é o MEI/EI? O Microempreendedor Individual (MEI) e o Empresário Individual (EI) são naturezas jurídicas onde a pessoa física e a pessoa jurídica se confundem. O CNPJ do MEI, por exemplo, é diretamente atrelado ao CPF do titular. Não há separação de patrimônio nem de personalidade jurídica. 1.1.4.2. Interpretação do Art. 5º, I, da LGPD: A lei define dado pessoal como "informação relacionada a pessoa natural identificada ou identificável". 1.1.4.3. O nome empresarial de um MEI é, por padrão, o nome completo do titular seguido do seu CPF. Ex: "JOSÉ DA SILVA 12345678900". 1.1.4.4. O endereço comercial do MEI é, em muitos casos, o mesmo endereço residencial do titular. 1.1.4.5. O e-mail de contato frequentemente é o e-mail pessoal. 1.1.4.6. Conclusão Lógica: Como os dados cadastrais do MEI e do EI permitem a identificação direta e inequívoca de uma pessoa natural (o empresário), eles são, por definição, dados pessoais e devem ser tratados como tal, recebendo todas as salvaguardas previstas na LGPD. Tratar o CNPJ de um MEI como se fosse o CNPJ de uma grande corporação (S.A., Ltda.) é um erro grave. 1.1.4.7. Posicionamento da ANPD: A Autoridade Nacional de Proteção de Dados já se manifestou em diversas ocasiões e em seus guias orientativos, consolidando o entendimento de que dados de Empresários Individuais e MEIs são considerados dados pessoais.
2. Argumento 2: Qual a diferença prática entre um dado pessoal e um "dado pessoal sensível"? Por que o dado sensível exige mais cuidado? 2.1. Resposta: Dado Pessoal Sensível é uma categoria especial de dado pessoal que, por sua natureza, pode gerar discriminação se for mal utilizado. A LGPD os protege com mais rigor. 2.1.1. O que são: Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde (atestados, laudos), dados genéticos ou biométricos (impressão digital, reconhecimento facial) e dados sobre a vida sexual. 2.1.2. Por que exigem mais cuidado: O tratamento de dados sensíveis só pode ocorrer em situações muito mais restritas (previstas no Art. 11 da LGPD) e exige medidas de segurança ainda mais robustas, pois seu vazamento pode causar danos morais e sociais significativos ao titular.
3. Argumento 3: Um documento que contém várias informações, como um formulário de cadastro, deve ser tratado como um todo? Como classificar a informação? 3.1. Resposta: A análise deve ser feita sobre cada informação contida no documento. Se um formulário contém nome, CPF, telefone e, por exemplo, um atestado médico (dado de saúde), o documento como um todo deve ser tratado com o nível de proteção mais alto, ou seja, como se contivesse dados pessoais sensíveis. A presença de um único dado sensível "contamina" o tratamento do conjunto de dados, exigindo o máximo de cuidado.
4. Argumento 4: O que é um "dado anonimizado" e, nesse caso, ele ainda precisa seguir as regras da LGPD? 4.1. Resposta: Dado Anonimizado é aquele que pertencia a um titular, mas passou por um processo que removeu de forma irreversível a possibilidade de identificação. Por exemplo, transformar uma lista de idades de contribuintes (35, 42, 55 anos) em uma estatística ("a idade média é 44 anos") é uma forma de anonimização. Uma vez que o dado é efetivamente anonimizado, ele deixa de ser considerado dado pessoal e, portanto, não se submete mais às regras da LGPD. Contudo, o processo de anonimização deve ser robusto para que não possa ser revertido.
5. Argumento 5: O que é um "dado pseudonimizado" e, nesse caso, ele ainda precisa seguir as regras da LGPD? 5.1. Dado Pseudonimizado é aquele que foi transformado para não permitir a identificação direta, mas que pode ser revertido ao seu estado original por meio de informações adicionais mantidas separadamente. 5.2. Exemplo: Em uma base de dados, substitui-se o nome "João da Silva" pelo código "X4T7B". Em outra tabela, guardada em local seguro e separado, fica o registro de que "X4T7B" corresponde a "João da Silva". 5.3. Ele ainda segue as regras da LGPD? Sim. Como o processo é reversível, o dado pseudonimizado continua sendo considerado um dado pessoal e deve ser protegido pelas regras da LGPD. A pseudonimização é uma importante medida de segurança que reduz riscos, mas não elimina a necessidade de conformidade com a lei. CONCLUSÃO:
Esta orientação trata dos critérios e limites legais de como identificar e classificar os dados pessoais e sensíveis na SEFAZ-MT. Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.