Legislação Tributária
ATO NORMATIVO DA SEFAZ

Ato: Orientação LGPD/SEFAZ

Número/Complemento
Assinatura
Publicação
Pág. D.O.
Início da Vigência
Início dos Efeitos
6/2025
12/18/2024
09/02/2025
22
02/09/2025
02/09/2025

Ementa:EMENTA: Aprofunda os conceitos de anonimização e pseudonimização de dados pessoais, estabelecendo a distinção técnica e jurídica entre ambos. Orienta os servidores sobre quando e como aplicar essas técnicas como medidas de segurança, em conformidade com os artigos 12 e 13 da LGPD e as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
Assunto: Exportação-MT
Alterou/Revogou:Lei Geral de Proteção de Dados (LGPD
Alterado por/Revogado por:
Observações:


Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
ORIENTAÇÃO LGPD/SEFAZ Nº 006/2025

Data: [ a mesma da assinatura digital]
TEMA: Anonimização e Pseudonimização: Conceitos e Aplicações Práticas

BASE LEGAL:
1. Legislação Federal:
1.1. Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018: Art. 5º, III (dado anonimizado); Art. 12 (dados anonimizados); e Art. 13, § 4º (pseudonimização).
1.2. Guia Orientativo "Anonimização de Dados" da ANPD: Fornece as diretrizes técnicas e as melhores práticas sobre o tema.

2. Legislação do Estado de Mato Grosso:
2.1. Resolução nº 002/2024/COGGE/SEFAZ: Art. 8º (Princípios, incluindo o de Segurança e Prevenção) e Art. 9º, III (Diretriz sobre incorporação da proteção de dados desde a concepção).
2.2. Decreto Estadual nº 1.427/2025: Art. 4º (Diretrizes para a proteção de dados).
2.3. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III.
2.4. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais

RESUMO:
A anonimização e a pseudonimização são ferramentas essenciais para a redução de riscos no tratamento de dados. Contudo, é crucial entender que apenas o dado efetivamente anonimizado (cujo processo de identificação é irreversível) está fora do escopo da LGPD. O dado pseudonimizado, por ser reversível, continua sendo um dado pessoal e exige a aplicação de todas as salvaguardas da lei. A escolha da técnica deve ser proporcional ao risco e à finalidade do tratamento.

ARGUMENTOS (Questões, Dúvidas e Cenários Práticos):
1. Argumento 1: Qual é a diferença fundamental entre anonimizar e pseudonimizar um dado?
1.1. Resposta: A diferença está na reversibilidade.
1.1.1. Anonimização: É um processo irreversível. Utiliza técnicas para remover qualquer possibilidade de vincular o dado a uma pessoa, mesmo com informações adicionais. O resultado final não é mais um dado pessoal.
1.1.2. Pseudonimização: É um processo reversível. Substitui o dado original por um identificador artificial (um "pseudônimo"). A chave que conecta o pseudônimo ao dado original é mantida em separado e em segurança, permitindo que o processo seja desfeito. O resultado final continua sendo um dado pessoal.

2. Argumento 2: Se eu remover apenas o nome e o CPF de uma planilha, os dados restantes já estão anonimizados?
2.1. Resposta: Não necessariamente. A anonimização não se resume a apagar colunas. Se as informações restantes (como cargo, setor de lotação, data de admissão e cidade de residência) permitirem, em conjunto, identificar uma pessoa por dedução (efeito "mosaico"), o dado não é considerado anonimizado. A análise de anonimização deve garantir que não haja possibilidade razoável de re-identificação usando quaisquer meios disponíveis.
3. Argumento 3: Para quais situações a pseudonimização é recomendada?
3.1. Resposta: A pseudonimização é uma excelente medida de segurança para situações em que o dado precisa ser tratado, mas não é necessário que o agente que o manipula saiba a identidade do titular. Por exemplo, uma equipe de análise de dados da SEFAZ pode trabalhar com uma base de débitos fiscais pseudonimizada para gerar estatísticas, sem ter acesso direto ao nome ou CPF dos contribuintes. Isso reduz drasticamente o risco em caso de acesso indevido àquela base de trabalho.
4. Argumento 4: Um dado anonimizado pode ser revertido? Se isso acontecer, de quem é a responsabilidade?
4.1. Resposta: Por definição, um dado verdadeiramente anonimizado não pode ser revertido com os meios disponíveis. Se um processo de "anonimização" for revertido, significa que a técnica utilizada foi falha e o dado, na verdade, nunca deixou de ser um dado pessoal. Conforme o Art. 12, § 2º da LGPD, a determinação do que é "anonimizado" leva em conta a capacidade de reversão. A responsabilidade por garantir a robustez do processo é do agente de tratamento (no caso, a SEFAZ) que o realizou.
5. Argumento 5: A SEFAZ pode usar dados anonimizados para qualquer finalidade?
5.1. Resposta: Sim. Uma vez que os dados são efetivamente anonimizados, eles não estão mais sujeitos às regras da LGPD. Portanto, podem ser utilizados para diversas finalidades, como estudos estatísticos, planejamento de políticas públicas, treinamento de modelos de inteligência artificial, etc., sem a necessidade de uma base legal específica ou de consentimento. Contudo, é fundamental que o processo de anonimização seja documentado e comprovadamente seguro.

CONCLUSÃO

Esta orientação trata sobre a anonimização e pseudonimização como ferramentas essenciais para a redução de riscos no tratamento de dados na SEFAZ-MT.

Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.



Nelson Corrêa Viana
Encarregado de Dados (DPO)
Conforme Resolução Nº 003/2024/COGGE/SEFAZ, DE 18 DE DEZEMBRO DE 2024
(Assinatura Digital)