Pular para o conteúdo
Privacidade e LGPD

Dados pessoais e dados sensíveis: o que a LGPD protege

Por equipe técnica da OpenSourceBrasil8 min de leituraAtualizado em

A LGPD protege dados pessoais, mas trata uma parte deles com rigor maior: os dados sensíveis. Saber diferenciar os dois é um dos primeiros passos de qualquer adequação, porque a categoria do dado muda a base legal, o nível de cuidado e o risco de um vazamento.

Este guia explica o que é dado pessoal, o que é dado sensível, dá exemplos de cada um e mostra onde a anonimização entra nessa conversa.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

O que é dado pessoal

Dado pessoal é qualquer informação relacionada a uma pessoa natural identificada ou identificável. A parte importante é o identificável: mesmo um dado que sozinho não aponta para ninguém pode se tornar pessoal quando combinado com outros. Um endereço IP, um identificador de dispositivo ou um número de pedido podem levar a uma pessoa e, por isso, entram na lei.

Exemplos diretos são nome, CPF, RG, e-mail, telefone, endereço, data de nascimento, localização e histórico de compras. Se a informação permite chegar a uma pessoa, é dado pessoal.

O que é dado pessoal sensível

Dado sensível é uma categoria especial que a lei protege com mais força, porque o uso indevido pode gerar discriminação ou dano sério. O artigo 5 lista quais são.

  • Origem racial ou étnica.
  • Convicção religiosa.
  • Opinião política.
  • Filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
  • Dado referente à saúde.
  • Dado referente à vida sexual.
  • Dado genético.
  • Dado biométrico, como impressão digital e reconhecimento facial.

Por que a diferença importa tanto

Dados sensíveis têm bases legais próprias, mais restritas, e não admitem legítimo interesse nem execução de contrato como justificativa autônoma. O consentimento para tratá-los precisa ser específico e destacado. Além disso, um vazamento de dados sensíveis costuma ser avaliado como mais grave, o que pesa em uma eventual sanção.

Na prática, isso significa que biometria de ponto eletrônico, dados de saúde de um plano corporativo ou informações sobre filiação sindical exigem controles mais fortes e uma base legal bem enquadrada. Tratar dado sensível como se fosse um dado comum é um erro que aparece rápido em uma fiscalização.

Casos que confundem

  • Foto de rosto: pode ser dado biométrico quando usada para identificar a pessoa.
  • Nome que revela religião ou origem: o dado em si é comum, mas o contexto pode torná-lo sensível.
  • Dados de crianças e adolescentes: não são sensíveis por definição, mas têm proteção especial e exigem cuidado próprio.
  • Dados de saúde ocupacional no RH: são sensíveis e pedem base legal e segurança reforçadas.

Anonimização e pseudonimização

Um dado anonimizado é aquele que perdeu a possibilidade de ser associado a uma pessoa, considerando meios técnicos razoáveis. Quando a anonimização é sólida, o dado deixa de ser pessoal e sai do alcance da LGPD. O cuidado é que anonimização mal feita, que ainda permite reidentificar a pessoa, não vale.

A pseudonimização é diferente: ela substitui identificadores por códigos, mas mantém uma chave que permite reverter. O dado pseudonimizado continua sendo dado pessoal, embora com uma camada de proteção. Confundir os dois leva a decisões erradas sobre o que pode ou não ser usado livremente.

Como isso guia a segurança

Saber onde estão os dados sensíveis ajuda a priorizar a proteção. Faz sentido isolar esses dados em ambientes segmentados, restringir quem acessa, cifrar o armazenamento e registrar cada acesso. É a mesma lógica de segmentação de rede que se aplica a sistemas críticos, agora orientada pela sensibilidade do dado.

Reconhecer os dados no seu trabalho

Saber identificar dados pessoais e sensíveis no dia a dia é um treino, não uma decoreba. O curso de LGPD Essencial do ValorFinal tem um módulo dedicado a esse reconhecimento, com exemplos de onde esses dados se escondem em planilhas, e-mails e sistemas. É gratuito.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

Bases legais da LGPD

Consentimento é só uma das dez bases legais. Entenda cada hipótese do artigo 7, as regras para dados sensíveis e como escolher a base certa para cada tratamento.

Ler guia
Privacidade e LGPD

LGPD e segurança da informação

A LGPD exige medidas de segurança técnicas e administrativas. Veja como o artigo 46 vira controles concretos: acesso, criptografia, segmentação, backup e resposta a incidentes.

Ler guia

Dúvidas comuns

Perguntas frequentes

Qual a diferença entre dado pessoal e dado sensível?

Dado pessoal é qualquer informação que identifica ou pode identificar uma pessoa. Dado sensível é uma categoria especial, como saúde, biometria, religião e opinião política, que a lei protege com mais rigor por causa do risco de discriminação e dano.

Dados biométricos são sensíveis?

Sim. Dados biométricos, como impressão digital e reconhecimento facial, são classificados como dados sensíveis pela LGPD. Tratá-los exige base legal específica do artigo 11 e controles de segurança reforçados.

Dado anonimizado está sujeito à LGPD?

Em regra, não. Se a anonimização é sólida e impede reidentificar a pessoa com meios técnicos razoáveis, o dado deixa de ser pessoal e sai do alcance da lei. Se ainda for possível reverter e chegar à pessoa, ele continua protegido.

Dados de crianças são dados sensíveis?

Não por definição, mas têm proteção especial na LGPD. O tratamento de dados de crianças e adolescentes deve atender ao melhor interesse deles e, em muitos casos, depende do consentimento de um dos pais ou responsável.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.