Dados pessoais na LGPD: o que são, tipos e dados sensíveis

Pense em tudo que circulou pela sua empresa só hoje: o cadastro de um cliente novo, o currículo que chegou por e-mail, o atestado que um funcionário mandou no grupo, as imagens da câmera da entrada. Tudo isso é dado pessoal. E sua empresa já trata esse tipo de informação o dia inteiro, mesmo que ninguém aí dentro use esse nome.

A questão é que os dados pessoais na LGPD não são todos iguais. A lei protege cada tipo em um nível diferente, e errar a classificação custa caro nos dois sentidos. Tratar dado sensível como se fosse comum gera risco jurídico real. Tratar tudo como sensível trava a operação sem necessidade.

Neste guia, você vai entender o que são dados pessoais segundo a Lei Geral de Proteção de Dados, quais são os tipos que a lei reconhece, a lista completa de dados sensíveis e o que muda na prática para a sua empresa. No final, um passo a passo simples para classificar os dados que você já tem.

O que são dados pessoais segundo a LGPD?

Dados pessoais são qualquer informação relacionada a uma pessoa natural identificada ou identificável. É o que diz o artigo 5º da Lei 13.709/2018, a LGPD. Em outras palavras: se a informação identifica alguém, ou permite chegar até alguém, ela é dado pessoal e está protegida pela lei.

A palavra-chave aqui é "identificável". O dado não precisa trazer o nome da pessoa para ser pessoal. Se dá para descobrir quem é o titular cruzando informações, a LGPD se aplica do mesmo jeito.

Por isso, itens que parecem neutros entram na conta: o número de IP de quem visita seu site, a placa do carro no estacionamento, a matrícula do funcionário, a localização do entregador. Sozinhos ou combinados, eles apontam para uma pessoa específica.

Outro detalhe importante: a lei protege a pessoa natural, ou seja, gente de carne e osso. Dados da empresa em si, como CNPJ, razão social e endereço comercial, não são dados pessoais. Mas atenção, porque os dados do sócio, do representante legal e do contato comercial são pessoais, e quase todo cadastro "de empresa" carrega dados de pessoas dentro dele.

Exemplos de dados pessoais no dia a dia da sua empresa

Para sair do conceito e aterrissar na sua operação, veja onde os dados pessoais aparecem em uma empresa comum:

• Cadastro de clientes: nome, CPF, RG, e-mail, telefone, endereço, data de nascimento
• Vendas online: IP, cookies, histórico de compras, geolocalização, dados de pagamento
• Recursos humanos: currículos, salário, dados bancários, registro de ponto, dependentes
• Atendimento: conversas de WhatsApp, gravações de ligação, e-mails trocados com clientes
• Segurança: imagens de câmeras, registro de visitantes, biometria de acesso
• Marketing: lista de e-mails, comportamento no site, interações em redes sociais

Repare que a lista mistura papel, planilha e sistema. O meio não importa: a ficha física no armário e o banco de dados na nuvem recebem a mesma proteção legal.

Se você nunca listou os dados que a sua empresa coleta, esse exercício é o coração do mapeamento de dados, o primeiro passo de qualquer adequação à LGPD. Vale a pena começar por aí antes de pensar em política de privacidade ou consentimento.

Quais são os tipos de dados na LGPD?

A LGPD trabalha com quatro rótulos principais. Dois deles definem o nível de proteção, e os outros dois definem se a lei se aplica ou não. A tabela resume:

Existe ainda uma camada extra que não é um tipo à parte: os dados de crianças e adolescentes. Eles podem ser comuns ou sensíveis, mas sempre recebem cuidado adicional, como veremos adiante.

Entender essa classificação muda sua estratégia de adequação. Cada categoria pede um nível de esforço diferente, e é isso que permite priorizar sem desperdiçar energia.

Dados sensíveis na LGPD: a lista completa

Os dados pessoais sensíveis estão listados no artigo 5º, inciso II, da LGPD. A lista é fechada, ou seja, a lei define exatamente o que entra nessa categoria:

• Origem racial ou étnica
• Convicção religiosa
• Opinião política
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político
• Dado referente à saúde
• Dado referente à vida sexual
• Dado genético
• Dado biométrico, quando vinculado a uma pessoa natural

Por que essas informações ganharam proteção especial? Porque o uso indevido delas pode gerar discriminação. Um vazamento de telefone causa transtorno; um vazamento de diagnóstico médico ou de orientação sexual pode causar dano grave e irreversível à vida da pessoa, como explica o Serpro, empresa pública de tecnologia do governo federal.

E esses dados aparecem em empresas comuns com mais frequência do que se imagina. O atestado médico no RH é dado de saúde. A digital no relógio de ponto é dado biométrico. Já o formulário da confraternização que pergunta restrição alimentar pode revelar dado de saúde ou convicção religiosa, e a pesquisa de diversidade coleta origem racial.

Um cenário ilustrativo, mas que acontece todos os dias: Carlos, dono de uma gráfica com 40 funcionários, instalou ponto biométrico para acabar com fraudes no horário. Resolveu um problema operacional e, sem perceber, passou a tratar dado sensível de todo o quadro. Nenhum documento da empresa mencionava aquela coleta, e ninguém sabia dizer onde as digitais ficavam armazenadas.

CPF é dado sensível?

Não. O CPF não está na lista do artigo 5º, inciso II, e por isso é dado pessoal comum, não sensível. O mesmo vale para dados bancários e financeiros: a LGPD não os classifica como sensíveis, por mais que pareçam "delicados".

Isso não significa que o CPF dispensa cuidado. Ele é a principal chave de identificação do brasileiro, e um vazamento abre porta para fraudes. A lei exige segurança para todo dado pessoal, sensível ou não. A diferença está nas regras de tratamento, não na obrigação de proteger.

O que muda na prática quando o dado é sensível

Classificar um dado como sensível não é detalhe técnico. Três consequências práticas mudam o jogo para a sua empresa.

Primeira: as bases legais são mais restritas. Base legal é a justificativa que a lei exige para qualquer uso de dado pessoal. Para dados comuns, o artigo 7º oferece dez opções. Para dados sensíveis, o artigo 11 traz uma lista própria e mais curta: consentimento específico e destacado do titular ou hipóteses como cumprimento de obrigação legal, tutela da saúde, proteção da vida e prevenção à fraude em sistemas eletrônicos.

Segunda: o legítimo interesse fica de fora. É a pegadinha que quase ninguém conta: o legítimo interesse, base legal mais flexível da LGPD, vale apenas para dados comuns. Se o dado é sensível, sua empresa não pode usá-lo "porque faz sentido para o negócio". Ou existe uma hipótese do artigo 11, ou é preciso colher um termo de consentimento específico para aquela finalidade.

Terceira: o risco aumenta. Incidentes com dados sensíveis tendem a gerar dano maior ao titular e, em consequência, resposta mais dura da ANPD, a Autoridade Nacional de Proteção de Dados. Setores que vivem disso, como clínicas e laboratórios, precisam de proteção de dados de saúde estruturada desde o início.

Outro cenário ilustrativo: Paula, gerente de uma distribuidora, recebeu o atestado de um vendedor e encaminhou no grupo da equipe para justificar a ausência dele. Em segundos, um dado de saúde circulou para 12 pessoas sem necessidade nenhuma. Nenhum sistema foi invadido. O vazamento foi um clique bem-intencionado, e é assim que a maioria dos incidentes com dados sensíveis acontece.

O contexto também pesa. Nome e telefone são dados comuns, mas a lista de espera de uma clínica de fertilidade revela informação de saúde só pela existência. Ao classificar, pergunte sempre: o que essa informação revela sobre a pessoa neste contexto?

Dado anonimizado e pseudonimizado: quando a LGPD deixa de valer

A LGPD abre uma saída legítima para quem quer usar dados em análises e relatórios: a anonimização. O artigo 12 diz que dados anonimizados não são considerados dados pessoais, desde que a reidentificação não seja possível por meios técnicos razoáveis.

Anonimizar é quebrar de vez o vínculo entre a informação e a pessoa. "Vendemos 1.200 unidades para clientes de Minas Gerais em maio" não aponta para ninguém. Esse tipo de estatística agregada fica fora do alcance da lei, e sua empresa pode usá-la livremente.

A pseudonimização é outra coisa. Nela, você troca os identificadores por códigos, mas mantém uma chave que permite refazer o caminho. É uma ótima medida de segurança, e a própria lei a menciona como boa prática. Porém, o dado pseudonimizado continua sendo dado pessoal, com todas as obrigações da LGPD.

A confusão entre os dois conceitos gera uma armadilha clássica. Renata, dona de uma loja online de cosméticos, apagou a coluna "nome" da planilha de clientes e passou a chamá-la de "base anonimizada". Só que a planilha mantinha CPF e telefone.

Qualquer pessoa com acesso ao arquivo identificava cada cliente em segundos. Resultado: a empresa relaxou os controles justamente sobre uma base cheia de dados pessoais.

O teste é simples: se alguém com esforço razoável consegue descobrir quem é quem, o dado não está anonimizado. E aí a LGPD continua valendo por inteiro.

Dados de crianças e adolescentes: proteção extra

Quando o titular é menor de idade, a régua sobe. O artigo 14 da LGPD exige que todo tratamento de dados de crianças e adolescentes atenda ao melhor interesse deles, sempre.

Durante anos, prevaleceu a leitura de que só o consentimento dos pais autorizava esse tratamento. A ANPD uniformizou o entendimento no Enunciado nº 01/2023: qualquer base legal da LGPD pode ser usada, desde que o melhor interesse do menor prevaleça na análise.

Isso afeta mais negócios do que parece. Escolas e cursos, claro, mas também pediatras, lojas de produtos infantis, buffets de festa e qualquer e-commerce que colete dados de adolescentes. Se esse é o seu caso, o guia de LGPD para escolas aprofunda as regras para dados de menores.

Como classificar os dados da sua empresa em 4 passos

Saber a teoria é metade do caminho. A outra metade é olhar para os dados reais da sua operação e etiquetar cada um. O processo cabe em quatro passos:

1. Liste os pontos de entrada de dados. Site, formulários, WhatsApp, cadastro na loja, RH, câmeras, sistema de gestão. Anote o que cada ponto coleta e onde a informação fica guardada.
2. Classifique cada dado. Marque o que é dado pessoal comum, o que é sensível (use a lista do artigo 5º, II) e o que envolve menores de idade. Na dúvida sobre um dado de contexto, pergunte o que ele revela sobre a pessoa.
3. Corte o que não tem finalidade. Encontrou dado sem uso claro, como religião na ficha de cadastro ou cópia de RG guardada "por garantia"? Pare de coletar e elimine o acervo. Menos dados, menos risco; a lei chama isso de minimização.
4. Registre tudo em um inventário. Esse registro, com dado, origem, finalidade e base legal, é o seu mapeamento de dados. Ele vira a fundação da política de privacidade, do atendimento a titulares e de toda a adequação.

Fazer isso na planilha funciona no início, mas exige disciplina para manter atualizado. O mapeamento automatizado de dados do DataSafu guia esse processo por setor, já sinaliza quais dados são sensíveis e gera o inventário pronto em minutos, sem depender de consultoria.

Perguntas frequentes sobre dados pessoais e dados sensíveis

Quais são 3 exemplos de dados pessoais?

Nome completo, CPF e e-mail pessoal são os exemplos mais comuns. Mas a lista vai além: telefone, endereço, data de nascimento, IP, geolocalização e até a voz em uma gravação de atendimento são dados pessoais.

O que são dados sensíveis e não sensíveis?

Dados sensíveis são os do artigo 5º, II, da LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde, vida sexual, dado genético e biométrico. Todo o resto, como nome, CPF e e-mail, é dado pessoal comum (não sensível), conforme resume a campanha oficial do governo federal sobre o tema.

CPF é considerado dado sensível?

Não. O CPF é dado pessoal comum, porque não está na lista fechada do artigo 5º, II. Ainda assim, exige proteção rigorosa, já que é a principal chave de identificação no Brasil.

Dados de pessoa jurídica são protegidos pela LGPD?

CNPJ, razão social e dados da empresa em si não são dados pessoais. Porém, os dados das pessoas ligadas à empresa, como sócios, representantes e contatos comerciais, são protegidos normalmente.

E-mail corporativo é dado pessoal?

Depende do formato. Um endereço como [email protected] identifica uma pessoa, então é dado pessoal. Já [email protected], que não aponta para ninguém específico, não é.

Foto e voz são dados pessoais?

Sim, porque identificam a pessoa. E há um degrau a mais: quando imagem ou voz passam por sistema de reconhecimento para identificar alguém, como no reconhecimento facial, viram dado biométrico, que é sensível.

Classificar certo é o primeiro passo da adequação

Recapitulando o essencial sobre dados pessoais na LGPD:

• Tudo que identifica uma pessoa natural é dado pessoal, incluindo IP, localização e imagem, não só nome e CPF
• A lista de dados sensíveis é fechada: saúde, biometria, religião, opinião política, origem racial, vida sexual, dado genético e filiação sindical
• Dado sensível muda as regras: bases legais restritas, sem legítimo interesse e com segurança reforçada
• Anonimizado de verdade sai da lei; pseudonimizado continua dado pessoal
• Dados de menores exigem o melhor interesse da criança em qualquer base legal

Com a classificação certa, sua empresa protege o que importa sem burocratizar o que não precisa. E o caminho natural a partir daqui é transformar essa classificação em um mapeamento completo.

Quer saber como está a situação da sua empresa hoje? Faça o diagnóstico da sua empresa no DataSafu e veja em poucos minutos quais dados pessoais você trata, onde estão os riscos e por onde começar a adequação à LGPD.