Artigo 5º: O Dicionário da LGPD – Quem é Quem no Mundo dos Dados

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados – ANPD;

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX - autoridade nacional: entidade da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

O que isso significa na prática?

O Artigo 5º define os termos-chave da lei para que todos falem a mesma língua. Entender esses conceitos é a base para aplicar a LGPD corretamente.

Os personagens principais dessa história são:

1. Dado Pessoal e Dado Pessoal Sensível: Dado pessoal é qualquer informação que identifique alguém (CPF, nome) ou que possa levar à sua identificação (endereço, placa de carro). Já o dado pessoal sensível é uma categoria especial que exige mais cuidado (saúde, religião, opinião política), pois seu uso indevido pode causar discriminação.

2. Titular: É a pessoa física dona dos dados. Ou seja, seus clientes, funcionários e parceiros. É para proteger o titular que a lei existe.

3. Agentes de Tratamento (Controlador e Operador):

   • O Controlador é quem toma as decisões sobre o que fazer com os dados. Geralmente, é a sua empresa. Ele define por que e como os dados serão tratados.

   • O Operador é quem processa os dados em nome do controlador. É um terceiro contratado que segue as ordens do controlador (ex: uma agência de marketing, um serviço de contabilidade, uma plataforma de nuvem).

4. Encarregado (DPO - Data Protection Officer): É a pessoa (física ou jurídica, como a MSPA) indicada para ser o ponto de contato sobre proteção de dados, tanto para os titulares quanto para a Autoridade Nacional (ANPD).

5. Tratamento: É o conceito mais amplo da lei. Basicamente, qualquer ação que você imaginar fazer com um dado pessoal é tratamento: desde a coleta e o armazenamento até a simples visualização ou a exclusão final.

Como se Aplica ao seu Negócio?

Definir corretamente os papéis e entender os conceitos do Artigo 5º é o ponto de partida para o seu programa de conformidade.

🙋‍♂️ Quem é o Controlador? Quem é o Operador? Imagine que sua empresa (Controlador) contrata uma agência para disparar uma campanha de e-mail marketing. Sua empresa decide para quem enviar (a finalidade) e fornece a lista de contatos. A agência (Operador) apenas executa a ordem de disparo. Ambos têm responsabilidades perante a lei, mas a principal é do controlador.

📄 O que é “Tratamento” no dia a dia? Quando um cliente preenche um formulário no seu site (coleta), você salva essa informação no seu sistema (armazenamento), sua equipe de vendas acessa a ficha dele (acesso), e depois de anos você apaga o registro (eliminação). Todas essas ações são “tratamento” e precisam estar em conformidade com a LGPD.

👮 Preciso de um Encarregado (DPO)? O DPO é a figura central da governança de dados. Ele orienta a empresa, atende aos titulares e fiscaliza a conformidade. A indicação de um Encarregado é obrigatória para a maioria das empresas e é uma das primeiras coisas que a Autoridade Nacional verifica. Contratar um “DPO como Serviço”, como o oferecido pela MSPA, é uma solução eficiente para cumprir essa exigência.

⚠️ Cuidado com os Dados Sensíveis: Se sua empresa coleta dados de saúde de funcionários para o plano de saúde, ou dados biométricos para controle de ponto, você está tratando dados sensíveis. Isso eleva o nível de risco e exige medidas de segurança ainda mais rigorosas.