Para apoiar no entendimento da LGPD, TCE-RO mapeia e divulga relação com categorias e tipos de dados pessoais e dados pessoais sensíveis
Em mais uma das ações do seu Comitê de Segurança da Informação e Comunicação (COSIC), o Tribunal de Contas (TCE-RO) divulgou a todas as suas unidades e agentes públicos um informativo (disponível no link abaixo) com uma relação de categorias e tipos de dados pessoais e dados pessoais sensíveis no contexto organizacional, em harmonia com a Lei Geral de Proteção de Dados Pessoais, Lei Federal nº 13.709/2018, assim como de norma da Associação Brasileira de Normas Técnicas – ABNT (NBR ISO/IEC 29100:2020) e do Guia de Inventário de Dados Pessoais do Governo Federal.INFORMATIVO COSIC SOBRE CATEGORIAS E TIPOS DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEISBaixar
A divulgação da relação de categorias e tipos de dados pessoais e dados pessoais sensíveis integra ação do Programa Corporativo de Gestão da Segurança da Informação e Privacidade de Dados (PCGSIPD), mais precisamente a etapa de “data mapping”, ou seja, o mapeamento do fluxo de dados pessoais que estão sob guarda e tratamento no âmbito do TCE-RO.
O objetivo do mapeamento é não só identificar os dados, mas também estabelecer as principais exposições e riscos a que estão sujeitos, para então determinar as diretrizes de medidas técnicas e administrativas que sejam aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
CATEGORIAS E TIPOS
Para auxiliar os setores e servidores a identificarem, de modo inequívoco, o que são dados pessoais e dados pessoais sensíveis, nos moldes do que define a LGPD (artigo 5º, inciso I), o COSIC apresentou à Presidência o informativo com uma relação exemplificativa de categorias e tipos de atributos que, a depender do contexto, são considerados dados pessoais e dados pessoais sensíveis.
Nesse rol, há definições importantes para o contexto de segurança, privacidade e proteção de dados pessoais, como o de dado pessoal: informação relacionada a pessoa natural identificada ou identificável; e o de dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
De igual modo, em relação à definição de titular, ou seja, pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; e, ainda, de tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O informativo divulgado pelo COSIC traz ainda na seção “Reconhecendo Dados Pessoais”, a forma como identificar o titular de um dado pessoal; características que distinguem os dados pessoais; a informação que é ou pode ser vinculada a um titular de dado pessoal; além da define do que são dados pessoais sensíveis cujo tratamento requer precauções especiais.
Abaixo a tabela-resumo com as categorias e tipos de dados pessoais e dados pessoais sensíveis:
CATEGORIAS | |
DADOS PESSOAIS | DADOS PESSOAIS SENSÍVEIS |
Dados de Identificação Pessoal Dados Financeiros Características Pessoais Hábitos Pessoais Características Psicológicas Composição Familiar Interesse de Lazer Associações Processo Judicial/Administrativo/Criminal Hábitos de Consumo Dados Residenciais Educação e Treinamento Profissão e Emprego Registro/Gravações de vídeo, imagem e voz | Dados que revelam origem racial ou étnica Dados que revelam convicção religiosa Dados que revelam opinião política Dados que revelam filiação a sindicato Dados que revelam filiação a organização de caráter religioso Dados que revelam filiação ou crença filosófica Dados que revelam filiação ou preferências política Dados referentes à saúde ou à vida sexual Dados genéticos Dados biométricos |
TIPOS | |
DADOS PESSOAIS | DADOS PESSOAIS SENSÍVEIS |
Nome Data de nascimento Endereço residencial Identificadores nacionais (por exemplo, CPF, RG, nº de passaporte) Endereço de e-mail pessoal Número do telefone pessoal Fotografia ou vídeo identificado a uma pessoa natural Contas de serviços públicos Salários dos empregados e arquivos dos recursos humanos Perfil financeiro Extratos de cartão de crédito Número do cliente Conta bancária ou número de cartão de crédito Localização fornecida por sistemas de telecomunicação Trajetória no GPS Posição no GPS Endereço IP Condenações criminais ou delitos cometidos Alegações de conduta criminosa Relatórios de investigação criminal Número de identificação pessoal (PIN) ou senha Perfil pessoal ou comportamental Preferências de produtos ou serviços Interesses pessoais derivados do rastreamento do uso de websites | Origem étnica ou racial Crenças religiosas ou filosóficas Orientação sexual Filiação sindical Histórico médico Gênero Contas médicas Informação de diagnóstico de saúde Deficiências Identificador biométrico Qualquer informação coletada durante serviços de saúde Idade ou necessidades especiais de pessoas naturais vulneráveis |
Fontes: Lei 13.709/2018; Norma ABNT NBR ISO/IEC 29100:2020; e Guia de Inventário de Dados Pessoais do Governo Federal.