Sigilo de Dados
É imprescindível que a organização busque proteção contra “eventos de segurança da informação”, que podem ser conceituados como “a ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou falha de proteção, ou uma situação previamente desconhecida que possa ser relevante em termos de segurança”.
A informação pode ser gerada e manipulada de diversas formas: mensagens e arquivos eletrônicos, internet, meio impresso, verbal, entre outros, mas, independente da forma de manipulação, três aspectos que norteiam a segurança da informação devem ser garantidos. A CONFIDENCIALIDADE (a informação só deve ser acessível a quem tem a devida autorização); INTEGRIDADE (a informação deve manter-se inalterada desde sua geração ou alteração autorizada); e DISPONIBILIDADE (a informação deve estar sempre disponível às pessoas autorizadas).
A LGPD nos traz três categorias de dados e diferentes níveis de proteção.
Dado pessoal
A LGPD classifica como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável.
A pessoa natural não se trata apenas do contribuinte, mas também do servidor e do empregado público, pessoas físicas com as quais a administração pública se relaciona, e até mesmo os gestores públicos e demais representantes do povo com mandato eletivo. Assim, um grande número de identificadores constituem o dado pessoal, como o nome, o CPF, RG, informações sobre localização e assinaturas online. Praticamente toda informação coletada que seja capaz de identificar uma pessoa será considerado um dado pessoal nos moldes da LGPD.
Dado pessoal sensível
A LGPD definiu como dado pessoal sensível aquele dado pessoal “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico” de uma pessoa natural.
Ressalte-se que, no tratamento de dados pessoais sensíveis deve-se adotar um grau de proteção ainda mais restritivo.
Dado anonimizado
Quando existe um dado que não é capaz de identificar o seu titular, utilizando os meios técnicos razoáveis e disponíveis na ocasião do seu tratamento, ele é chamado de dado anonimizado. O dado anonimizado não será considerado dado pessoal para os fins da LGPD, salvo quando o processo de anonimização ao qual foi submetido for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido possibilitando a identificação de seu titular.