Acerca de gestão de riscos e continuidade de negócio, julgue o item a seguir, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).

Conforme a LGPD, o dado pessoal relativo a origem racial ou étnica, bem como a convicção religiosa e opinião política, é classificado como dado pessoal anonimizado.

Essa questão explora a diferença entre dado pessoal sensível e dado anonimizado, dois conceitos cruciais definidos no Art. 5º da LGPD. Confundir esses termos é um erro comum que as bancas exploram.

Vamos às definições do Art. 5º:

Inciso I – dado pessoal:

“informação relacionada a pessoa natural identificada ou identificável;” Qualquer informação que permita identificar, direta ou indiretamente, uma pessoa natural.

Inciso II – dado pessoal sensível:

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;” Estes são dados que, por sua natureza, podem gerar discriminação ou exigir maior proteção. A lista é taxativa na lei.

Inciso III – dado anonimizado:

“dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;” Um dado anonimizado é aquele que perdeu a possibilidade de ser associado a um indivíduo, por meio de técnicas de anonimização (Art. 5º, XI).

A afirmação da questão lista exemplos de dados que a LGPD classifica expressamente como dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política) e os chama de “dado pessoal anonimizado”. Isso está completamente incorreto.

Um dado anonimizado não permite a identificação do titular. Dados sensíveis, por outro lado, são dados sobre um titular identificado ou identificável, mas que exigem um tratamento mais rigoroso devido à sua natureza (Art. 11).