1. Banco de dados:
1.1. Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico
2. Pessoas:
2.1. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
2.1.1. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
2.1.1.1. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
2.1.1.1.1. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
3. Tipos de dados:
3.1. Dado pessoal:
3.1.1. informação relacionada a pessoa natural identificada ou identificável
3.1.1.1. Existe alguns pontos importantes e que merecem destaque nessa definição. A primeira é sobre a forma de identificação direta de uma pessoa e é fácil perceber que nome, CPF ou endereço identificam uma pessoa de uma forma direta. Quando a lei fala sobre informação identificável a complexidade já inicia porque podemos chegar à identificação de uma pessoa através, por exemplo, de um endereço IP (IP é uma sigla para Internet Protocol, ou Protocolo de Internet. O endereço de IP é uma sequência numérica que indica o local de onde um determinado equipamento (normalmente um computador) está conectado a uma rede privada, diretamente à Internet, ou o endereço do servidor pelo qual o dispositivo está se conectando à internet.). Como mostramos anteriormente no caso Marielle Franco, podemos identificar através de dados de GPS, hábitos de consumo e até mesmo através de cruzamento de dados.
3.1.2. Dado pessoal sensível:
3.1.2.1. Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
3.1.2.1.1. Dentro da definição de dados pessoais existe uma categoria em particular chamada dados pessoais sensíveis que são dados relacionados à característica de personalidade do indivíduo e suas escolhas pessoais, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a essa pessoa natural.
3.1.2.1.2. Organizações que realizam coleta de dados pessoais sensíveis precisam ter uma atenção ainda maior. A lei criou essa classe especial de dados por entender que o vazamento ou uso incorreto deles pode levar ao risco de exposição extrema ou risco à vida ou integridade da saúde. Assim, hospitais, clínicas e laboratórios serão algumas das principais atividades impactadas. Incidentes de segurança da informação com esses dados terá um peso maior na aplicação das sanções e por isso é importante validar se esses dados são realmente importantes.
3.1.3. Dado anonimizado:
3.1.3.1. Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
3.1.3.1.1. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo
3.1.4. Dado pseudonimizado
3.1.4.1. um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro
4. Tratamento de dados pessoais
4.1. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
4.1.1. E basta que apenas uma das condições possa acontecer para poder ser considerada o tratamento de dados pessoais, como por exemplo, ter uma base de dados armazenada mesmo que sem nenhum uso. A lei estabelece as hipóteses necessárias para que o tratamento de dados possa ocorrer. O detalhamento delas, a exemplo do consentimento ou o cumprimento de obrigação legal será abordado em conteúdos posteriores.
4.2. De crianças e adolescentes
4.2.1. Os dados relacionados a crianças e adolescentes estão classificados em na categoria de dados especiais, pois exige um tratamento diferenciado em termos de cuidado. A lei informa que o tratamento deverá ser realizado em seu melhor interesse, inclusive que o tratamento dessas informações deve ser feito com um consentimento ou pelo menos um dos pais ou responsável legal. As informações sobre o tratamento de dados devem ser fornecida de maneira simples clara e acessível, podendo quando adequado fazer uso de recursos audiovisuais. Além disso, a lei estabelece que deve se realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, considerando as tecnologias disponíveis.
4.3. Dados sensíveis:
4.3.1. Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.
4.4. Pelo Poder Público:
4.4.1. O objetivo do tratamento de dados pessoais pelo poder público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
4.4.1.1. Existem alguns requisitos para tratamento de dados pelo poder público. O primeiro é que deverá fornecer as informações sobre o tratamento de dados pessoais de forma clara e em veículos de fácil acesso preferencialmente em seus sites. O segundo requisito é que seja indicado um encarregado pela proteção de dados pessoais.