LGPD Comentada #03: O vocabulário da LGPD — 19 definições que você precisa dominar
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Antes de aplicar qualquer regra da LGPD, é preciso falar a mesma língua que a lei. O Art. 5º é o glossário oficial: dezenove definições que delimitam o que é dado pessoal, quem são os agentes responsáveis, o que significa tratar dados e quais instrumentos a lei prevê. Errar uma definição — confundir controlador com operador, tratar dado anonimizado como se fosse pessoal, ou ignorar que "tratamento" inclui o simples armazenamento — pode invalidar bases legais, contratos e até defesas administrativas perante a ANPD.
Este post transcreve e comenta cada um dos 19 incisos do Art. 5º, agrupados em quatro blocos lógicos. Ao final, abordamos duas confusões frequentes — dado anonimizado vs. pseudonimizado e controlador vs. operador — com base no Guia Orientativo da ANPD e em casos concretos.
Bloco 1 — Os dados: pessoal, sensível e anonimizado
I — Dado pessoal
Art. 5º, I — "dado pessoal: informação relacionada a pessoa natural identificada ou identificável;"
A definição é propositalmente ampla. Não se limita a nome, CPF ou e-mail. Qualquer informação que permita identificar direta ou indiretamente uma pessoa natural é dado pessoal: endereço IP, geolocalização, cookies de navegação, número de matrícula, placa de veículo vinculada a proprietário, registro de ponto biométrico.
Na prática: O critério decisivo é a identificabilidade. Se a organização consegue, por meios razoáveis, vincular a informação a uma pessoa, trata-se de dado pessoal — mesmo que o dado, isoladamente, pareça inofensivo. Um número de protocolo de atendimento, por si só, não identifica ninguém; mas se o sistema da empresa permite consultar o titular a partir desse número, ele se torna dado pessoal naquele contexto.
II — Dado pessoal sensível
Art. 5º, II — "dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;"
São sete categorias taxativas. A lógica subjacente é o potencial discriminatório: dados que, se expostos, podem causar discriminação, estigma ou dano desproporcional ao titular. Por isso, o Art. 11 restringe as bases legais disponíveis para seu tratamento — e exclui, por exemplo, o legítimo interesse.
Na prática: Atenção ao dado que, mesmo não listado literalmente, revela informação sensível por inferência. Uma lista de medicamentos comprados por um colaborador revela dados de saúde. O cadastro em um aplicativo de namoro entre pessoas do mesmo sexo pode revelar orientação sexual. A análise deve ser funcional: o dado permite inferir alguma das sete categorias? Se sim, trate-o como sensível.
Para análise detalhada das bases legais e cuidados operacionais com dados sensíveis, consulte Dados sensíveis na LGPD: bases legais e cuidados essenciais.
III — Dado anonimizado
Art. 5º, III — "dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;"
O dado anonimizado, por definição, não é dado pessoal (Art. 12, caput). A LGPD não se aplica a ele — desde que a anonimização seja efetiva. O ponto crítico está na expressão "meios técnicos razoáveis": o Art. 12, §1º esclarece que a razoabilidade considera fatores como custo, tempo e tecnologias disponíveis para reverter o processo.
Se a anonimização puder ser revertida com esforço razoável, o dado volta a ser pessoal e toda a LGPD se aplica.
Anonimização vs. pseudonimização — uma distinção essencial:
A LGPD define pseudonimização no Art. 13, §4º: é o tratamento pelo qual um dado perde a possibilidade de associação direta ou indireta a um indivíduo, exceto pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
A diferença é estrutural:
| Característica | Anonimização | Pseudonimização |
|---|---|---|
| Reversibilidade | Irreversível (por meios razoáveis) | Reversível (com a chave separada) |
| Dado pessoal? | Não (Art. 12) | Sim — a LGPD se aplica integralmente |
| Exemplo | Agregação estatística sem possibilidade de individualizar | Substituir CPF por código, mantendo tabela de correspondência |
Na prática: Muitas organizações acreditam que estão anonimizando dados quando, na verdade, estão apenas pseudonimizando. Se existe uma chave de correspondência ou tabela de-para que permita a reidentificação, o dado continua sendo pessoal. Pseudonimização é uma medida de segurança válida e incentivada pela lei, mas não isenta a organização das obrigações da LGPD.
Para aprofundamento técnico, consulte Anonimização e pseudonimização de dados.
Bloco 2 — Infraestrutura: banco de dados
IV — Banco de dados
Art. 5º, IV — "banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;"
Três elementos merecem destaque. Primeiro, o banco pode estar distribuído em vários locais — um CRM na nuvem, uma planilha no computador local e um arquivo físico no departamento de RH formam, juntos, o banco de dados da organização para fins da LGPD. Segundo, suporte físico está incluído: fichas cadastrais em papel, prontuários manuscritos e arquivos de contratos são bancos de dados pessoais. Terceiro, o banco precisa ser estruturado — dados pessoais em texto corrido de um documento, sem organização que permita busca ou indexação, não se enquadram nesta definição (embora os dados em si continuem sendo dados pessoais).
Na prática: Ao realizar o inventário de dados, não se limite aos sistemas de TI. Inclua armários de documentos, pastas físicas de contratos, fichas de visitantes na portaria e qualquer outra estrutura organizada que contenha dados pessoais.
Bloco 3 — Agentes e papéis
V — Titular
Art. 5º, V — "titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;"
O titular é sempre uma pessoa natural (pessoa física). Dados de pessoa jurídica — CNPJ, razão social, endereço da sede — não são dados pessoais na acepção da LGPD. Porém, dados de representantes, sócios ou funcionários de uma pessoa jurídica são dados pessoais de seus respectivos titulares.
Na prática: Em relações B2B, é comum tratar dados de contatos comerciais (nome, e-mail, telefone do representante). Esses são dados pessoais do representante, não da empresa. A base legal e as obrigações da LGPD se aplicam em relação a esse indivíduo.
VI — Controlador
Art. 5º, VI — "controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;"
O controlador é quem decide: define a finalidade (por que tratar), os meios essenciais (quais dados, por quanto tempo, com quem compartilhar) e assume a responsabilidade primária perante o titular e a ANPD. Pode ser pessoa física (um profissional liberal, por exemplo) ou jurídica (empresa, órgão público, associação).
O Guia Orientativo da ANPD sobre Agentes de Tratamento (versão 2.0, de abril de 2022) reforça que a identificação do controlador deve ser funcional, baseada em quem efetivamente toma as decisões sobre o tratamento — e não apenas em como as partes se autodenominam contratualmente. Um contrato pode chamar uma parte de "operador", mas se essa parte decide finalidades e meios essenciais, ela é, na prática, controladora.
VII — Operador
Art. 5º, VII — "operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;"
O operador executa o tratamento conforme as instruções do controlador. Ele não decide sobre a finalidade nem sobre os meios essenciais — atua sob orientação, como um agente subordinado no que tange às decisões sobre o tratamento.
Controlador vs. operador — a confusão mais comum da LGPD:
Na prática, a distinção é menos óbvia do que a lei sugere. Um prestador de serviços de folha de pagamento, por exemplo, pode ser operador (processa dados dos colaboradores conforme instruções do empregador-controlador) ou controlador conjunto (se define autonomamente parte dos meios ou finalidades do tratamento, como retenção de dados para auditoria própria).
O Guia da ANPD propõe um teste funcional baseado em três perguntas:
- Quem decide a finalidade do tratamento? Se a empresa decide por que os dados são tratados, ela é controladora.
- Quem define os meios essenciais? Tipo de dados, duração do tratamento, categorias de titulares e destinatários são decisões do controlador.
- Quem define os meios não essenciais? Ferramentas técnicas, plataformas e medidas de segurança operacionais podem ser definidas pelo operador sem que isso altere sua qualificação.
Exemplo prático: Uma empresa (controladora) contrata um provedor de cloud para armazenar dados de clientes. O provedor é operador: armazena e processa conforme instruções da empresa. Mas se o provedor utiliza esses dados para treinar seus próprios algoritmos ou para oferecer serviços adicionais não autorizados, ele está tomando decisões sobre finalidade — e passa a ser controlador em relação a esse tratamento adicional.
Controladoria conjunta — o Guia da ANPD reconhece essa figura quando dois ou mais controladores determinam conjuntamente (ou de forma convergente) as finalidades e os elementos essenciais do tratamento. Exemplo: um hospital e uma operadora de plano de saúde que compartilham dados de pacientes para finalidades comuns. Nesse caso, ambos são controladores e devem definir, por meio de acordo, suas respectivas responsabilidades.
Para mais sobre a gestão da relação controlador-operador, consulte Gestão de fornecedores na LGPD: controladores e operadores.
VIII — Encarregado
Art. 5º, VIII — "encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);"
O encarregado — frequentemente chamado de DPO (Data Protection Officer) — é o ponto de contato entre a organização, os titulares e a ANPD. A LGPD o posiciona como figura obrigatória tanto para controladores quanto para operadores, embora a Resolução CD/ANPD nº 2/2022 dispense agentes de tratamento de pequeno porte dessa obrigação.
A Resolução CD/ANPD nº 18, de 16 de julho de 2024, regulamentou em detalhe a atuação do encarregado: exige nomeação por ato formal, divulgação pública da identidade e contato, garantia de independência e autonomia no exercício da função, e acesso ao nível hierárquico mais alto da organização. Não há exigência de formação específica, e o encarregado pode acumular funções — desde que não haja conflito de interesses.
Na prática: O encarregado não é um cargo decorativo. Ele deve ter acesso real à alta direção, conhecer as operações de tratamento da organização e ser o primeiro ponto de contato quando um titular exerce seus direitos ou quando a ANPD solicita informações. A ausência de encarregado nomeado foi uma das infrações identificadas no caso Telekall Infoservice — a primeira sanção aplicada pela ANPD ao setor privado, em julho de 2023.
Para orientações sobre como estruturar o cargo, consulte DPO na prática: como nomear e estruturar o encarregado.
IX — Agentes de tratamento
Art. 5º, IX — "agentes de tratamento: o controlador e o operador;"
A definição é simples, mas tem consequência prática direta: quando a lei se refere a "agentes de tratamento", está falando tanto do controlador quanto do operador. Obrigações endereçadas aos "agentes" — como as de segurança (Art. 46) e boas práticas (Art. 50) — vinculam ambas as figuras, cada uma na medida de sua participação no tratamento.
Bloco 4 — Operações e instrumentos
X — Tratamento
Art. 5º, X — "tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;"
A definição é exaustivamente ampla — e isso é intencional. Qualquer coisa que se faça com um dado pessoal é tratamento. Coletar é tratar. Armazenar sem usar é tratar. Transmitir para um terceiro é tratar. Excluir do banco é tratar. Apenas olhar um dado pessoal na tela (acesso) já é tratamento.
Na prática: Isso significa que não existe operação com dados pessoais que escape da LGPD. Mesmo a eliminação de dados deve observar os requisitos legais (Art. 16). Organizações que acreditam "não tratar dados pessoais porque apenas armazenam" estão equivocadas: armazenamento é listado expressamente como forma de tratamento.
XI — Anonimização
Art. 5º, XI — "anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde, de forma irreversível, a possibilidade de associação, direta ou indireta, a um indivíduo;"
A anonimização é o processo técnico; o dado anonimizado (inciso III) é o resultado. O ponto-chave é a irreversibilidade: se o processo pode ser revertido com esforço razoável, não houve anonimização efetiva.
Técnicas comuns incluem generalização (substituir idade exata por faixa etária), supressão (remover campos identificadores), perturbação (adicionar ruído estatístico) e agregação (apresentar apenas totais de grupos). A escolha da técnica deve considerar o risco de re-identificação: estudos demonstram que, com apenas três variáveis (data de nascimento, sexo e CEP), é possível re-identificar parcela significativa de uma base supostamente anonimizada.
O Art. 12, §3º atribui à ANPD competência para dispor sobre padrões e técnicas de anonimização e verificar sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais — regulamentação ainda pendente.
XII — Consentimento
Art. 5º, XII — "consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;"
Quatro requisitos cumulativos: livre (sem coerção ou condicionamento indevido), informado (o titular sabe o que está autorizando), inequívoco (não há dúvida sobre a concordância) e para finalidade determinada (não vale autorização genérica). O Art. 8º detalha os requisitos formais; o Art. 9º assegura o direito à informação completa.
Na prática: Consentimento obtido por meio de caixas pré-marcadas, termos genéricos enterrados em políticas extensas ou condicionado à prestação de um serviço não essencial é viciado e, portanto, inválido. A ANPD, em seu Guia Orientativo sobre Cookies e Proteção de Dados Pessoais, reforçou que o consentimento deve ser granular e revogável com a mesma facilidade com que foi concedido.
XIII — Bloqueio
Art. 5º, XIII — "bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;"
O bloqueio é uma medida intermediária: o dado não é eliminado, mas fica indisponível para qualquer operação de tratamento. É utilizado quando há disputa sobre a legitimidade do tratamento, quando o titular contesta a exatidão dos dados ou quando a ANPD determina a suspensão do tratamento como medida preventiva.
Na prática: Implementar bloqueio exige controles técnicos que impeçam o acesso ao dado bloqueado por qualquer sistema ou usuário, mantendo-o armazenado apenas para eventual necessidade futura (liberação ou eliminação). Um campo de status no banco de dados ("bloqueado") não basta se os sistemas continuam acessando o dado normalmente.
XIV — Eliminação
Art. 5º, XIV — "eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;"
Eliminação é a remoção definitiva. A expressão "independentemente do procedimento empregado" indica que a lei não exige método técnico específico — mas a eliminação deve ser efetiva. Apagar o registro no sistema principal sem eliminar backups, réplicas e logs pode não configurar eliminação completa.
Na prática: A política de retenção e descarte deve mapear todos os locais onde o dado é armazenado (produção, backup, disaster recovery, data lake, logs) e garantir que a eliminação alcance todos eles dentro dos prazos definidos.
XV — Transferência internacional de dados
Art. 5º, XV — "transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou para organismo internacional do qual o país seja membro;"
A simples hospedagem de dados em servidor localizado no exterior já pode configurar transferência internacional. O Art. 33 lista as hipóteses em que essa transferência é permitida — incluindo países com nível adequado de proteção reconhecido pela ANPD, cláusulas contratuais padrão e consentimento específico do titular.
Na prática: Empresas que utilizam provedores de cloud com data centers fora do Brasil (AWS, Google Cloud, Azure) precisam verificar se há transferência internacional de dados pessoais e, em caso positivo, qual mecanismo legal a ampara. A ANPD tem avançado na regulamentação dessa matéria, com a publicação do Regulamento de Transferências Internacionais.
XVI — Uso compartilhado de dados
Art. 5º, XVI — "uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;"
A definição é densa, mas o conceito central é: qualquer forma de comunicar, difundir ou transferir dados pessoais entre entidades — sejam públicas ou privadas — constitui uso compartilhado. O Art. 26 detalha as regras para compartilhamento pelo poder público, e o Art. 27 veda a comunicação com empresas privadas para fins econômicos, salvo exceções.
Na prática: Antes de compartilhar dados pessoais com qualquer terceiro, a organização deve documentar: (a) a finalidade do compartilhamento, (b) a base legal que o autoriza, (c) as medidas de segurança aplicáveis e (d) as responsabilidades de cada parte — preferencialmente por meio de um DPA (Data Processing Agreement) ou cláusulas contratuais específicas.
XVII — Relatório de impacto à proteção de dados pessoais
Art. 5º, XVII — "relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;"
O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é o equivalente brasileiro do DPIA (Data Protection Impact Assessment) europeu. O Art. 38 permite que a ANPD determine sua elaboração, especialmente quando o tratamento é baseado em legítimo interesse. O Art. 10, §3º prevê a possibilidade de a ANPD solicitar o RIPD quando o tratamento se fundamenta nessa base legal.
Na prática: Embora a ANPD ainda não tenha regulamentado integralmente o RIPD, boas práticas recomendam elaborá-lo sempre que houver: tratamento de dados sensíveis em larga escala, monitoramento sistemático de titulares, decisões automatizadas com efeitos significativos, ou transferência internacional sem base em adequação.
XVIII — Órgão de pesquisa
Art. 5º, XVIII — "órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;"
A definição é restritiva: exclui empresas com fins lucrativos e entidades estrangeiras. Para que uma organização se qualifique como órgão de pesquisa, é necessário que a pesquisa conste expressamente em sua missão institucional ou objetivo social.
Na prática: Uma empresa de tecnologia que realiza pesquisas internamente não se qualifica como órgão de pesquisa na acepção da lei. Ela não pode invocar as bases legais reservadas a esses órgãos (Art. 7, IV e Art. 11, II, c). A qualificação exige que a pesquisa seja a atividade-fim, não uma atividade acessória.
XIX — Autoridade nacional
Art. 5º, XIX — "autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;"
A ANPD (Autoridade Nacional de Proteção de Dados) foi criada pela Lei 13.853/2019 (que alterou a LGPD) e transformada em autarquia de natureza especial pela Lei 14.460/2022. Sua natureza de autarquia especial garante independência decisória, autonomia financeira e ausência de subordinação hierárquica — requisitos essenciais para que a autoridade possa fiscalizar inclusive órgãos do próprio governo federal.
Na prática: A ANPD concentra funções normativa, fiscalizatória e sancionadora. Ela publica guias orientativos, resoluções, notas técnicas e aplica sanções que vão de advertência a multa de até 2% do faturamento (limitada a R$ 50 milhões por infração). Desde 2023, a ANPD tem exercido ativamente suas competências sancionadoras — o caso Telekall Infoservice, com multa de R$ 14,4 mil por ausência de base legal e descumprimento de obrigações, inaugurou a atuação punitiva da autoridade no setor privado.
Definições ampliadas pela ANPD via regulamentação
O Art. 5º estabelece as definições-base, mas a ANPD tem ampliado e detalhado vários conceitos por meio de regulamentação complementar:
| Conceito | Regulamentação da ANPD | O que acrescentou |
|---|---|---|
| Controlador e operador | Guia Orientativo dos Agentes de Tratamento, v2.0 (abril/2022) | Critérios funcionais de identificação, controladoria conjunta, suboperador, fluxograma decisório |
| Encarregado | Resolução CD/ANPD nº 18/2024 | Nomeação formal, independência, acesso à alta direção, acúmulo de funções |
| Agente de pequeno porte | Resolução CD/ANPD nº 2/2022 | Definição de microempresas, startups, ONGs e pessoas naturais como agentes de pequeno porte, com obrigações simplificadas |
| Tratamento de alto risco | Regulamento de Dosimetria (Resolução CD/ANPD nº 4/2023) | Critérios para classificar operações de tratamento por nível de risco, impactando cálculo de sanções |
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, merece atenção especial. Ela criou a figura do agente de tratamento de pequeno porte — conceito que não existe no texto do Art. 5º — e prevê obrigações simplificadas: registros de tratamento em formato simplificado, dispensa de nomeação de encarregado e prazo em dobro para atender requisições de titulares e comunicar incidentes de segurança. As simplificações, contudo, não se aplicam se o agente realiza tratamento de alto risco.
Erros mais comuns na aplicação das definições
| Erro | Consequência | Correção |
|---|---|---|
| Tratar dado pseudonimizado como anonimizado | Falsa exclusão da LGPD — obrigações descumpridas | Verificar se existe chave de reidentificação; se sim, é dado pessoal |
| Autodenominar-se "operador" para evitar responsabilidade de controlador | Classificação inválida; responsabilidade permanece | Aplicar teste funcional do Guia da ANPD: quem decide finalidade e meios essenciais? |
| Ignorar dados em suporte físico no inventário | Inventário incompleto; risco de não conformidade | Incluir fichas, prontuários, contratos em papel no mapeamento |
| Considerar que "apenas armazenar" não é tratamento | Operação sem base legal documentada | Armazenamento é expressamente listado no Art. 5º, X |
| Não nomear encarregado por considerar a obrigação opcional | Infração ao Art. 41 (verificar se há dispensa por pequeno porte) | Avaliar se a organização se enquadra na Resolução nº 2/2022; se não, nomear formalmente |
| Confundir controlador conjunto com relação controlador-operador | DPA inadequado; responsabilidades mal distribuídas | Analisar se ambas as partes definem finalidades; se sim, formalizar como controladores conjuntos |
Conclusão
O Art. 5º não é um glossário para ler uma vez e esquecer. Cada definição tem consequências operacionais: a amplitude do conceito de "tratamento" determina o que precisa de base legal; a distinção entre dado anonimizado e pseudonimizado define se a LGPD se aplica ou não; a classificação correta entre controlador e operador distribui responsabilidades, molda contratos e determina quem responde perante a ANPD.
A recomendação prática é direta: revise periodicamente as classificações da sua organização à luz dessas definições. O Guia Orientativo da ANPD sobre Agentes de Tratamento (versão 2.0, de abril de 2022) é leitura obrigatória para qualquer DPO ou profissional de compliance — especialmente o fluxograma decisório para identificação de controlador e operador.
No próximo post da série, analisamos o Art. 6º e os dez princípios que regem todo tratamento de dados pessoais — o tripé da minimização, a prevalência da boa-fé e como a ANPD tem interpretado esses princípios em suas decisões.
A Confidata mapeia automaticamente os papéis de controlador e operador no inventário de atividades de tratamento, com alertas para classificações inconsistentes e modelos de DPA integrados à gestão de fornecedores. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.