Dados sensíveis na LGPD: riscos, bases legais e cuidados
Quando se fala em tratamento de dados pessoais conforme a LGPD (Lei Geral de Proteção de Dados), deve-se diferenciar qual o tipo de dado pessoal objeto de tratamento. Para os chamados dados pessoais sensíveis, há um regime jurídico diferenciado. Neste texto, vamos falar sobre o tratamento desta categoria especial de dados pessoais e os riscos e cuidados que os envolvem.
Confira neste artigo!
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
O que são dados pessoais sensíveis
Antes de falarmos sobre dados sensíveis, é importante relembrarmos dois conceitos básicos da LGPD: dado pessoal e tratamento de dados pessoais.
Dado pessoal é qualquer informação que identifique ou que permita identificar uma pessoa (ex. nome, CPF, e-mail, idade, foto ou profissão). Da mesma forma, fragmentos de informação que, juntos, permitam identificar uma pessoa física também são considerados dados pessoais.
Já tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso, classificação e descarte. Importante destacar que a LGPD aplica-se tanto o tratamento de dados realizado em meio virtual quanto físico.
Dentro do conjunto do que pode ser identificado como dado pessoal, há a categoria denominada dado pessoal sensível.
Tratam-se de informações, assim denominadas pela legislação, relacionadas a situações de vulnerabilidade e discriminação, exigindo um regime jurídico diferenciado e mais reforçado.
Na definição adotada pela LGPD, dados pessoais sensíveis são dados relativos a:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- Dado referente à saúde ou à vida sexual;
- Dado genético ou biométrico.
Se a sua organização trata qualquer tipo de dado sensível ou está avaliando a necessidade de realizar alguma operação de tratamento que tenha por objeto dados pessoais sensíveis, fique atento aos riscos e cuidados que vamos mencionar a seguir.
Riscos envolvendo o tratamento de dados pessoais sensíveis
Toda empresa que trata dados pessoais é responsável por garantir que o tratamento seja feito de acordo com as regras e princípios da LGPD.
Por ser a parte mais interessada no tratamento de dados, é a organização que responde por qualquer tipo de dano, violação ou desacordo à legislação. Assim, pode sofrer sanções administrativas ou mesmo ações judiciais e danos de ordem reputacional.
Portanto, tratar dados é assumir riscos. Na prática, quanto mais dados pessoais a organização trata e quanto mais sensíveis são esses dados, maior é a responsabilidade. Por consequência, a cobrança também é maior, assim como as sanções em casos de erros e falhas.
É fundamental ter isso em mente ao tratar ou cogitar o tratamento de dados sensíveis. Considerando o risco que eles representam para a organização e para o próprio titular caso sejam expostos ou utilizados de forma indevida, dados sensíveis só devem ser tratados em caso de real necessidade.
Para citar um exemplo, imagine um cenário comum: a sua empresa sofre um ataque ransomware, em que o hacker sequestra dados de seus clientes e colaboradores e ameaça expô-los na internet caso não seja pago um resgate. Já pensou nas repercussões que um incidente como esse pode ter caso esses dados contenham, digamos, informações de saúde dos colaboradores?
Se os danos ocasionados por um vazamento de dados “comuns” já são potencialmente irreparáveis, o estrago será ainda maior caso esses dados contenham informações sensíveis.
Bases legais para o tratamento de dados
Para realizar o tratamento de dados pessoais em conformidade com a legislação, as organizações devem atender aos requisitos para o tratamento, que são denominados de bases legais da LGPD.
Não à toa, as bases legais para o tratamento de dados “comuns” e de dados sensíveis não são as mesmas. A LGPD estabelece um regime jurídico diferenciado ao tratamento de dados sensíveis com um conjunto de bases legais mais restritivas.
Ou seja, a hipótese usada pela empresa para tratar dados “comuns” pode não ser a mesma usada para justificar o tratamento de dados sensíveis.
Hipóteses para o tratamento de dados sensíveis
A organização deve fazer uma análise jurídica cuidadosa para garantir que o tratamento esteja enquadrado em uma das hipóteses abaixo:
- Consentimento do titular ou responsável legal, que deve ser fornecido de forma específica e destacada, para finalidades específicas.
Ou, sem fornecimento do consentimento do titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde;
- Garantia da prevenção à fraude e à segurança do titular.
Se o tratamento não se enquadra em nenhuma das hipóteses acima, ele é considerado ilegal. Neste caso, a empresa fica sujeita a sanções administrativas por parte da ANPD (a partir de agosto de 2021) e à possibilidade de ações judiciais por parte dos titulares e de órgãos como o Ministério Público.
Como lidar com o tratamento de dados sensíveis
Agora você já conhece os riscos envolvendo o tratamento de dados sensíveis e em quais hipóteses eles podem ser tratados. Na prática, no entanto, a avaliação do tratamento de dados sensíveis nem sempre é simples.
Em muitas empresas e organizações não há necessidade real de coletar dados sensíveis. Ainda assim, na hora de fazer um mapeamento de dados é comum identificar que o tratamento ocorre.
Portanto, o primeiro passo para esse ponto da adequação à LGPD é fazer um mapeamento de dados completo. Somente ele vai mostrar se de fato algum dado sensível é ou não tratado pela empresa. Se não ocorrer tratamento de dados sensíveis, ótimo. É um fator a menos de risco.
O segundo passo é identificar se o tratamento do dado sensível é de fato necessário.
Para isto, deve ser feita uma análise crítica dos processos internos da organização. É preciso identificar a finalidade do tratamento dos dados pessoais e se estes são de fato necessários ao atendimento da finalidade identificada.
Nesta análise, é possível que a empresa conclua pela redução de dados pessoais tratados simplesmente pela sua desnecessidade. Isso é importante para minimizar riscos e também para que a empresa se enquadre no princípio da necessidade, estabelecido pela LGPD.
Esse princípio determina a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Portanto, o tratamento de dados pessoais desnecessários acarreta numa responsabilidade desnecessária à organização.
Além disso, a organização deve atuar para proteger o dado sensível com ainda mais rigor. Assim, evita o risco de acessos indevidos, perda e vazamento de dados.
Processos práticos específicos para dados sensíveis
Resumindo, a empresa deve adotar processos específicos para o tratamento de dados sensíveis, incluindo medidas como:
- Ter total controle e visibilidade sobre os dados sensíveis coletados, sua finalidade e real necessidade;
- Restringir ao máximo o acesso ao dado sensível;
- Reforçar o controle desse acesso;
- Adotar medidas extras de segurança da informação para evitar que os dados sejam expostos;
- Estar preparado a demonstrar à ANPD, a qualquer momento, que o tratamento de dados sensíveis é justificado e segue as premissas da lei.
Adeque-se à LGPD com a consultoria da Get Privacy
O processo de adequação à LGPD engloba uma série de cuidados e pontos de atenção. Não há caminho único à conformidade. Assim, para garantir que ele seja executado da melhor maneira possível, o mais indicado é que a organização conte com uma assessoria especializada.
Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.
Comece já sua adequação à LGPD
A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.
CONFIRA
OUTROS POSTS