Os dados sensíveis na LGPD precisam de um tratamento diferenciado, já que podem causar restrições ou discriminação a um indivíduo. Por conta disso, as empresas precisam estar especialmente preparadas para protegê-los.
Para compreender melhor o assunto e garantir a conformidade da sua empresa com as regras da LGPD, o blog da DPO Expert preparou este artigo sobre o que são dados sensíveis e a importância deles. Continue lendo para saber mais!
Dados pessoais: como a LGPD os define?
De acordo com a LGPD, consideram-se dados pessoais todas as informações que permitem a identificação de uma pessoa, de forma direta ou indireta. Por exemplo:
- RG ou CPF;
- gênero;
- data e local de nascimento;
- telefone;
- endereço residencial ou profissional;
- cartão bancário;
- prontuário de saúde;
- fotografias;
- renda ou histórico de pagamentos.
No contexto digital, ainda há outros dados que também são considerados pessoais. Entre eles, podemos citar informações sobre hábitos de consumo, localização via GPS, preferências de lazer e compras e endereços de IP.
A identificação de alguém por meio de dados pessoais pode ser direta ou indireta. A direta é quando, com apenas uma informação, é possível identificar a pessoa. Por exemplo, quando um cliente fornece seu celular ou CPF para uma compra física ou virtual.
Já a indireta utiliza dados como empresa, idade e profissão, por exemplo. Essas informações separadamente não identificam ninguém. Então, é necessário combiná-las com outros dados para poder identificar o titular.
Então, o que são os dados pessoais sensíveis na LGPD?
No caso dos dados pessoais sensíveis da LGPD, eles são definidos como informações que possam gerar maior risco de discriminação ao titular. Os exemplos dessas informações estabelecidos na LGPD são:
- origem racial ou étnica;
- convicção religiosa;
- opinião política;
- filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- dados referentes à saúde ou vida sexual;
- dado genético ou biométrico.
Qual a diferença entre o tratamento de dados pessoais e de dados pessoais sensíveis?
Após entender o que são, é necessário saber qual a diferença entre dados pessoais e dados sensíveis e distinguir seu tratamento. O primeiro ponto é que dentro da categoria “dado pessoal”, estão também os dados pessoais sensíveis. Ou seja, o dado pessoal sensível é uma subcategoria mais específica.
O tratamento de dados pessoais sensíveis, segundo a LGPD, exige cautelas ainda maiores, uma vez que são informações sobre o indivíduo que podem proporcionar diferentes tipos de discriminação. O objetivo é evitar consequências graves ou irreversíveis aos direitos e liberdades fundamentais dos titulares de dados pessoais.
Bases legais para o tratamento de dados pessoais e dados pessoais sensíveis
O artigo 7º da LGPD determina que qualquer atividade de tratamento de dados pessoais precisa ter uma base legal, ou hipótese de tratamento, para que seja permitida. A limitação das hipóteses de tratamento de dados visam garantir que estas informações sejam utilizadas apenas para propósitos legítimos. Afinal, a proteção de dados pessoais é um direito fundamental e deve ser observado.
O artigo 7º da LGPD traz dez possibilidades para o tratamento de dados pessoais convencionais. Já para o tratamento de dados sensíveis, o artigo 11 traz apenas oito bases legais, sendo que algumas destas hipóteses são diferentes e mais restritivas do que aquelas dos dados pessoais comuns.
O que é considerado tratamento desses dados pela LGPD?
De acordo com a LGPD, entende-se por tratamento qualquer operação realizada com dados pessoais. Isso significa que diversos procedimentos são classificados dessa maneira, entre eles:
- coleta;
- produção;
- recepção;
- classificação;
- utilização;
- acesso;
- reprodução;
- transmissão;
- distribuição;
- processamento;
- arquivamento;
- armazenamento;
- eliminação;
- avaliação;
- outras atividades.
Dessa forma, atividades corriqueiras como o cadastro de cliente, a geração de folha de pagamentos, o envio de cobrança para instituições financeiras são algumas das atividades que configuram tratamento de dados pessoais.
Quais as principais regras definidas pela LGPD?
Devido à complexidade do assunto, a LGPD determina que toda empresa que realize operações de tratamento de dados pessoais indique um profissional responsável. No caso, ele é conhecido como Data Protection Officer (DPO) ou Encarregado.
A função dele é implantar e reforçar a cultura de proteção de dados pessoais na empresa. Além disso, ele serve de elo entre o controlador, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares de dados pessoais.
Assim, o DPO é responsável por receber reclamações e comunicações dos titulares de dados pessoais e da ANPD. Ele deve orientar os colaboradores e contratados da empresa a respeito das melhores práticas em relação à proteção de dados pessoais e segurança da informação.
Apesar da ANPD (Autoridade Nacional de Proteção de Dados) ter dispensado algumas empresas de pequeno porte da necessidade de nomear um DPO, não foi concedida isenção para o cumprimento da LGPD. Assim, mesmo empresas de pequeno porte têm optado pela contratação do DPO para garantir o cumprimento das demais obrigações estabelecidas pela LGPD.
Como fazer o tratamento dos dados pessoais sensíveis de acordo com a LGPD?
No caso dos dados pessoais sensíveis da LGPD, o artigo 11 da lei estabelece que o tratamento poderá acontecer apenas em situações extremamente específicas. A primeira delas, e com destaque, é a base legal do consentimento.
Neste caso o tratamento de dados pessoais sensíveis só poderá ocorrer mediante consentimento do titular ou responsável legal. Isso deve ocorrer de forma específica e destacada, para finalidades pontuais.
A LGPD traz outras hipóteses para o tratamento de dados pessoais sensíveis além do consentimento. Entre elas, estão o cumprimento de obrigação legal ou regulatória, exercício regular de direitos, proteção da vida e garantia de prevenção à fraude e à segurança do titular.
O DPO as a service é necessário para auxiliar na identificação de processos que tratem dados sensíveis na LGPD e suas bases legais. Ele é responsável por orientar as melhores práticas sobre o tratamento.
Soluções para empresas atenderem às exigências da LGPD
A legislação também traz algumas orientações sobre quais medidas precisam ser tomadas para que o tratamento de dados pessoais e sensíveis tenha adequação à LGPD. Elas devem ser observadas para garantir a aderência à legislação.
- aplicar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer tratamento inadequado ou ilícito;
- reforçar o controle de acesso às informações, permitindo o acesso apenas por pessoas específicas da empresa que precisem e estejam autorizadas a tratar dados pessoais;
- identificar e registrar os dados pessoais tratados e as finalidades e bases legais do tratamento dessas informações de forma bastante clara e detalhada.
Ao adotar essas e outras medidas, sua empresa pode ficar tranquila em relação ao tratamento de dados pessoais convencionais ou de dados sensíveis na LGPD. Assim, evitam-se multas e outros problemas.
Conte com a DPO Expert para cuidar dos dados pessoais e sensíveis na LGPD!
Depois de saber mais sobre os dados sensíveis na LGPD, que tal contar com profissionais de diferentes especializações? A DPO Expert é capaz de atender todo o escopo de dados pessoais e dados sensíveis. Entre em contato conosco e conte com nossos profissionais especializados!