O que são dados sensíveis, de acordo com a LGPD

A LGPD

A Lei Geral de Proteção de Dados é a Lei nº 13.709, aprovada em agosto de 2018 no Brasil. Ela cria normas para a coleta e o tratamento de dados pelas empresas.

Seu objetivo é assegurar a privacidade e a proteção de dados pessoais e promover a transparência na relação entre pessoas físicas e jurídicas. 

A LGPD aplica-se a qualquer pessoa natural ou jurídica de direito público ou privada, que realize tratamento de dados pessoais, ou seja, que exerça atividade em que se utilizem dados pessoais (coleta, armazenamento, compartilhamento, exclusão) em meio digital e físico. 

Essa lei é extremamente abrangente incluindo a maior parte das atividades e dos projetos do cotidiano das organizações, envolvendo diversos processos como: Compliance, Desenvolvimento de Softwares, Legal, Financeiro, Gestão de Produtos, Inteligência de Mercado, Recursos Humanos, Serviço de Atendimento ao Cliente (SAC), entre outros.

De acordo com a LGPD, o que são dados sensíveis?

Conforme o Art. 5º, inciso II da LGPD, dados pessoais sensíveis são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

E quais são os casos em que o tratamento de dados sensíveis são permitidos?

Com base no art.11 da LGPD, o tratamento de dados pessoais sensíveis somente poderão ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019)

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

É permitido o compartilhamento de dados pessoais sensíveis?

Com base no § 4º do artigo 11, a LGPD  determina que a comunicação  ou o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica é vedado, e no caso específico de dados de saúde determina a vedação, exceto em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

E quais são as penalidades para o não cumprimento desta lei?

Caso a organização não esteja em conformidade com a LGPD e cometa algum tipo de infração a essa Lei, a empresa poderá receber:

1. advertência,
2. multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração,
3. multa diária,
4. publicação da infração após apurada e confirmada a sua ocorrência,
5. bloqueio do tratamento dos dados pessoais a que se refere a infração até a sua regularização, e/ou eliminação desses dados.
   

Quais são os danos provocados por vazamento de dados?

Os dados podem variar desde perda financeira, danos à reputação e imagem das pessoas que tiveram os seus dados vazados, assim como implicações legais e impactos diretos ao negócio da organização que deu origem ao vazamento de dados.

O  consentimento do titular dos dados pessoais pode ser dispensado!
Veja as situações:

O art. 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (inciso I, c.c. art. 7º, I) ou sem fornecimento de consentimento do titular, nas hipóteses especificadas (inciso II).

A LGPD só autoriza o tratamento de dados pessoais sensíveis sem o consentimento do titular se estes forem indispensáveis em situações ligadas a uma obrigação legal, a políticas públicas, à preservação da vida e da integridade física da pessoa, à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária e à prevenção de fraudes, entre outros. Por exemplo:

• Quando os dados forem indispensáveis para o controlador cumprir obrigações legais ou regulatórias;
• Quando o tratamento compartilhado de dados for necessário para a execução de políticas públicas;
• Para que os órgãos de pesquisa possam realizar estudos, sempre observando a anonimização de dados pessoais sensíveis, ou seja, não permitindo identificar um indivíduo;
• Para o exercício regular de direitos, incluindo contrato e processo judicial, administrativo e arbitral;
• Em caso de proteção da vida ou segurança física do titular dos dados ou de terceiros;
• Para tutela de saúde, em procedimentos que devem ser realizados por profissionais ou serviços de saúde/autoridade sanitária;
• Para garantir que o titular dos dados esteja seguro e prevenido de fraudes, sempre observando o direito à informação e transparência garantido pela lei (exceto em casos onde a proteção dos dados seja fundamental para garantir direitos e liberdades).

Como tratar os dados sensíveis de forma segura e em conformidade com o LGPD?

1- Entenda todos os processos da organização e identifique quais são os riscos e não conformidades em cada um dos processos. Identifique todos os fornecedores e quais dados são compartilhados com os mesmos;

2- Defina um contrato com a sua cadeia de fornecedores, com o objetivo de garantir a aplicação dos controles de cibersegurança e obrigações legais definidas na LGPD;

3- Implemente processos de cibersegurança na organização, como gestão dos acessos e identidades, gestão de incidentes de cibersegurança, gestão de vulnerabilidades, sensibilização dos colaboradores, entre outras práticas definidas pela ENISA (European Union Agency for Cybersecurity), ISO/IEC 27.0001:2013, NIST (National Institute of Standards and Technology) e CERT (Computer Emergency Response Teams);

4- Defina um programa estratégico de privacidade, contemplando a definição da política de privacidade, avaliações de impacto na privacidade, comitê de gestão de riscos e privacidade,  entre outras práticas definidas pela LGPD, ISO/IEC 27701:2019, GDPR (General Data Protection Regulation) e EDPS (European Data Protection Supervisor).

A B10SEC atua como DPO em diversas empresas em Portugal e no Brasil. É composta por profissionais especialistas em cibersegurança e proteção de dados habilitados e certificados para apoiar a sua empresa neste processo de adequação 360º atuando do lado operacional, tático e estratégico.

Entre em contato aqui ou  contato@b10sec.com