LGPD: como tratar dados pessoais sensíveis?

Por Luiz Fernando, | Categoria: Marketing Digital

LGPD: como tratar dados pessoais sensíveis?

Desde a aprovação da Lei Geral de Proteção de Dados (LGPD), a Lei 13.709/2018, grande parte das empresas revisaram suas políticas de privacidade e compartilhamento de dados para se adequar às novas regras. A lei pretende controlar o uso totalmente indevido das informações dos consumidores, principalmente os chamados dados pessoais sensíveis.

A LGPD foi sancionada em 2018 e passará a valer a partir de 2020, quando poderão ser aplicadas penalidades às empresas que descumprirem a lei. O principal objetivo é garantir a privacidade dos dados sensíveis e pessoais dos usuários e possibilitar um maior controle sobre eles. A partir de agora, a regra é coletar o mínimo de dados necessários e com consentimento mais explícito e menos genérico por parte do titular.

Para isso, são estabelecidos processos de coleta, armazenamento e compartilhamento dos dados e as empresas são autorizadas a coletar apenas as informações necessárias para a oferta do serviço ou que tenham alguma finalidade claramente definida.

O que são dados pessoais?

De acordo com a lei, um dado pessoal é uma informação relacionada a uma pessoa natural identificada ou identificável e só devem ser coletados com permissão do próprio titular. A regra é válida para qualquer instituição pública ou privada que deseja coletar dados pessoais no Brasil, inclusive organizações com sede em outro país (como Facebook, Google, Microsoft e Amazon, por exemplo).

A pessoa também precisa permitir o compartilhamento dos dados com outras empresas e entidades de forma clara. Ou seja, os usuários devem poder escolher se desejam a captação dos seus dados e a distribuição de suas informações.

O que são dados pessoais sensíveis?

Os dados pessoais sensíveis são informações que devem ser coletadas com um consentimento específico e precisam ser tratados de maneira mais rigorosa por empresas e instituições. São considerados dados pessoais sensíveis segundo a LGPD:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais sensíveis que se encaixam nas categorias acima são especialmente protegidos pela lei e só podem processados com o consentimento do titular e para finalidades determinadas. De acordo com o artigo 11 da LGPD, o processamento dessas informações só pode ser feito sem autorização da própria pessoa nas seguintes situações:

1 – Cumprimento de obrigação legal ou regulatória pelo controlador

A lei prevê que o controlador é a pessoa que decide o tratamento de dados pessoais, ou seja, pode ser um funcionário de uma empresa ou uma pessoa jurídica de direito público ou privado.

Assim, sempre que uma lei ou ato regulatório determinar o processamento dessa categoria de informações, ou seu cumprimento depender da obtenção desses dados, a empresa ou instituição pública pode processar o dado pessoal ou dado pessoal sensível sem consentimento específico do titular.

2 – Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos

Esta hipótese também aborda o cumprimento da lei, da mesma forma que a anterior, para que o governo não seja impedido de executar políticas públicas. Ou seja, organizações ou entidades governamentais podem utilizar dados pessoais sensíveis para criar campanhas e ações voltadas ao público LGBT+, populações indígenas, mulheres e outros grupos específicos, por exemplo.

3 – Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis

Um dado anonimizado, segundo a LGPD, é relativo a um titular que não pode ser identificado durante o tratamento dos dados, portanto essas informações podem ser usadas por órgãos de pesquisa sem a necessidade de autorização direta.

4 – Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

O exercício regular de direitos também inclui o cumprimento contratual, procedimento judicial, administrativo ou arbitral e, para isso, podem ser usados os dados pessoais sensíveis que estiverem nas categorias já citadas.

5 – Proteção da vida ou da incolumidade física do titular ou de terceiro

Para que essa hipótese seja utilizada, a necessidade de dispensa do consentimento deve ser comprovada pelo controlador, ou seja, a pessoa natural ou jurídica que solicitar a utilização das informações pessoais do titular.

6 – Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

Nesse caso, a utilização dos dados pessoais sensíveis é autorizada apenas se o procedimento for realizado por profissionais da área sanitária ou de saúde. Além disso, é preciso levar em conta a finalidade do procedimento para analisar se há necessidade de permissão ou não.

7 – Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais

O artigo 9º da LGPD trata sobre o acesso da pessoa às informações sobre o tratamento de seus dados. De acordo com os incisos, o processo deve ser disponibilizado de forma clara para que a pessoa tenha conhecimento sobre a finalidade, forma e duração do tratamento dos dados, além do compartilhamento de informações e a forma de contato do controlador.

A Lei Geral de Proteção de Dados também aborda o tratamento das informações de crianças e adolescentes, que só podem ser utilizados com o consentimento específico e em destaque feito por pelo menos um dos pais ou pelo responsável legal.

Como cumprir a LGPD?

O cumprimento da LGPD já começou a impactar empresas de diversos setores, que estão buscando formas de se adaptar para evitar as sanções. Alguns dos ramos mais impactados pela criação da lei são empresas de software e tecnologia, direito, seguros, e-commerces, pesquisas, saúde privada, marketing, publicidade e outros.

Assim, os primeiros passos para garantir que a nova lei está sendo cumprida na sua empresa são:

  • Definir os agentes de tratamento de dados pessoais (controlador, operador e encarregado, de acordo com o volume de dados);
  • Identificar quais dados são coletados, em quais meios (físico ou digital) e se a privacidade dos usuários está sendo respeitada;
  • Elaborar normas de governança e boas práticas para serem realizadas internamente;
  • Realizar ações de transparência e proatividade ao atender pedidos dos titulares;
  • Envolver os funcionários e diretores da empresa para garantir o cumprimento da LGPD;
  • Definir processos de gestão e tratamento de informações para evitar roubos e vazamentos de dados.

O tratamento de informações e dados pessoais sensíveis de seus clientes e usuários exige cada vez mais cuidado para garantir o cumprimento da LGPD e evitar a aplicação de sanções. Para saber como adequar seu site às novas regras sem prejudicar seu negócio, agende uma consultoria gratuita.