Como já expliquei na postagem O que são dados pessoais e por que protegê-los?, há algumas classificações de dados pessoais e cada uma requer atenção para o seu tratamento. Os dados pessoais sensíveis são, certamente, o tipo que exige mais cautela, tendo em vista o potencial de danos que sua má utilização pode causar.

Não foi à toa que a LGPD destinou seção própria para tratar exclusivamente sobre o tratamento de dados pessoais sensíveis, estipulando bases legais próprias para esse tipo de dados.

A definição de dado pessoal sensível trazida pela LGPD já é bastante clara:

Art. 5º Para os fins desta Lei, considera-se:

[…] II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Fica claro que o objetivo da lei é proteger os titulares no caso de exposição indevida de dados que possam gerar discriminação e preconceito. O rol disposto na lei é exemplificativo, o que requer uma avaliação minuciosa de cada dado tratado pela empresa/entidade para identificar se é ou não um dado considerado sensível.

No art. 11 da LGPD estão disciplinadas 8 bases legais, ou seja, hipóteses em que são permitidas o tratamento de dados pessoais sensíveis. Vamos a cada uma delas:

1- Consentimento

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

Essa é a base legal padrão para o tratamento de dados sensíveis. Ao contrário dos dados comuns, onde não há hierarquia entre as bases legais, aqui percebe-se que a regra é o consentimento e, apenas em caso de não ser possível esse consentimento, poderá o agente de tratamento recorrer a outras bases legais, quando o tratamento de dados sensíveis for indispensável.

Outra observação importante é a necessidade de que o titular de dados tenha, de forma clara, específica e destacada a opção de consentimento, informando, inclusive, a finalidade para o tratamento daquele dado.

2- Cumprimento de Obrigação Legal ou Regulatória

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

Esse caso se justifica quando há a necessidade de tratamento de dados pessoais sensíveis para cumprir alguma obrigação já existente em lei ou regulamento válidos no Brasil.

Um bom exemplo é a obrigatoriedade de armazenamento, pelos médicos, de dados de pacientes pelo período mínimo de 20 (vinte) anos, conforme determinação da Resolução do CFM n.º 1.821/07. Nesses casos, mesmo que não haja consentimento do paciente, o médico precisará manter o tratamento destes dados, pois há uma obrigação regulatória que impõe tal medida.

3- Execução de Políticas Públicas, pela Administração Pública

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

Nessas situações a necessidade do tratamento é bem óbvia, uma vez que sem os dados não há como o titular se beneficiar da política pública oferecida pela Administração Pública.

Assim, podemos exemplificar essa hipótese com o caso de uma pessoa que precisa receber medicamentos fornecidos gratuitamente pela Administração Pública para o tratamento de alguma doença específica.

Vale ressaltar aqui que só poderão ser justificados nessa base legal os tratamentos de dados sensíveis indispensáveis à execução da política pública.

4- Estudos por Órgãos de Pesquisa

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

Um exemplo muito atual que justifica o tratamento de dados sensíveis com amparo nessa base legal são as pesquisas realizadas sobre taxas de contaminação de Covid-19, bem como os quantitativos de internações, óbitos, recuperações, etc.

Importante lembrar que o próprio dispositivo da lei já ressalta que, se possível, deverá ocorrer a anonimização dos dados para não comprometer os titulares.

5- Exercício Regular de Direitos

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

Quando for indispensável o tratamento de dados sensíveis para a execução de contrato ou para processo judicial, administrativo e arbitral, esta base legal dará amparo ao agente de tratamento.

Imagine o caso de uma empresa que empregava uma pessoa que, por suas convicções religiosas, possuía horários de trabalho diferentes dos demais funcionários. Numa eventual reclamação trabalhista, a empresa poderia tratar o dado sensível referente à religião da reclamante para justificar tal diferenciação, exercendo seu direito em processo judicial.

6- Proteção da Vida ou da Incolumidade Física

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

Por razões óbvias, em atendimento ao direito fundamental à vida previsto em nossa Constituição Federal, esta base legal garante a possibilidade de tratamento de dados pessoais sensíveis quando for indispensável para a manutenção da segurança física e preservação da vida, seja do titular dos dados ou de terceiro que deles dependa.

7- Tutela da Saúde

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Essa hipótese legal justifica o tratamento de dados sensíveis por profissionais de saúde, serviços de saúde ou autoridade sanitária, sem a necessidade de consentimento do titular.

No caso de uma pessoa que é internada inconsciente e precisa de atendimento médico urgente, dados como tipo sanguíneo e de doenças pré-existentes são muito importantes. Nessa situação, a realização de exames para verificar essas informações e tratar os dados de saúde do paciente/titular são justificados pela base legal da tutela da saúde.

8- Garantia da Prevenção à Fraude e à Segurança do Titular

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

O principal exemplo dessa base legal é a utilização de dados biométricos para garantir a autenticidade das informações para acesso em sistemas bancários. Seja biometria digital ou facial, a tecnologia tem evoluído rapidamente para oferecer camadas extras de segurança para as pessoas. Esse dispositivo da LGPD existe para permitir o tratamento desses dados sensíveis em benefício do próprio titular.

A escolha correta da base legal para tratamento de dados sensíveis é extremamente importante e requer muita atenção. Não há a possibilidade de tratamento de dados pessoais, seja ele de qualquer tipo, sem que haja uma base legal que o fundamente.

Assim, apesar da proteção de dados pessoais ser uma preocupação de todo o mercado, os agentes que tratam dados sensíveis precisam ter ainda mais atenção e cuidado no momento de se adequar à LGPD.

Ficou com alguma dúvida? Envie uma mensagem através do nosso Formulário de Contato ou pelo WhatsApp.