As principais diretrizes sobre proteção de dados falam sobre dados sensíveis, incluindo a Lei Geral de Proteção de Dados brasileira (LGPD), que deve entrar em vigor no ano que vem.
Mas afinal, o que são dados sensíveis? E por que o seu tratamento deve ser ainda mais cuidadoso do que os outros tipos de informações? São essas e outras perguntas que responderemos a seguir!
O que são dados sensíveis?
O artigo 5º da LGPD define como sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Em outras palavras, os dados pessoais sensíveis são aqueles relacionados à aspectos muito íntimos do titular. Como a sua divulgação pode gerar prejuízo ou constrangimento em algumas circunstâncias há algumas regras específicas para o seu recolhimento.
Como a exposição de dados sensíveis pode me prejudicar?
Sabemos que a divulgação ou utilização indevida de qualquer dado pessoal pode gerar prejuízos para seu titular. Endereços, números de CPF e de cartão de crédito, por exemplo, não são dados sensíveis, mas podem resultar em cartões clonados e fraudes no e-commerce.
Mas informações sobre religião, etnia, política, sexualidade e outras informações sensíveis não podem causar apenas danos materiais, mas também morais. Para ficar mais claro, vejamos um exemplo
Imagine que você passou por um período de depressão. Em um estado mais crítico da doença faltou muitos dias no trabalho e acabou pedindo dispensa. Já recuperado, volta ao mercado de trabalho e consegue uma entrevista para atuar em uma empresa que sempre admirou. O problema é que o entrevistador teve acesso ao seu histórico médico e o reprova temendo que você volte a ter depressão e abandone o emprego.
Esse mesmo tipo de situação pode acontecer quando há exposição de sua orientação sexual, religião ou posicionamento político, entre outros dados sensível.
Isso não quer dizer que as informações dessa natureza são vergonhosas e não devessem ser compartilhadas com ninguém. Mas sim que deve haver uma sensibilidade extra no trato com elas e que o próprio titular deveria escolher quando quer ou não compartilhá-las e com quem.
Quando as empresas podem solicitar um dado sensível?
Existe uma seção na LGPD para tratar apenas da manipulação de dados sensíveis. Ela esclarece que só pode haver o recolhimento de informações dessa natureza quando o titular consentir para uma finalidade específica ou para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Em suma, apesar da sensibilidade exigida para lidar com essas informações, existem muitos casos em que o titular pode ter seus dados colhidos sem nem saber disso, principalmente se esse processo estiver ligado à alguma ação governamental.
As condições citam ainda a possível anonimização dos dados sensíveis, isto é, a ocultação do nome e de outros dados que ajudem no reconhecimento do titular. Essa seria uma forma de aplacar os prejuízos que a exposição dessas informações pode causar. O artigo 12 até detalha que “os dados anonimizados não serão considerados dados pessoais para os fins desta Lei”.
Mas será que ocultar o nome é o suficiente para que não haja reconhecimento e prejuízo para o titular? Alegar que haverá a anonimização “sempre que possível” basta para usar um dado sensível que o titular nem mesmo sabe que foi recolhido?
Até que a LGPD comece a vigorar, em agosto de 2020, ainda há muito o que se discutir sobre dados sensíveis. E você, leitor, o que espera da implementação da nossa nova lei de proteção de dados? Autorizaria o recolhimento de seus dados sensíveis?
Conte para a gente nos comentários!