Estamos cada vez mais conectados, fazendo quase tudo pela internet. Nos divertimos, compramos, trabalhamos, estudamos, fazemos transações bancárias e muito mais. Logo, já nos acostumamos a preencher formulários de cadastros e a entregar os nossos dados sensíveis a empresas dos mais diversos segmentos.
Nesse cenário, aumenta a preocupação com o tratamento dos dados pessoais. Com isso, vários países já criaram as Leis de Proteção de Dados Pessoais, trazendo junto uma nova categorização: os dados sensíveis.
Os dados sensíveis são aqueles que podem revelar informações que a maioria das pessoas não está disposta a compartilhar. Pois, trazem uma exposição maior sobre o portador, podendo até originar em danos para a vida social e profissional da pessoa. Dessa forma, apesar de parecer subjetiva, as diferenças entre dados pessoais e sensíveis são bem claras.
Neste post, vamos entender o que são os dados sensíveis e por que a sua empresa deve se preocupar com eles. Confira!
O que são dados sensíveis?
Os dados sensíveis, além da identificação, também permitem tirar conclusões a respeito de uma pessoa. Informações como a orientação sexual, religião, quadro clínico, filiação partidária, sindical, biométricas e outras. Portanto, esses dados permitem que pessoas acabem afastadas de forma preconceituosa, além de ter os seus direitos sociais atingidos.
Contudo, pode-se impedir uma pessoa de acessar determinado espaço ou até mesmo ser segregado em uma entrevista de emprego, por exemplo. Além disso, por exemplo, os vazamentos de informações biométricas podem trazer problemas de segurança. Toda essa preocupação em relação aos dados sensíveis vem do fenômeno da publicidade comportamental.
O tratamento de dados, refere-se qualquer ação que esteja relacionada aos dados pessoais, tal como a coleta, armazenamento, classificação e descarte. Nesse caso, é importante dizer o papel que a LGPD desempenha, tanto no tratamento de dados virtuais como físicos.
Nesse conjunto, podemos identificar os dados pessoais, nomeados de dados sensíveis, sobre o qual falaremos com mais detalhes a seguir.
Definição de dado pessoal
De fato, o conceito desse dado é muito amplo, podendo englobar informações que identifiquem uma pessoa natural de forma direta ou indireta. O que queremos dizer, é que esse termo pode mostrar o nome completo, CPF, entre outras informações que estejam ligadas a diversas naturezas.
Enfim, a própria LGPD mostra o conceito de que, dado pessoal se constitui em informações relacionadas à pessoa natural, podendo ser identificável. Entretanto, não define o que seria o termo usado dentro dessa finalidade.
Mas, podemos tomar como base o GDPR, Regulamento Europeu de Proteção de Dados, que conceitua o termo como pessoa natural que pode ser identificada através do nome ou algum número que a identifica. Assim como citamos no trecho inicial.
Na prática podemos dizer que, quanto mais dados pessoais a empresa trata, maior é o seu dever.
Devemos ter isso em mente ao tratar os dados sensíveis, visto o risco que eles apresentam ao serem organizados, e para o próprio titular caso seja exposto de maneira indevida.
Se um dano causado por vazamento de dados comuns, já gera um grande estrago, imagine como seria, caso os dados tenham informações sigilosas e sensíveis de uma pessoa ou empresa?
Quando se trata de dados pessoais, desconfie se pedirem informações referente a cartões, identidades ou algo que você percebeu não serem necessárias para tal situação.
Dados pessoais e dados sensíveis: qual a principal diferença?
Antes de dizer como a LGPD regula os dados sensíveis, é importante citar quais são as principais diferenças entre esses termos e a razão para estar sempre com a atenção redobrada sobre dois.
Quando falamos a respeito do tratamento de dados de pessoas sensíveis, devemos dar uma atenção especial aos seus princípios e direitos titulares. Pois, um incidente de segurança pode ocasionar grandes danos em relação aos direitos e liberdades desses titulares.
Existem 10 bases legais referentes ao tratamento dos dados pessoais, encontradas no artigo 7º da LGPD. Sendo eles:
- Consentimento;
- Obrigação legal ou regulatória;
- Execução de políticas públicas pela administração;
- Estudos por órgão de pesquisa;
- Execução de contrato;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção de vida ou incolumidade;
- Tutela da saúde;
- Interesse legítimo;
- Proteção ao crédito.
Essas bases autorizam o tratamento dos dados pessoais sensíveis, previstas no artigo 11 da LGPD.
Ademais, você verá com mais detalhes, como tratam-se os dados pessoais.
Como a LGPD regula os dados sensíveis?
No Brasil, a lei que ficou encarregada de regular os dados pessoais e sensíveis é a Lei 13.709/2018, a LGPD — Lei Geral de Proteção de Dados. Apesar de sancionada em 2018 pelo ex-presidente Michel Temer, com o prazo que foi dado para que as empresas se adaptassem a Lei e devido ao contexto do Covid-19, entrou em vigor no ano de 2021.
A criação da LGPD se mostrou necessária com o avanço das soluções digitais e com o crescimento do número de escândalos de vazamento de dados. Além disso, estes dados podem interferir até nos rumos de uma eleição. Como foi o caso do escândalo da Cambridge Analytica nas eleições americanas. Nesse sentido, a LGPD chega para contribuir outras leis próprias de proteção de pessoas físicas, como:
- Constituição Federal;
- Código Civil;
- Lei do Acesso à Informação;
- Código de Defesa do Consumidor;
- Lei do Cadastro Positivo;
- Marco Civil da Internet.
Vale ressaltar, que a LGPD é responsável por dados de pessoas jurídicas. Ou seja, enquadram-se: funcionários, parceiros, clientes, entre outros. E tem como principal objetivo proteger os direitos fundamentais da liberdade e privacidade da pessoa natural, contido no Código Civil brasileiro, artigo 6º.
Como a LGPD diz que deve ser feito o tratamento dos dados sensíveis?
A primeira hipótese é que o titular permita essa ação. Afinal, a LGPD coloca o dono dos dados como protagonista. Essa licença deve seguir as regras explícitas no art. 8º, que exige que os dados sensíveis sejam respeitados. Além disso, determinar que o controlador especifique a finalidade de tal tratamento. Abaixo, vamos mostrar as hipóteses em que tratam-se os dados sensíveis.
![[BACKUP & RECUPERAÇÃO] O que são dados sensíveis?](https://i.ytimg.com/vi/l57fk3_TPkk/hqdefault.jpg)
Cumprimento de obrigação legal ou regulatória pelo controlador
A LGPD manteve essa exceção a permissão para todas as hipóteses de tratamento de dados, sejam eles públicos ou privados. Se uma lei ou ato regulatório determina que seja feito o tratamento dos dados ou o efeito de uma lei dependa desse processo, os dados pessoais ou sensíveis poderão ser feitos pelo ente privado, ou público.
Tratamento de dados necessário para a execução de políticas públicas
Outro fator que a lei considera o tratamento sem a permissão, é em relação aos dados ideais para à execução de políticas públicas, desde que previstas em leis ou regulamentos. Nesse sentido, a LGPD assegura a necessidade da administração pública para que não haja paralisações das execuções de políticas. As campanhas voltadas para a proteção das minorias — LGBTQ+, negros, mulheres, índios etc. — devem ser priorizadas.
Realização de estudos por órgão de pesquisa
A realização de estudos feitos por órgãos de pesquisas autorizados é outra hipótese. Garante, quando possível, a anonimização dos dados pessoais sensíveis. Mantém-se essa exceção para os órgãos de pesquisa da mesma maneira como deveria ser feita no processo de dados pessoais não sensíveis.
Exercício regular de direitos
O exercício regular de direitos, inclusive os que estão em contrato e em processo judicial, administrativo e arbitral, também são hipóteses para o tratamento. Há também a manutenção da exceção e cumprimento contratual, na mesma alínea em que estão a exceção de procedimento judicial, administrativo ou arbitral.
Proteção da vida
A proteção da vida deve sempre vir à frente de qualquer outra regulação, e na LGPD é coberta a ação de dados sensíveis para a proteção da vida ou da segurança física tanto do titular quanto de terceiros. Vale lembrar que o ônus da comprovação da dispensa da aprovação, cabe sempre ao controlador, ou seja, o órgão que está manipulando os dados.
Tutela da saúde
A lei garante a utilização dos dados em caso de saúde apenas quando o processo for feito por alguém que trabalha na área de saúde ou sanitária. Mas isso não significa que uma empresa possa contratar um enfermeiro apenas para processar os dados e ficar livre da necessidade de permissão. Leva-se em conta essa finalidade, ao analisar algum veto legal.
Proteção do titular
Contudo, há duas hipóteses, ideais para o tratamento de dados sensíveis para a proteção do titular: a prevenção contra fraudes e a segurança.
Posição dos usuários nessa situação
De fato, os usuários precisam de maneiras para se proteger de vazamentos. Sendo assim, o primeiro passo é estar bem atento às solicitações de consentimento realizadas pela organização que deseja coletar as informações.
Contudo, é ideal entender exatamente o que está sendo feito, visto que, cada autorização expressa é para uma finalidade em particular, e não deve ser aplicada de forma genérica.
Aliás, outro fator muito importante, é que esse usuário faça a avaliação da relevância do dado, tendo assim, a certeza de que faz sentido repassar suas informações. O grande motivo por trás desta prática, é evitar o envio de dados que não são realmente essenciais para tal atividade virtual, e que possam ser usados de maneira ilegal.
É claro que não estamos falando somente de empresas de mau-caráter, mas sim, de hackers que podem ter acesso aos seus dados.
Sem dúvida, o usuário deve estar muito atento ao site em que está entrando. Assim, para evitar que fraudes aconteçam, só realize as ações através de sites seguros.
Proteja-se de possíveis golpes
Sem dúvida, é necessário ter uma base legal para o manuseio e coleta de dados dos usuários e, tudo isso de maneira que seja capaz de justificar tanto o processo de pessoas físicas, quanto jurídicas.
A batalha contra fraudes com dados sensíveis, só tem seu êxito quando as ações virtuais são feitas em locais seguros.
Como as empresas devem se preparar para lidar com os dados sensíveis?
A proteção dos dados sensíveis é dever do controlador. Sendo, na maioria dos casos, empresas que utilizam essas informações para os mais diversos fins. É importante que a empresa mantenha essa informação sob segurança em seus bancos de dados em ambiente virtual. Desse modo, evitando que eles sejam perdidos, roubados, sequestrados ou acessados por pessoas não autorizadas. A empresa deverá adotar ferramentas que agreguem camadas de segurança às operações que utilizam dados pessoais e sensíveis de usuários.
O uso de criptografia é uma das principais tendências de segurança de dados, pois, trata-se de um processo em que as informações são codificadas e se tornam sigilosas para pessoas não autorizadas. Mesmo se roubadas, as informações serão ilegíveis para quem não tiver a chave de leitura.
Além disso, temos o backup, uma ferramenta que garante que as informações estejam disponíveis em caso de desastres. Deixar as informações em apenas um banco de dados é contar com a sorte e, em relação a uma lei, essa perda pode custar caro para a empresa. Outra proteção que deve ser adotada pela empresa é a utilização de um bom antivírus, que cria mais uma camada de segurança para que as informações não acabem vazando.
Garanta que os dados dos seus clientes estejam sempre protegidos
Como vimos neste post, os dados sensíveis devem ser protegidos para que não impeçam os seus titulares, evitando a criação de ambientes segregadores. As hipóteses que poupam o tratamento dessas informações sem a permissão explícita do titular são bem restritas e definidas pela lei. Portanto, como um bom MSP, certifique-se que os seus clientes estão protegidos.
Então, gostou do post? Quer saber como proteger os dados de seus clientes, mantendo a sua empresa dentro da legalidade? Entre em contato conosco e descubra! Além disso, acesse o nosso MSP Blog para ver as melhores dicas que a ADDEE tem para te mostrar.
