Minha empresa trata dados pessoais sensíveis: o que fazer?

Segundo a Lei Geral de Proteção de Dados Pessoais – LGPD, dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, tudo que possa ser atribuído a alguém de modo que vai diferenciar essa pessoa. Como fazer se a sua empresa trata dados pessoais sensíveis?

Por mais que essa definição pareça englobar tudo que é atribuído a alguém, a Lei também traz o conceito de dados pessoais sensíveis, que são dados sobre origem racial ou étnica, convicção religiosa ou opinião política, por exemplo.

Como podemos perceber, são características muito mais particulares de um indivíduo e que podem provocar algum tipo de segregação ou preconceito com o titular desse dado.

Pensando nisso, a LGPD, além de diferenciar esse tipo de dado, também oferece uma proteção e atenção mais específica para o tratamento de dados pessoais sensíveis.

Como saber se minha empresa trata dados pessoais sensíveis?

Diferentemente do que se pensa, não é somente clínicas e hospitais que coletam esse tipo de dado, é possível que uma empresa ou plataforma colete dados sensíveis e que não atue no segmento médico ou terapêutico.

Como negócios do segmento de estética e cosmética.

A exemplo disso são os clubes de assinatura de cosméticos, em que as mulheres pagam mensalmente para receber lançamentos de produtos de cabelo e maquiagens.

Ao se cadastrar no clube de assinatura, as clientes preenchem dados como tipo de cabelo, cor da pele, se possuem problemas dermatológicos, para que o clube possa enviar produtos adequados a cada assinante.

Esses dados são dados sensíveis pois estão relacionados à origem racial ou étnica e fornecem dados sobre a saúde dermatológica, ainda que o negócio não esteja nada relacionado à saúde.

Por isso, é importante que a empresa realize levantamento dos dados que são coletados de seus clientes e usuários para verificar se há dados sensíveis ou não.

A identificação de dados sensíveis é bem simples, ao ler o art. 5º, inciso II da LGPD:

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

É possível compreender se a empresa faz coleta desse tipo de dado e se esse dado é realmente indispensável para prestação dos serviços do modelo de negócio, pois caso não seja, é recomendado que a coleta seja interrompida.

Minha empresa trata dados sensíveis. E agora, que cuidados devo ter?

Uma vez identificado que há coleta de dados pessoais sensíveis é importante saber que a base legal, ou seja, a autorização legal de coleta e tratamento de dados para aquela finalidade.

Como os dados pessoais sensíveis recebem uma proteção diferenciada a LGPD, as bases legais também são diferentes.

A primeira base legal é o próprio consentimento do titular. Se ele consentir com o tratamento, você pode fazê-lo sem preocupações.

Mas é possível fazer o tratamento sem o consentimento do titular, mas as hipóteses são mais limitadas:

cumprimento de obrigação legal ou regulatória pelo controlador;
tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
proteção da vida ou da incolumidade física do titular ou de terceiro;
tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Assim, as finalidades para as quais são coletados e tratados os dados devem estar adequadas a uma das bases legais acima listadas, visto que o consentimento do titular pode ser revogado a qualquer momento.

Cabe ressaltar que em hipótese alguma, dados pessoais sensíveis poderão ser tratados com base no Legítimo Interesse do Controlador, hipótese autorizada em tratamento de dados pessoais “comuns”.

Análise de risco de tratamento de dados sensíveis como garantia de privacidade e segurança

O tratamento desse tipo de dado deve ter cuidado e análise redobrado, visto que eventual incidente envolvendo esses dados pode causar um prejuízo ao titular que vai muito além do mero aborrecimento.

Visto que caso haja vazamento, o titular pode ser constrangido ou caso haja modificação não autorizada, pode haver dano à saúde do titular.

Assim, todos esses riscos devem ser analisados e quantificados seus impactos através do Relatório de Impacto de Dados Pessoais, com isso, deve ser implementadas medidas administrativas, organizacionais e tecnológicas visando a mitigação o máximo possível desses riscos.

Ficou com dúvidas sobre o tema? Entre em contato com o nosso time aqui.

Últimas postagens

Não registrar um funcionário: a bomba que você pode desarmar

3 de maio de 2022

Não registrar um funcionário é uma bomba relógio, e você sabe que vai explodir assim que eles saírem pela porta.

Quando utilizar o contrato de vesting em startups?

3 de maio de 2022

Quando utilizar o Contrato de Vesting em Startups como ferramenta para engajar os colaboradores que se destacam em sua startup?

O que é o Relatório de Impacto à Proteção dos Dados Pessoais?

4 de maio de 2022

Neste artigo vamos te explicar o que é e qual a finalidade do Relatório de Impacto à Proteção de Dados Pessoais – RIPD e porque ele é importante para sua empresa.