Dados Sensíveis na LGPD: Tratamento e Proteção Especial

A LGPD confere proteção reforçada aos dados sensíveis, exigindo das organizações cuidados específicos que vão muito além do tratamento comum de dados pessoais.

O que são dados sensíveis na LGPD e por que recebem proteção diferenciada

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabeleceu uma categoria especial de informações pessoais que demandam tratamento diferenciado: os dados pessoais sensíveis. Essa distinção não é meramente conceitual, ela carrega consequências práticas significativas para empresas, órgãos públicos e qualquer organização que realize operações com esse tipo de informação. Quando falamos em dados sensíveis, referimo-nos a informações que, pela sua própria natureza, podem expor o titular a situações de discriminação, constrangimento ou vulnerabilidade caso sejam utilizadas de forma inadequada.

O artigo 5º, inciso II, da LGPD define como dado pessoal sensível aquele relativo a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Percebemos que o legislador brasileiro optou por um rol taxativo, ou seja, somente as categorias expressamente previstas na lei recebem essa proteção especial. Essa escolha segue a tradição do Regulamento Geral de Proteção de Dados europeu (GDPR), que serviu de inspiração direta para a legislação brasileira.

A razão para essa proteção diferenciada reside no potencial discriminatório que o uso indevido dessas informações carrega. Consideremos, por exemplo, uma empresa que utiliza dados sobre condições de saúde de candidatos para negar vagas de emprego, ou uma seguradora que acessa informações genéticas para recusar cobertura. Esses cenários ilustram por que o tratamento de dados sensíveis exige bases legais mais restritas e controles mais rigorosos do que os aplicáveis aos dados pessoais comuns.

Esse assunto tem relação direta com anonimização e pseudonimização de dados, tema que abordamos em artigo específico.

Esse assunto tem relação direta com dados biométricos, tema que abordamos em artigo específico.

Bases legais para o tratamento de dados sensíveis

Um dos pontos mais relevantes da LGPD no que diz respeito aos dados sensíveis é a restrição das hipóteses que autorizam o seu tratamento. Enquanto os dados pessoais comuns podem ser tratados com fundamento em dez bases legais previstas no artigo 7º da lei, os dados sensíveis contam com um rol mais restrito, previsto no artigo 11. Analisa-se a seguir as principais hipóteses autorizadoras.

Consentimento do titular

O consentimento para o tratamento de dados sensíveis deve ser fornecido de forma específica e destacada, para finalidades específicas. Isso significa que não basta uma autorização genérica embutida em termos de uso extensos. A organização precisa informar ao titular, de maneira clara e inequívoca, quais dados sensíveis serão coletados, para qual finalidade serão utilizados e por quanto tempo serão armazenados. Verifica-se que essa exigência de especificidade é consideravelmente mais rigorosa do que a aplicável ao consentimento para dados pessoais comuns, onde a lei já impõe requisitos de clareza e transparência.

Hipóteses de tratamento sem consentimento

A LGPD também prevê situações em que dados sensíveis podem ser tratados independentemente do consentimento do titular, desde que indispensáveis para determinadas finalidades. Entre essas hipóteses, cabe destacar: o cumprimento de obrigação legal ou regulatória pelo controlador; o tratamento compartilhado de dados necessários à execução de políticas públicas previstas em leis ou regulamentos; a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados); o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; a proteção da vida ou da incolumidade física do titular ou de terceiro; e a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

O tratamento de dados sensíveis exige não apenas uma base legal válida, mas um conjunto robusto de medidas técnicas e administrativas que garantam a segurança dessas informações em todo o seu ciclo de vida.

Observamos que o legítimo interesse, base legal amplamente utilizada para dados pessoais comuns, não figura entre as hipóteses autorizadoras para dados sensíveis. Essa exclusão é proposital e reforça a intenção do legislador de limitar ao máximo as situações em que informações dessa natureza podem ser processadas sem o consentimento expresso do titular.

Medidas técnicas e administrativas de proteção

A proteção dos dados sensíveis não se esgota na identificação de uma base legal adequada. A LGPD exige que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Quando lidamos com dados sensíveis, essas exigências ganham ainda mais relevância.

Controles técnicos recomendados

Entre as medidas técnicas que consideramos essenciais para a proteção de dados sensíveis, cabe destacar a criptografia dos dados em repouso e em trânsito, a implementação de controles de acesso baseados no princípio do menor privilégio (garantindo que apenas pessoas autorizadas acessem as informações), a utilização de técnicas de anonimização e pseudonimização sempre que possível, a manutenção de registros de acesso (logs) para fins de auditoria, a realização de testes periódicos de segurança e a adoção de medidas de prevenção contra vazamentos de dados. Essas práticas devem ser proporcionais à natureza dos dados tratados e aos riscos envolvidos.

Medidas administrativas e governança

No campo administrativo, verifica-se que a governança de dados sensíveis requer a elaboração de políticas internas claras sobre o tratamento dessas informações, o treinamento regular dos colaboradores que lidam com dados sensíveis, a nomeação de um Encarregado de Proteção de Dados (DPO) com conhecimento adequado sobre a matéria, a realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento envolver dados sensíveis em larga escala e a revisão periódica dos processos de tratamento para verificar a conformidade contínua com a legislação.

A Autoridade Nacional de Proteção de Dados (ANPD) pode determinar a elaboração do RIPD sempre que o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais. No caso de dados sensíveis, essa possibilidade é particularmente relevante, pois o potencial de dano ao titular é significativamente maior.

Due diligence de dados sensíveis em operações empresariais

O processo de due diligence envolvendo dados sensíveis assume importância crescente em operações de fusões e aquisições, parcerias comerciais, contratação de fornecedores e prestadores de serviço. Quando uma organização realiza a análise de riscos de outra empresa, o mapeamento do tratamento de dados sensíveis deve ser um dos pilares da investigação. Negligenciar esse aspecto pode resultar em passivos significativos, tanto financeiros quanto reputacionais.

Na prática da due diligence de dados, analisa-se se a organização investigada possui mapeamento completo dos dados sensíveis que trata, se as bases legais utilizadas são adequadas para cada operação, se existem contratos com operadores e suboperadores contemplando cláusulas específicas sobre dados sensíveis, se foram implementadas medidas de segurança proporcionais à criticidade das informações, se há histórico de incidentes de segurança envolvendo esse tipo de dado e se a organização mantém documentação atualizada de suas atividades de tratamento.

Verifica-se que muitas empresas ainda tratam a conformidade com a LGPD de forma superficial, especialmente no que tange aos dados sensíveis. A due diligence rigorosa permite identificar vulnerabilidades que podem representar riscos concretos para a organização adquirente ou parceira. Um vazamento de dados sensíveis pode acarretar sanções administrativas, ações judiciais individuais e coletivas, além de danos irreparáveis à reputação empresarial.

Checklist prático para due diligence de dados sensíveis

Para conduzir uma due diligence eficaz nessa área, recomenda-se a verificação dos seguintes pontos: existência de inventário atualizado de dados sensíveis tratados pela organização; registro das bases legais utilizadas para cada atividade de tratamento; políticas de retenção e descarte específicas para dados sensíveis; contratos com terceiros contendo cláusulas de proteção de dados adequadas; evidências de treinamento de colaboradores sobre o tratamento de dados sensíveis; existência de plano de resposta a incidentes contemplando cenários com dados sensíveis; e documentação de Relatórios de Impacto já realizados.

Consequências do tratamento irregular de dados sensíveis

O tratamento irregular de dados sensíveis pode acarretar consequências severas para as organizações. As sanções administrativas previstas na LGPD incluem advertência, multa simples de até 2% do faturamento da pessoa jurídica (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além das sanções administrativas, as organizações estão sujeitas à responsabilização civil pelos danos causados aos titulares. Os tribunais brasileiros já têm analisado casos envolvendo vazamentos e uso indevido de dados pessoais, e a tendência é de fortalecimento da proteção ao titular. No âmbito das relações de consumo, a responsabilidade é objetiva, dispensando a comprovação de culpa por parte do controlador ou operador.

Cabe destacar que a gravidade das sanções tende a ser maior quando os dados envolvidos são sensíveis, considerando o potencial discriminatório e o maior impacto sobre os direitos fundamentais dos titulares. Por isso, investir em conformidade não é apenas uma obrigação legal, mas uma decisão estratégica que protege a organização e fortalece a confiança dos seus stakeholders.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.