A segurança e cuidados com dados sensíveis são essenciais para garantir a conformidade com a LGPD. As empresas que tratam essas informações devem adotar práticas rigorosas para proteger a privacidade dos titulares e evitar sanções legais, assegurando um tratamento seguro e transparente.
Neste artigo, você entenderá os principais cuidados e as regras que empresas e organizações precisam adotar para garantir a conformidade com a lei, além de práticas essenciais para evitar penalidades.
1. O que são dados sensíveis?
Dados sensíveis são informações pessoais que revelam aspectos íntimos de um indivíduo e, se divulgadas ou tratadas de forma inadequada, podem causar impactos negativos à pessoa titular dos dados. A LGPD define dados sensíveis como qualquer dado que revele:
a. Origem racial ou étnica;
b. Convicção religiosa;
c. Opinião política;
d. Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
e. Dados relativos à saúde ou à vida sexual;
f. Dados genéticos ou biométricos.
Esses dados, por sua natureza, exigem um tratamento mais rigoroso, dado o risco elevado de causar discriminação, danos morais ou materiais aos indivíduos.
Empresas que coletam ou utilizam essas informações devem adotar medidas extras de segurança e transparência para garantir a proteção adequada.
2. Tratamento de dados sensíveis
Um conjunto de normas específicas rege o tratamento de dados sensíveis, e a manipulação desses dados exige o consentimento explícito do titular, salvo algumas exceções previstas pela LGPD.
O consentimento deve ser claro, informado e inequívoco, ressaltando as finalidades e os riscos ao titular. Além disso, o tratamento só pode ocorrer nas seguintes hipóteses:
a. Cumprimento de obrigação legal
A lei permite o tratamento de dados sensíveis quando necessário, como em casos relacionados à saúde pública, onde proteger informações sensíveis é essencial para garantir a segurança coletiva.
b. Execução de políticas públicas
A administração pública pode tratar dados sensíveis para a execução de políticas públicas, desde que haja embasamento em contratos, convênios ou outros instrumentos legais que regulamentem a relação entre as partes envolvidas.
c. Pesquisa científica e estatística
Pesquisadores devem garantir o anonimato dos titulares e assegurar que os dados não sejam relacionados diretamente a indivíduos ao usar dados sensíveis em pesquisas científicas e estatísticas.
d. Exercício regular de direitos
Dados sensíveis podem ser tratados para garantir o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, onde essas informações são necessárias para garantir a justiça e o devido processo legal.
e. Proteção da vida e da incolumidade física
O tratamento de dados sensíveis é justificado em situações de emergência, quando necessário para a proteção da vida ou da integridade física do titular ou de terceiros, evitando assim prejuízos irreparáveis.
f. Tutela da saúde
Dados sensíveis podem ser tratados exclusivamente por profissionais da área de saúde, serviços de saúde ou autoridades sanitárias, quando o objetivo é garantir a prestação adequada de cuidados médicos e a proteção da saúde do titular dos dados.
3. Importância do consentimento explícito
Um ponto crucial no tratamento de dados sensíveis é a obtenção do consentimento explícito do titular.
O tratamento de dados sensíveis exige consentimento claro e objetivo, enquanto o tratamento de dados pessoais comuns pode ocorrer sob várias justificativas legais.
O consentimento deve informar explicitamente como os dados serão usados, para quais finalidades e por quanto tempo serão mantidos.
4. Cuidados ao utilizar dados sensíveis
Dada a delicadeza dessas informações, as organizações devem implementar diversas práticas para garantir a proteção dos dados sensíveis. A seguir, listamos os principais cuidados que devem ser adotados:
a. Minimização de dados
A LGPD enfatiza que os dados coletados devem ser limitados ao mínimo necessário para cumprir as finalidades propostas. Ou seja, não se deve coletar mais dados do que o estritamente necessário.
b. Anonimização e pseudonimização
Sempre que possível, as empresas devem adotar técnicas de anonimização, ou seja, a transformação dos dados de modo que não possam ser associados a um indivíduo específico.
Quando a anonimização total não é viável, a pseudonimização, que dificulta a identificação direta, também é uma boa prática.
c. Anonimização e pseudonimização
Implementar medidas técnicas e administrativas apropriadas para proteger os dados contra acessos não autorizados, destruição, perda, alteração ou divulgação indevida.
Isso inclui o uso de criptografia, firewalls, controle de acesso rigoroso, entre outras práticas recomendadas.
d. Auditoria e monitoramento contínuo
Realizar auditorias frequentes para verificar a conformidade com a LGPD e monitorar a segurança das informações sensíveis.
e. Treinamento e conscientização dos colaboradores
A equipe interna deve estar constantemente atualizada sobre as melhores práticas e responsabilidades relacionadas ao tratamento de dados sensíveis.
Programas de treinamento contínuos são essenciais para garantir que todos na organização entendam a importância de proteger essas informações.
5. Consequências legais para o mau uso de dados sensíveis
As sanções para o mau uso de dados sensíveis são rígidas e podem comprometer seriamente a reputação e a sustentabilidade financeira de uma empresa. As penalidades previstas na LGPD incluem:
a. Advertência
Pode ser aplicada quando há violação, mas sem danos diretos ao titular dos dados, requerendo a adoção de medidas corretivas.
b. Multa
As multas podem chegar a até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração.
c. Suspensão do tratamento de dados
Dependendo da gravidade da infração, a empresa pode ser obrigada a suspender temporariamente o tratamento de dados.
d. Proibição do tratamento de dados
Em casos extremos, a empresa pode ser proibida de tratar dados pessoais de forma definitiva.
Além das sanções previstas pela LGPD, os titulares dos dados podem mover ações judiciais contra a empresa que não protege adequadamente os dados sensíveis, resultando em indenizações por danos morais e materiais.
6. Melhores práticas para garantir conformidade
Para evitar sanções e proteger a privacidade dos titulares dos dados, as empresas devem seguir um conjunto de melhores práticas, garantindo a conformidade com a LGPD:
a. Política de privacidade robusta
A empresa mantém uma política de privacidade clara e transparente, explicando como coleta, usa e protege os dados sensíveis.
b. Designação de um encarregado de dados (DPO)
O encarregado de dados é responsável por garantir que a empresa cumpra com a LGPD, servindo como ponto de contato entre a organização, os titulares dos dados e a ANPD.
c. Plano de resposta a incidentes de segurança
Empresas devem estar preparadas para lidar com possíveis vazamentos de dados, adotando um plano de ação para mitigar os danos e informar adequadamente as partes envolvidas.
7. Como as empresas podem se adequar?
Empresas que lidam com dados sensíveis precisam revisar suas práticas e procedimentos regularmente, assegurando que estão em conformidade com as exigências da LGPD. Isso inclui:
a. Mapeamento de dados
A empresa identifica todos os dados sensíveis que coleta, trata e armazena, garantindo que os mantém apenas pelo tempo necessário.
b. Revisão de contratos
Certificar-se de que contratos com fornecedores e parceiros contenham cláusulas de proteção de dados sensíveis, exigindo o cumprimento da LGPD.
c. Atualização de sistemas e tecnologias
Investir em soluções tecnológicas que aumentem a segurança dos dados sensíveis, como criptografia e ferramentas de controle de acesso.
8. Conclusão
A LGPD trouxe importantes avanços na proteção de dados no Brasil, especialmente no que diz respeito ao tratamento de dados sensíveis.
A conformidade com essas regras não é apenas uma obrigação legal, mas também uma oportunidade para as empresas demonstrarem seu compromisso com a privacidade e a segurança de seus clientes e parceiros.
Ao seguir as melhores práticas e garantir a proteção adequada dos dados sensíveis, as organizações podem evitar sanções e construir uma reputação sólida no mercado.
Nota: O presente artigo tem caráter informativo e não se configura como aconselhamento legal ou consultoria profissional.
Gostou do nosso conteúdo? Então compartilhe com todos e nos ajude a espalhar conhecimento sobre Direito Digital, Compliance e LGPD! 🌐📚🔒
