Opinião

LGPD: diferenças no tratamento de dados pessoais e dados pessoais sensíveis

Autor

  • Maria Cristina Fleming

    é advogada especializada em Proteção de Dados e Direito Digital pela FGV Direito SP (FGV Law) pós-graduada em Processo Civil pela Universidade Presbiteriana Mackenzie administradora de empresas especializada em Administração Legal e sócia-fundadora da Fleming Consultoria Empresarial.

    View all posts

6 de março de 2021, 16h12

A Lei Geral de Proteção de Dados (LGPD) protege os dados pessoais de pessoas naturais, isto é, de pessoas físicas.

Notem que a LGPD não tem como fim os dados de empresas ou instituições públicas e privadas, mas os dados que essas pessoas jurídicas têm das pessoas físicas, portanto enquadram-se dentro dessas pessoas físicas protegidas pela LGPD: funcionários, parceiros, clientes, terceiros e acionistas, entre outros.

A LGPD tem como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Vale ressaltar que o conceito de pessoa natural está contido no Código Civil brasileiro em seu artigo 6º, da seguinte forma: "A existência da pessoa natural termina com a morte; presume-se esta, quanto aos ausentes, nos casos em que a lei autoriza a abertura de sucessão definitiva". Isso significa que a LGPD protege dados de pessoas vivas.

Mas o que é dado pessoal?
A própria LGPD traz o seu conceito, sendo dado pessoal toda informação relacionada a pessoa natural identificada ou identificável.

A LGPD não define o que significa "identificável", contudo, podemos, com base no GDPR (regulamento europeu de proteção de dados), conceituar identificável como pessoa natural que possa ser identificada, direta ou indiretamente, especificamente por apontamento a um identificador, que pode ser um nome, um número de identificação, dados de localização, identificadores eletrônicos ou outros elementos específicos relacionados a essa pessoa natural.

O conceito de dado pessoal é amplo, pode englobar tanto informações que identifiquem diretamente uma pessoa natural como seu nome completo, número de CPF, quanto informações a ela relacionadas, de diversas naturezas.

E o que é dado pessoal sensível?
Quanto ao dado pessoal sensível, a LGPD apresenta taxativamente o seu conceito, sendo: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O conceito de dado pessoal sensível em razão de sua especialidade e das diversas restrições impostas ao seu tratamento é taxativo.

Diferenças no tratamento de dados pessoais e dados pessoais sensíveis
Temos já no conceito de cada categoria de dados a diferença entre ambos, sendo dado pessoal amplo e dado pessoal sensível definidos de modo taxativo na LGPD.

O tratamento de dados pessoais sensíveis deve ser precedido de cautelas maiores, com especial atenção aos princípios e direitos dos titulares, uma vez que eventual incidente de segurança com esses tipos de dados pode trazer consequências mais gravosas aos direitos e liberdades dos titulares.

Existem dez bases legais para o tratamento de dados pessoais, discriminadas no artigo 7º da LGPD, como: 1) consentimento; 2) obrigação legal ou regulatória; 3) para execução de políticas públicas pela administração pública; 4) estudos por órgão de pesquisa; 5) execução de contrato; 6) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; 7) proteção da vida ou da incolumidade física do titular ou de terceiro; 8) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 9) interesse legítimo/ e 10) proteção ao crédito.

As bases legais que autorizam o tratamento dos dados pessoais sensíveis estão previstas no artigo 11 da Lei Geral de Proteção de Dados. Da leitura dos incisos podemos inferir que há vedação ao tratamento de dados sensíveis para:

— Execução de contrato;

— Com base em interesse legítimo; e

— Para a proteção ao crédito.

Demais possibilidades, ainda que com algumas restrições, permanecem.

Diferenças entre as bases legais
Consentimento: tanto para o tratamento de dados pessoais quanto para dados pessoais sensíveis, deve ser realizado de forma específica e destacada, além de livre, informada e inequívoca.

Quando da obtenção do consentimento para o tratamento de dados pessoais sensíveis, deve-se ter uma maior cautela, optando-se sempre pela máxima transparência possível, deixando-se claros os textos relativos ao tratamento desses dados.

Execução de políticas públicas pela Administração Pública: Os entes da Administração Pública poderão se valer de dados sensíveis, nas situações em que tal for indispensável.

Importante ressaltar que contratos, convênios e instrumentos congêneres previstos no artigo 7º, inciso III, não serão suficientes para legitimar o tratamento de dados sensíveis, somente se aplicam aos dados pessoais.

Prevenção à fraude e segurança do titular: essa base legal está prevista para o tratamento de dados pessoais sensíveis no artigo 11, inciso II, alínea "g" da LGPD. No tratamento desses dados, inclusive biométricos ou faciais podemos mencionar alguns exemplos, tais como, para acesso a locais restritos; para efetivação ou confirmação de transações bancárias; para combate a fraudes em processos de identificação; a estes não se limitando, desde que se esteja diante do uso de sistemas eletrônicos.

Notem que essa base legal não consta expressamente do artigo 7º, porém há entendimento de que essa base legal também autoriza o tratamento de dados pessoais, sendo uma das espécies do gênero interesse legítimo. (LIMA [1], 2020).

Conclusão
A Lei Geral de Proteção de Dados visa à proteção de dados pessoais e tem com fundamentos: 1) o respeito à privacidade; 2) a autodeterminação informativa; 3) a liberdade de expressão, de informação, de comunicação e de opinião; 4) a inviolabilidade da intimidade, da honra e da imagem; 5) o desenvolvimento econômico e tecnológico e a inovação; 6) a livre iniciativa, a livre concorrência e a defesa do consumidor; e 7) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para o tratamento de dados pessoais devem ser observados os requisitos consubstanciados na norma para o devido enquadramento em uma das bases legais nela definidas, de acordo com os princípios para o tratamento de dados pessoais, tais como boa-fé, finalidade, adequação e necessidade, entre outras.

A principal diferença entre o tratamento de dados pessoais e dados pessoais sensíveis é que nessa última, como regra, a base legal aplicada é o consentimento, de forma específica e destacada, para finalidades específicas.

Logo, as organizações que tratam dados pessoais sensíveis devem ter uma camada adicional de segurança a fim de evitar acessos indevidos ou vazamento desses dados, o que acarretaria um prejuízo maior aos titulares desses dados.

Dessa forma, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito nos termos do artigo 46 da LGPD.

 

[1] OPICE BLUM, Renato (Org.). Proteção de dados: desafios e soluções na adequação à lei. Rio de Janeiro: Forense, 2020, p. 36.

Autores

  • Brave

    é especialista em Finanças pela FECAP/SP e em Administração Legal pela EDESP-FGV/SP - GVLaw, membro da ABRHSP (Associação Brasileira de Recursos Humanos São Paulo), coordenadora do Comitê de Finanças do CEAE e administradora do escritório Sandoval Filho Sociedade de Advogados.

    Ver todos os posts

Tags:

Encontrou um erro? Avise nossa equipe!