Opinião

Governança de privacidade para além dos dados pessoais sensíveis

Autor

  • Jean Carlo Jacichen Luz

    é advogado na área de Privacidade e Proteção de Dados certified Information Privacy manager (CIPM) e DPO (CDPO) pela International Association of Privacy Professionals (IAPP) certificado EXIN ISO 27001 — Information Security Foundation Privacy and Data Protection Foundation e Privacy and Data Protection Essentials e pós-graduado em Direito Processual Civil e Direito Administrativo.

    View all posts

23 de setembro de 2023, 17h08

Os processos rotineiros das organizações envolvem diversas atividades de tratamento de dados pessoais que, pela Lei nº 13.709/2018 (LGPD), são classificados nas categorias de dados pessoais e de dados pessoais sensíveis.

A implicação prática imediata desta repartição ao se falar na conformidade com a legislação é a verificação da hipótese legal (base legal) justificante dos tratamentos realizados com esses dados, elencadas no artigo 7º para o tratamento de dados pessoais, e no artigo 11, mais restritivo, para os dados sensíveis.

A governança em privacidade demanda uma abordagem baseada no risco (risk-based approach) que estabeleça as medidas a serem implementadas de acordo com o grau de risco que as atividades de tratamento representem aos direitos e liberdades fundamentais dos titulares.

Parte da verificação de fatores de risco nas atividades passa pela detecção do envolvimento ou não de dados pessoais sensíveis. O manuseio de dados pessoais sensíveis demanda maior cautela e proteção por parte do agente de tratamento, pois implica, pela sua natureza, maior fator de risco aos direitos e liberdades fundamentais de seus respectivos titulares [1].

Isto é relevante também para a identificação de tratamento de dados de alto risco, conforme prevê a Resolução CD/ANPD nº 2, o que também pode vir a motivar a realização de Relatório de Impacto à Proteção de Dados (RIPD) [2].

Ademais, segundo a ANPD, incidentes de segurança que envolvam dados pessoais sensíveis devem ser valorados como de maior risco na avaliação pelo controlador a fim de determinar se há obrigatoriedade da sua comunicação ou não, conforme artigo 48 da LGPD [3].

Este texto, por outro lado, propõe que outros tipos de dados pessoais, embora não categorizados como sensíveis no sentido estrito da LGPD, possam merecer atenção e proteção especial dentro da estrutura de governança de privacidade de determinada organização, com medidas aplicadas especificamente ao seu contexto.

Por exemplo, ao se falar em categorias de titulares que façam jus à proteção especial, a LGPD já destaca crianças e adolescentes e idosos, os quais inclusive possuem legislação específica — a exemplo do Estatuto da Criança e do Adolescente e o Estatuto do Idoso —, que deve dialogar com a LGPD.

Ainda, pode-se mencionar trabalhadores, imigrantes, pessoas politicamente expostas, celebridades, ou categorias de indivíduos em situação de vulnerabilidade de acordo com o contexto do tratamento, tais como vítimas de desastres naturais ou vítimas de crimes de violência e sexuais.

No que toca a categorias de dados, pode-se mencionar dados bancários e financeiros, antecedentes criminais, interesses pessoais e de lazer, hábitos de consumo, situação econômica, geolocalização e registro de viagens.

Não se está aqui a propor que os tipos de titulares ou de dados acima exemplificados sejam "cravados" como críticos.

A própria identificação de dados pessoais "críticos" — ou outra nomenclatura que se prefira — pode variar de acordo com o contexto do tratamento e ramo de atividades do controlador, cabendo a cada um examinar qual classificação faz mais sentido para si.

No contexto hipotético de tratamento de dados de antecedentes criminais de candidatos a vagas de emprego — quando possível, em acordo com o entendimento jurisprudencial trabalhista —, esta operação deve ser entendida representante de alto risco aos titulares, devendo-se empregar medidas suficientes que impeçam sua divulgação ou acesso indevido, o que pode acarretar impactos severos de natureza moral aos titulares.

De mais a mais, embora dados bancários e financeiros não sejam propriamente dados sensíveis, não há dúvidas da sua criticidade e do potencial de dano ao titular caso sejam utilizados indevidamente. Bem por isso, há obrigatoriedade de requisitos de segurança às instituições autorizadas a funcionar pelo Banco Central [4].

Ainda, pode ser imprescindível para a proteção à vida ou incolumidade física do titular ou de terceiros a garantia da segurança de dados de localização de pessoas politicamente expostas ou de celebridades.

Tais considerações podem até mesmo motivar a realização de um processo de avaliação de riscos da operação de tratamento que culmine num relatório de impacto à proteção de dados pessoais (RIPD), instituto que se mostra ferramenta útil à governança e gestão de riscos de privacidade [5].

A proposta é que esta concepção, para além da classificação entre dados pessoais e dados pessoais sensíveis, pode ser útil à governança ao permitir que os agentes de tratamento adotem postura preventiva e dediquem seus esforços e recursos às áreas onde os riscos são mais significativos e mitiguem esses riscos.

 

[1] Neste sentido, manifestou-se a ANPD no Guia Orientativo: Segurança da Informação para agentes de tratamento de pequeno porte. p. 6. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_seguranca_da_informacao_para_atpps___defeso_eleitoral.pdf. Acesso em 10 set. 2023.

[2] Segundo a ANPD no estudo preliminar sobre o legítimo interesse: "(…) o controlador deverá elaborar relatório de impacto à proteção de dados pessoais, independentemente da realização do teste de balanceamento do legítimo interesse, caso seja identificada, na situação concreta, conforme os demais parâmetros estabelecidos pela ANPD, a existência de alto risco à garantia dos princípios gerais de proteção de dados pessoais e às liberdades civis e aos direitos fundamentais dos titulares". Disponível em: https://www.gov.br/participamaisbrasil/consulta-a-sociedade-de-estudo-preliminar-sobre-legitimo-interesse-1. Acesso em 13 set. 2023.

[4] Exigência disposta na Resolução CMN n° 4.893/2021.

[5] Neste sentido: LUZ, Jean Carlo Jacichen. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: PROCESSO PARA A GESTÃO DE RISCOS. In. Direito e inovação / Organizado por Rhodrigo Deda Gomes et al. — Curitiba : OABPR, 2022. (Coleção Comissões). 323 p.; v.7. Disponível em: https://www.oabpr.org.br/wp-content/uploads/2022/06/e-book-direto-e-inovacao-vol-7.pdf. Acesso em 13 set. 2023.

Autores

  • é advogado na área de Privacidade e Proteção de Dados, certified Information Privacy manager (CIPM) e DPO (CDPO) pela International Association of Privacy Professionals (IAPP), certificado EXIN ISO 27001 — Information Security Foundation, Privacy and Data Protection Foundation e Privacy and Data Protection Essentials e pós-graduado em Direito Processual Civil e Direito Administrativo.

    Ver todos os posts

Tags:

Encontrou um erro? Avise nossa equipe!