A Lei Geral de Proteção de Dados Pessoais (LGPD), como o nome indica, veio a tratar de dados pessoais. Os dados pessoais são uma categoria ampla, nela estão os dados ordinários e os dados específicos . Por conta disso, muitas das vezes surge uma confusão entre essas duas categorias.
Essa confusão se torna ainda mais crítica quando se tem em mente que o tratamento irregular de dados pessoais, sejam ordinários, sejam sensíveis, podem acarretar multas!
Sendo assim, para ajudar você a entender melhor essas questões, vamos tratar dos dados sensíveis!
O que são dados sensíveis?
Dados sensíveis são informações relativas a uma pessoa física que descrevem questões íntimas e críticas da personalidade de uma pessoa.
São exemplo de dados sensíveis:
- Religião;
- Orientação sexual;
- Posicionamento político;
- Dados de saúde e biométricos;
- Filiação a sindicato;
- Dados genéticos.
Esses dados são considerados sensíveis porque, em caso de vazamento, revelariam informações que podem causar danos maiores às pessoas.
Imagine, por exemplo, o vazamento da religião? Em determinadas épocas e lugares, isso pode significar a morte de uma pessoa!
Ou imagine o vazamento de que determinada pessoa possui certa doença? O preconceito associado a algumas doenças é, ainda, devastador.
Por isso, além dos cuidados que os dados pessoais possuem, os dados sensíveis requerem uma atenção especial no seu tratamento, tendo em vista o dano que podem causar ao seu titular, além das multas que podem ser aplicadas.
Como os dados sensíveis não podem ser usados?
Como visto, o uso dos dados pessoais sensíveis requer uma atenção especial. Logo, trazemos alguns exemplos de situações em que os dados sensíveis não podem ser usados:
Uso de religião na contratação de colaboradores
Na contratação de colaboradores, não é permitida a coleta de dados sensíveis desnecessários (como é o caso da religião).
Isso porque, para a LGPD, os dados coletados devem possuir uma finalidade. Sendo assim, qual seria a finalidade de se saber a religião?
Se a ideia é saber, por exemplo, se o colaborador trabalhará aos sábados, pode-se ser mais direto e perguntar: “Você trabalha aos sábados?”.
Desse modo, evita-se a coleta desnecessária de dados pessoais sensíveis.
Compartilhamento de dados sensíveis
Sendo o dado pessoal sensível coletado para uma finalidade (exemplificativamente: realização de exame, identificação etc), não poderá, regra geral, ser feito o compartilhamento para outras organizações e com outras finalidades, salvo sejam preenchidos os requisitos legalmente estabelecidos.
Por isso, o compartilhamento de dados sensíveis de forma indiscriminada é uma hipótese não admitida pela Lei Geral de Proteção de Dados Pessoais.
Existe diferença entre dados pessoais e dados sensíveis?
Sim, como dito, dados pessoais sensíveis são informações mais íntimas e críticas referentes à pessoa e, justamente por isso, requerem um tratamento mais atento e rígido.
Já os dados pessoais são uma categoria ampla, que engloba os dados ordinários e os dados sensíveis.
Como tratar dados sensíveis para LGPD?
Quando tratar dados pessoais sensíveis, você deve sempre pensar nos seguintes tópicos:
- Os dados são realmente necessários?
Não há possibilidade de coletar outros dados? Preciso mesmo desses dados?
Sempre tenha esses questionamentos em mente quando tratar dados pessoais sensíveis. Se os dados não forem necessários, não os utilize!
- Por que estou coletando esses dados?
Qual a finalidade? Um dado sensível não pode ser coletado simplesmente para ser coletado. Ele precisa ter uma finalidade específica e legítima.
Os dados estão seguros?
Se um incidente ocorrer, eu sei o que fazer? Se houver um acesso indevido, o atacante conseguirá ver integralmente meus dados? Eu formalizei as minhas práticas em documentos? Consigo comprovar a adoção dessas práticas?
Quais os processos mais seguros para armazenar os dados?
Para armazenamento de dados pessoais, algumas boas práticas são recomendáveis:
Criptografia dos dados
Sempre que possível, adote a criptografia dos dados. Dessa forma, caso haja um acesso indevido, o dano causado é menor.
Limitação de acesso
Só permita o acesso às informações às pessoas que possuem uma atividade vinculada àquela informação. Evite, portanto, o acesso indiscriminado às informações.
Treinamento dos colaboradores
A maior parte dos vazamentos de dados ocorre por conta de erro humano. Consequentemente, prevenir esses vazamentos por meio do treinamento de colaboradores, capacitando-os sobre proteção de dados e segurança da informação é o melhor caminho.
Adoção de medidas técnicas (inventário das máquinas, SIEM, DLP etc)
A proteção das informações não fica só na adoção de medidas organizacionais (treinamento, políticas etc); é preciso, também, a adoção de medidas técnicas.
Nesse sentido, algumas ferramentas surgem para ajudar a proteção das informações: DLP (para evitar a perda de dados); SIEM (para monitorar a rede); Firewall (para mitigar riscos à rede) são exemplos dessas ferramentas que a empresa pode adotar para se resguardar.
Quais os riscos relacionados ao não tratamento dos dados sensíveis?
Caso o tratamento de dados pessoais não esteja de acordo com o que prevê a Lei Geral de Proteção de Dados Pessoais, a empresa pode sofrer algumas sanções, como, por exemplo:
- Multa de até 2% do faturamento;
- Proibição de tratamento de dados pessoais;
- Publicização da infração;
- Eliminação dos dados pessoais;
- Proibição do tratamento de dados pessoais por até seis meses.
Quando falamos em dados pessoais sensíveis, essas sanções tendem a ser ainda mais rígidas, visto que os dados sensíveis podem causar um dano significativo ao titular (pessoa a quem os dados pessoais se referem), que é o objeto de proteção da LGPD.
Gostou desse conteúdo? Compartilhe a sua dúvida ou opinião aqui nos comentários!