Quando não estamos tratando dados sensíveis, utilizamos as hipóteses de tratamento do artigo 7º e quando tratamos de dados sensíveis, utilizamos as hipóteses do artigo 11 da LGPD.

Em post anterior, trouxe o que é a LGPD e o que são dados (O QUE É A LEI GERAL DE PROTEÇÃO DE DADOS?).

Mas, o que é dado sensível?

De acordo com o artigo 5º, II da LGPD, é um dado de origem racial ou étnica (informação cor da pele), convicção religiosa, opinião política, filiação a sindicato, organização de caráter religioso, qualquer tipo de informação que a pessoa possa ser discriminada, dado relacionado a saúde, ele é sensível porque a pessoa pode ser discriminada sofrer preconceito, dado referente a referente a vida sexual (discriminação contratual), dados genéticos (DNA) ou biométricas, eles têm que ser vinculado a uma pessoa natural.

É importante ressaltar que dado pessoal de menor de idade é sensível de acordo com o ECA, os menores de 12 anos são considerados vulneráveis, assim, os dados destes são sensíveis.

Como deverão ser tratados os dados sensíveis?

De acordo com o artigo 11 da LGPD, os dados sensíveis só poderão ser tratados nas seguintes hipóteses, vejamos:

“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

Empresa privada não pode usar essa hipótese, só a administração pública.

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

Não pode tratar dado sensível em preliminar execução de contrato.

e) proteção da vida ou da incolumidade física do titular ou de terceiros;

Se acontecer um acidente, e chamar o SAMU, pode verificar os dados para socorro.

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência.

Toda vez que entra em clínica e hospital e dar os dados pessoais já é tratado como dado sensível, ou seja, adentrou em um ambiente hospitalar, lá na recepção já é considerado dado sensível.

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Ou seja, entra com o login e a senha, se precisarem auditar pra saber se é a pessoa, tem essa hipótese de tratamento, que é garantia de prevenção a fraude.

E Assim, seguem em seus parágrafos:

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

Aqui o legislador quis expandir o rol de dados sensíveis. Podemos trazer aqui os dados das crianças, consideradas vulneráveis.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.

A dispensa tem que ser publicizada.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

Aqui pode ser que seja proibido o compartilhamento entre controladores, ou ainda ser regulamentado pela ANPD.

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei nº 13.853, de 2019) Vigência

Nesse caso, é proibida a comunicação ou compartilhamento de dados sensíveis entre controladores referentes a saúde com o objetivo de ter vantagem econômica.

Exceção:

I – a portabilidade de dados quando solicitada pelo titular; ou (Incluído pela Lei nº 13.853, de 2019) Vigência

II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. (Incluído pela Lei nº 13.853, de 2019) Vigência

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. (Incluído pela Lei nº 13.853, de 2019) Vigência.”

Se por acaso for fazer a portabilidade de plano de saúde e negar por conta de risco, não pode, pois tiveram acesso ao prontuário.

Em síntese, os dados sensíveis devem ainda ser mais protegidos do que os dados pessoais comuns, visto que se vazados os donos dos dados podem sofrer discriminação, mas isso não quer dizer que os dados comuns sejam menos importantes.

Kariny Antunes Farina