Dados pessoais são continuamente tratados nas mais diversas atividades cotidianas, seja em compras em farmácias, na manutenção de perfis em mídias sociais, na abertura de contas em bancos ou por meio de ferramentas de vigilância e reconhecimento facial. Quanto mais dados sensíveis são tratados e tecnologias sofisticadas são empregadas, mais perfis são criados e predições realizadas. É possível, assim, conhecer com elevada precisão hábitos, comportamentos, gostos, preferências, ascendência, estado de saúde e crenças de uma pessoa.
A Lei Geral de Proteção de Dados afirma que são dados sensíveis: aqueles que versam sobre origem racial ou étnica, convicção religiosa, opinião política e filiação a sindicato ou a organização de caráter religioso, filosófico ou político. São também sensíveis os dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos. Mas o que torna um dado pessoal um dado sensível? Como o legislador brasileiro chegou a seleção de dados? Como identificar um tratamento de informações que possa ter efeitos discriminatórios ilícitos ou abusivos? Quais cuidados precisam ser observados nesse tratamento?
A proteção dos dados sensíveis é especialmente relevante para a garantia dos direitos e liberdades fundamentais, devendo ser tutelados de forma mais específica e cuidadosa. Isso porque, em virtude da qualidade e da natureza das informações que trazem, seu tratamento ou eventual vazamento pode gerar riscos significativos às pessoas envolvidas, podendo ser fonte para preconceitos e discriminações ilícitas ou abusivas em face do titular e de grupos.
Faz parte dessa categoria todo conteúdo relacionado à intimidade, identidade e proteção da igualdade material pessoal. Além disso, diante das novas dinâmicas de poder e de expressão, abrange também informações que vêm integrando a esfera pública em que se encontra seu titular, constituindo as convicções que ele deve poder manifestar publicamente e que fazem parte de sua identidade pública.
A seleção sobre quais dados são sensíveis demonstra que a circulação de determinadas informações pode acarretar maior potencial lesivo aos seus titulares, bem como dinâmicas discriminatórias, em uma determinada configuração social e política. Diante disso, deve-se desenvolver o tratamento de dados sensíveis tanto em instituições públicas quanto privadas dentro de uma estrutura ampliada de proteção.
Listamos 5 recomendações para o tratamento de dados sensíveis:
1 – Selecionar base legal dentro do Art. 11 da LGPD
Todo tratamento de dados sensíveis deve ser respaldado em uma das oito bases legais dispostas no Art. 11 da LGPD. As opções apresentadas são mais restritas – não englobando por exemplo o legítimo interesse e a tutela do crédito – e impõem para a sua aplicação requisitos adicionais de proteção. O consentimento recebe, por sua vez, mais qualificações, devendo ser livre, informado, inequívoco e dado de forma específica e destacada, para finalidades específicas.
2 – Considerar o desenvolvimento de um relatório de impacto
O relatório de impacto à proteção de dados pessoais não é obrigatório para o tratamento de dados sensíveis, porém, é visto como boa prática e instrumento relevante contra a discriminação, podendo ser requerido pela Autoridade Nacional de Proteção de Dados. Trata-se de documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
3 – Aplicar de forma ampliada medidas técnicas, administrativas e de segurança da informação.
Analisar e gerenciar riscos representam fundamentos para os sistemas de compliance, mostrando-se ações estratégicas e que devem estar presentes em todas as tomadas de decisão. Em qualquer organização será fundamental designar um Comitê de Segurança da Informação; implementar uma Política de Segurança da Informação que estabeleça diretrizes sobre padrões e medidas técnicas internas de segurança; e desenvolver um Plano de Resposta a Incidentes de Privacidade. Aqui, mostra-se relevante aplicar também as normas ISO pertinentes.
4 – Dialogar com os princípios do “Privacy by Design” e do “Privacy by Default”.
A lógica do privacy by design preconiza que a tutela da privacidade deve ser considerada desde a concepção e durante todo o ciclo de vida de quaisquer projetos, sistemas, serviços, produtos ou processos que envolvam o tratamento de dados pessoais, especialmente se eles forem sensíveis. Por consequência, deverão ser desenvolvidas por parte do controlador avaliações prévias de impacto, medidas técnicas e organizacionais adequadas e instrumentos de prestação de contas e transparência. A proteção de dados por padrão significa que você precisa especificar e delimitar os dados pessoais antes do início do tratamento, informar as pessoas de maneira adequada acerca da operação e tratar apenas os dados de que precisar para o seu propósito específico.
5 – Atentar-se aos princípios da não discriminação, minimização e finalidade.
O princípio da não discriminação veda qualquer tratamento para fins discriminatórios ilícitos ou abusivos, buscando assegurar a igualdade material e a liberdade nas relações. A minimização – também chamada de princípio da necessidade – impõe a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Por sua vez, o princípio da finalidade destaca que o tratamento deverá ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
A lista acima – claramente exemplificativa – traz boas práticas e disposições legais para o tratamento de dados sensíveis. Reflete também orientações de autoridades europeias de proteção de dados. Para se aperfeiçoar no tema, é necessário constante estudo, reciclagem e leituras de bons guias e papers. Mais do que orientar os fluxos de dados, a LGPD vem mudar a própria cultura de proteção de dados e da privacidade no Brasil.
William Martinez
31/08/2021