1. O que são dados pessoais sensíveis?
A Lei Geral de Proteção de Dados (13.709/2018), em seu artigo 5º, inciso II, define o que são dados pessoais sensíveis. São eles: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso; filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural.
A proteção assegurada desses dados pela legislação, busca, principalmente, o atendimento ao Princípio da Não-Discriminação. Vejamos a transcrição do artigo:
Art. 5º Para os fins desta Lei, considera-se:
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
A LGPD traz, ainda, em seu artigo 11, as hipóteses exclusivas que permitem o tratamento desse tipo de dado, e é denominada “numeros clausus”, pois determina pontualmente quais são estas situações.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:(Redação dada pela Lei nº 13.853, de 2019) Vigência
I – a portabilidade de dados quando solicitada pelo titular; ou(Incluído pela Lei nº 13.853, de 2019) Vigência
II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. (Incluído pela Lei nº 13.853, de 2019) Vigência
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
Na primeira hipótese, em que permite o tratamento dos dados pessoais sensíveis, é o consentimento do titular, que deve observar as regras do artigo 8º da LGPD. Nele há a exigência de forma destacada a respeito destes dados, menciona, também, que deve haver finalidade específica.
Porém, existem algumas exceções que permitem que estes dados pessoais sensíveis sejam tratados SEM o consentimento do titular, são eles:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantia, sempre que possível, a anonimização dos dados pessoais sensíveis.
d) exercício regular de direitos;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
g) garantia da prevenção à fraude e à segurança do titular;
Essas exceções serão tratadas no próximo tópico, com a finalidade de exemplificar cada assunto. Além disso, na alínea “g” do mesmo artigo, são abordados, simultaneamente, os mecanismos de contenção de fraude e limites estabelecidos por direito e liberdades fundamentais.
Observa-se como direitos e liberdades fundamentais, definidos pela ONU, à vida, à liberdade de opinião e de expressão, direito ao trabalho e à educação, dentre muitos outros. Ressalta-se que a própria alínea anteriormente mencionada, resguarda diretamente os direitos do titular que estão previstos no artigo 9º da LGPD.
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Então você deve estar pensando: em quais hipóteses se dá o tratamento do dado pessoal sensível? Pois então, no artigo 11 da LGPD, o primeiro parágrafo prevê a equiparação de um dado pessoal a um dado pessoal sensível, quando o primeiro revelar um dado que possa causar dano ao titular dos dados.
No que tange ao segundo parágrafo, a determinação se dá quando os órgãos públicos utilizarem para obrigação legal ou regulatória e a execução de política pública, estes devem dar publicidade da dispensa do consentimento (respeitando o determinado no art. 23 da LGPD, referente aos atos da Administração Pública).
O terceiro parágrafo regula o compartilhamento de dados sensíveis, determinando que a transferência desses dados entre os controladores que tenham como o objetivo obter vantagem econômica poderá ser vedada pela ANPD (Autoridade Nacional de Proteção de Dados), ou tratada com regulamento próprio.
No quarto parágrafo, fica vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de conseguir vantagem econômica, ressalvadas as exceções previstas no parágrafo 5º do artigo 11.
E por fim, no parágrafo quinto é vedado às operadoras de planos privados de saúde o tratamento desses dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
2. Hipóteses em que os Dados Pessoais Sensíveis podem ser tratados SEM o consentimento do Titular
Existem sete possibilidades elencadas no artigo 11, inciso II, e suas alíneas, em que os dados pessoais sensíveis poderão ser tratados sem o consentimento do titular, perceba que é um rol taxativo trazido pela LGPD.
Quando tratar de cumprimento de obrigação legal ou regulatória, a LGPD mantém esse comando como exceção e consentimento em todas as hipóteses de processamento de dados, seja privado ou público. Ou seja, sempre que a Lei ou ato regulatório determinar o processamento de dados, o ente público ou privado poderá processar esses dados.
Ainda sobre o ponto anterior, a legislação resguarda a necessidade de a Administração Pública não ficar engessada na execução das políticas públicas, por exemplo, campanhas voltadas ao público LGBT+, negros, índios, mulheres, etc.
No que tange a exceção para realização de estudos por órgãos de pesquisa, garantidos, sempre que possível, a anonimização dos dados pessoais sensíveis, é mantida, assim como no processamento dos dados pessoais.
A exceção de cumprimento contratual, no exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, também continua vigente.
Sobre o tópico que aborda a proteção da vida ou da incolumidade física do titular ou de terceiro, vale ressaltar que o ônus de comprovar os fatos alegados para a dispensa do consentimento cabe ao Controlador.
Ainda, utilizar os dados sensíveis em casos de saúde é autorizado apenas quando o procedimento é realizado por profissionais da área da saúde ou sanitárias. Porém, perceba que não adianta contratar um enfermeiro para processar os dados, isso não eximirá o controlador de pedir o consentimento e explicar a finalidade. A garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, obviamente que resguardados os direitos mencionados no artigo 9º da LGPD.