Apesar do advento da internet e seus benefícios, é necessário tomar uma série de cuidados ao navegar pelos sites e páginas online. Afinal, muitos deles requerem que o usuário forneça dados sensíveis.
Os dados sensíveis são informações pessoais que devem possuir tratamentos específicos conforme ditam as leis de dados pessoais em todo o mundo, necessitando de uma cautela maior.
O que são dados sensíveis?
Dados sensíveis são todos os dados que o tratamento pode causar algum tipo de discriminação para o portador.
Ao todo, eles são sete, todos definidos pelos artigos de 11 a 13 da Lei Geral de Proteção de Dados, sendo:
- origem racial ou étnica;
- convicção religiosa;
- opinião política;
- dados genéticos ou biométricos quando estes são vinculados à alguma pessoa;
- pensamento filosófico ou político;
- opção sexual e informações sobre saúde ou a vida sexual como um todo;
- filiação a algum sindicato ou organização de cunho religioso.
De tal forma, essa legislação diz ainda que todas estas informações devem ser protegidas devidamente, estando elas armazenadas em um banco de dados ou não.
Além disso, existe o Princípio da Não-Discriminação, que prevê que qualquer uso de dados, sejam eles sensíveis ou não, não pode gerar alguma falta de valor ou então resultados parciais.
Entretanto, profissionais autônomos, empresas e o governo apenas podem tratar destas informações sensíveis se possuírem consentimento explícito do titular destes dados.
E ainda, apenas é permitido em casos onde existe uma finalidade específica e especificada para o uso das informações.
Uso dos dados sem consentimento do titular dos dados
Apesar de ser necessária a aprovação do titular das dados, existem algumas situações nas quais não é necessário possuir sua autorização.
Estas situações, por sua vez, são específicas definidas pela LGPD como algo possível apenas em casos indispensáveis que estejam ligados a:
- obrigações legais;
- políticas públicas;
- prevenção de fraudes contra o titular dos dados;
- dependência de procedimentos feitos por profissionais da saúde ou da área sanitária;
- quando estes serão utilizados por algum órgão de pesquisa;
- se os dados estão relacionados com alguma questão judicial, seja a requisição de algum direito, algum contrato ou processo;
- preservação da vida e integridade física de algum indivíduo.
Sendo assim, se a situação não possuir qualquer relação a algum destes pontos, é necessário possuir uma permissão do titular para o uso de seus dados.
Afinal, caso alguma empresa realize qualquer tipo de tratamento sem permissão para tal e for descoberta esta ação, ela pode sofrer algum tipo de sanção.
Existe diferença para com os outros tipos de dados?
Uma vez entendido o que são os dados sensíveis LGPD, a dúvida que fica é sobre a diferença que este tipo de dado possui quando comparado com outros dados.
No entanto, em primeiro instante é necessário entender que tudo o que trafega na internet são dados.
Ou seja, a partir do momento em que uma pessoa acessa algum determinado site, diversas informações são cedidas para o sistema da empresa dona daquele domínio específico na internet.
De tal maneira, é possível entender que os dados são mais do que o nome de alguma pessoa, CPF, telefone, endereço de residência, entre outros.
As formas de obtenção dos dados por parte de uma empresa vão além de formulários e contratos, por exemplo.
Além disso, os dados pessoais sensíveis devem ser tratados de forma distinta e única, a fim de proteger estas informações contra eventuais crimes, dentre eles a discriminação.
Junto a este enquadram-se os dados sobre crianças e adolescentes, que também precisam de uma atenção especial uma vez que se tratar de informações sobre um menor de idade.
E, ao falar sobre a maneira de captar, usar ou tratar estes dados, é válido pontuar que a única, de acordo com a lei, é através da permissão de pais ou responsáveis.
Dessa forma, a principal diferença entre informações sensíveis para os outros tipos de dados é justamente a utilização por terceiros para fins indevidos e que podem lesar o titular.
Dois exemplos destes danos, que por sinal são os que mais ocorrem, são os mais variados tipos de fraudes e as vendas não autorizadas de dados.
Qual a relação entre dados sensíveis e a LGPD?
Existe uma relação direta entre o considerado dado pessoal sensível e a Lei Geral de Proteção de Dados.
Afinal, além de esta legislação ditar quais são eles e quais critérios são tomados como base para definir o que é uma informação sensível ou não, ela dita ainda como deve ser feito o tratamento destes dados.
Sendo assim, todas as empresas que realizam a coleta ou tratamento de dados devem seguir todas as determinações da LGPD.
Estas, por sua vez, são necessárias para que uma determinada empresa possa captar e fazer uso das informações.
Sendo assim, é determinado pela lei que deve existir uma aprovação livre, informada, clara, formal e específica por parte do titular que libera a empresa.
Além disso, existe a necessidade de que a instituição explique a maneira como os dados serão tratados de maneira detalhada e suficientemente clara.
De tal forma, se o titular dos dados não permitir após saber o uso que os dados terão, ou até mesmo antes, a empresa não pode nem coletar as informações.
E, caso este ponto não seja respeitado, a situação entra como uma infração da lei, podendo gerar multas.
O tratamento deste tipo de dado deve ser feito de forma diferente?
Como citado anteriormente, o tratamento de dados sensíveis não é o mesmo de outros tipos de dados.
Normalmente, existe uma coleta de dados a partir do momento em que alguma pessoa entra em algum site que faça o uso de cookies, por exemplo.
Sendo assim, é possível entendermos que, para este caso, não existe alguma permissão por parte do titular dos dados para que estes sejam captados.
A diferença para o que é considerado sensível perante à legislação brasileira de proteção de dados é que desde o começo deve haver uma permissão.
Em outras palavras, o usuário deve autorizar à primeiro instante que estas informações sejam captadas.
De tal maneira, a empresa deve fazer uma declaração formal pedindo o consentimento do titular para que a instituição possa então tratar da maneira como quiser estes dados.
É necessário que as ações feitas não causem qualquer tipo de dano ou lesão ao titular.
A lei ainda define a Autoridade Nacional de Proteção de Dados (ANPD) deve determinar os padrões e táticas usadas para anonimato dos dados.
Além disso, é autorizado que a ANPD faça uma verificação de segurança destas técnicas e organizacional adotadas pelas empresas.
Agora, quando se trata de informações de crianças e adolescentes, sendo estes sensíveis ou não, a lei diz que existe apenas uma regra.
E esta, por sua vez, diz que o tratamento destes dados deve ser feito no melhor interesse do menor de idade.
Assim, necessário possuir o consentimento claro dos pais ou responsáveis legais. Além disso, estas ações devem estar de acordo com a obrigação que os controladores possuem.
Estas, por sua vez, entram nos quesitos de:
- Manter claro quais serão as informações coletadas;
- Qual será o uso dos dados;
- Quais procedimentos podem trazer direitos ao titular.
Sendo assim, se algum destes pontos não for seguido, a empresa poderá ter problemas judiciais.
Como o profissional de TI se relaciona com os dados sensíveis?
A este ponto entendemos o que são os LGPD dados sensíveis, a relação com a lei e como devem ser tratados.
Por isso, entraremos agora no ponto que tange o profissional de TI.
E existe uma relação direta, uma vez que este é o profissional designado de uma empresa para tomar ações de segurança de informação.
Sendo assim, se torna responsabilidade deste profissional elaborar uma maneira de, a primeiro momento, a instituição possuir a permissão do titular dos dados.
Uma vez feito isso, é necessário então que exista algum banco de dados ou sistema no qual pode ser feito o armazenamento dos dados de maneira segura.
Todos estes são pontos que alguém com conhecimento em TI consegue suprir.
Contudo, uma das ocupações mais recomendadas, e que possuem um maior conhecimento de tudo o que a LGPD e a GDPR dizem, é o DPO.
O Data Protection Officer é um profissional que cuida diretamente das questões sobre proteção de dados, tanto da empresa como dos clientes.
E para se tornar especialista nesta área, é necessário três certificações, além de conhecimentos em processos, tecnologia, direito e conhecimento do negócio que está inserido.
As certificações exigidas são PDPF, PDPP e ISFS, todas elas oferecidas por empresas como a EXIN.
Uma vez que todos estes certificados forem conquistados pelo profissional, ele se torna então um DPO.
Dessa forma, ele é capaz de assegurar de maneira mais efetiva a proteção e segurança destas informações.
Assim, se torna possível tomar o maior cuidado com os dados sensíveis, algo necessário e indicado uma vez que o seu uso pode ser para crimes como fraude e discriminação.