Série LGPD- O que é dado sensível? Por Frederico Cortez
Do modismo à realidade! Assim, a lei de governança de dados brasileira pode ser definida na atualidade. Na semana passada, uma reviravolta aconteceu dentro de uma espacialidade de dois dias. Na terça-feira, 25, a Câmara dos Deputados fixou o dia 01 de janeiro de 2021 como o marco inicial para a vigência da Lei Geral de Proteção de Dados (Lei 13.709/2018). No entanto, no dia seguinte, quarta-feira (26), o Senado Federal excluiu o adiamento da LGPD na apreciação da Medida Provisória 959/2020. Para finalizar este dia e com mais emoção ainda, o Governo Federal editou o Decreto nº 10. 474/2020 que instituiu a Autoridade Nacional de Proteção de Dados.
Ufa! Que semana, hein?! Pois é, o que dantes era pauta de meses, tudo foi realizado em menos de três dias. O Brasil sendo Brasil! Bom, o importante é que um grande passo decisivo foi tomado pelos legisladores e Governo. A missão agora de especialistas será destrinchar a LGPD para empresários e gestores públicos.
Nesta série especial de artigos para o portal Focus.jor sobre a LGPD, começo com um escrito acerca do que se denomina de “dados sensíveis” na nova lei de proteção de dados pessoais e da privacidade no País. Bom lembrar para os leitores, que a lei brasileira sobre segurança de dados foi espelhada na lei da União Europeia sobre proteção das informações pessoais, a General Data Protection Regulation (GDPR)
De acordo com o site enforcementtracker.com, que lista os valores das sanções pecuniárias em empresas, repartições públicas e órgãos desde a vigência da GDPR na União Europeia, já foram aplicas 343 multas até o mês de agosto deste ano e que ultrapassam a gigante cifra de R$ 3 bilhões. No Brasil, a empresa ou órgão público que descumprir a nova lei de proteção de dados será multada em até 2% sobre o seu faturamento bruto, limitada cada infração ao valor de R$ 50 milhões, fora outras sanções como advertência; suspensão ou perda do seu banco de dados, dentre outras medidas administrativas. Ou seja, por aqui teremos algo bem parecido em razão da nossa cultura por desinteresse na proteção dos dados pessoais e da privacidade, bem como em relação à característica continental do Brasil.
Feita este introito sobre o novo cenário da LGPD, necessária a explicação sobre o conceito de dados. Conforme artigo já publicado sobre LGPD, “dados” pode ser traduzido como uma característica isolada de determinada pessoa física não tratada e que tem pouca relevância. Todavia, a partir do momento que há o agrupamento concatenado de dados específicos e com uma mínima força de diferenciação entre os pares, temos a partir daí a “informação”. Neste ponto, orbita a Lei Geral de Proteção de Dados (LGPD). A Lei 13.709/18, em seu art. 5º, I, considera dado pessoal como uma “informação relacionada a pessoa natural identificada ou identificável”.
De acordo com a LGPD, os “dados sensíveis” é toda informação com alcance maior e que requer maior atenção, tanto por parte de quem as possui, como também quem tem o poder de fiscalizá-la. O seu conceito legal está insculpido no inciso II, do art. 5º da Lei 13.709/18, sendo ele: “dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Assim, tudo que versar sobre raça ou origem étnica, posicionamento religioso ou filosofia de vida, opinião sobre política, dados genéticos e biométricos, e tudo que for relacionado ao histórico de saúde do paciente ou a vida sexual da pessoa é “dado sensível”. Estes passam a informar uma característica a mais sobre um determinado indivíduo, e que caso não seja tratada (leia-se: manuseada, administrada ou gerenciada) em conformidade com as novas regras disciplinada pela Lei 13.709/18, atrai forte potencial para o seu uso discriminatório. Resumindo, os dados sensíveis são informações derivadas dos dados pessoais.
Diante de todo esse poder em relação aos dados sensíveis, os legisladores acharam por bem priorizar o “consentimento” do titular do dado para o seu uso na LGPD. Neste prisma, a mens legis traz o seu significado como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Na mesma coluna legal, o inciso I, do art. 11, esclarece que a autorização ou consentimento do uso do dado por seu titular ou representante legal deve ser operada de forma específica e destacada.
De outra banda, como toda regra as exceções fazem parte também da nova legislação. Desta feita, desnecessário o “consentimento” para o uso do dado sensível quando presentes: (i) o cumprimento de obrigação legal ou regulatória pelo controlador; (ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; (iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; (iv) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; (v) proteção da vida ou da incolumidade física do titular ou de terceiros; (vi) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária e (vii) para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Importante frisar, que somente em casos indispensáveis está autorizada esta abordagem extraordinária, tudo elencado no art. 11, inciso II da Lei 13.709/2018.
Então assim, este primeiro artigo da série especial sobre a Lei Geral de Propriedade de Dados no portal Focus.jor se encerra. Na semana que vem, o conceito sobre “dado anonimizado” na LGPD será o tema do próximo encontro. Até breve!
Artigo publicado originalmente no portal Focus.jor em 29/08/2020