Já abordamos neste post que, em uma economia em que os dados são um importante e valioso ativo, o seu tratamento de maneira ilimitada e desarrazoada é capaz de causar discriminação e manipulação de usuários.
Imagine-se a situação de uma empresa que não quer ofertar determinados pacotes de viagem a pessoas que tenham determinada doença, embora não exista qualquer razão para essa decisão. Ou, ainda, imagine-se que o dirigente de uma empresa possui preconceito com praticantes de determinada religião e, só por esse motivo, decide impedir que tais pessoas contratem determinados produtos ou sejam submetidas a discriminações durante processos seletivos de contratação.
Assim, para além de um regramento específico voltado ao tratamento de dados de crianças e adolescentes (de que tratamos neste post), a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18) também trouxe um regramento específico para o tratamento de dados pessoais sensíveis.
Definição
O art. 5º, inc. II, da LGPD, define dado pessoal sensível como aquele “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Trata-se, portanto, de uma regra de exclusão. Os dados que não se encaixam na definição de “dado pessoal sensível”, descrita pelo art. 5º, inc. II, da LGPD, devem ser considerados como “não sensíveis” e seu tratamento ocorrerá pelas regras ordinárias, inclusive quanto ao consentimento, de que tratamos neste artigo.
Cabe nota que a definição apresentada pela LGPD é muito próxima da presente no Regulamento Geral de Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation EU), que traz como categoria especial de dados pessoais os dados “que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, (…) [os] dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa” (art. 9º, 1).
Hipóteses de tratamento
Superado o conceito de “dados pessoais sensíveis”, cabe agora destacar as hipóteses em que o tratamento desse tipo especial de dado pode ocorrer.
A obtenção do consentimento para uso de dados pessoais sensíveis requer medidas adicionais. O art. 11, inc. I, da lei, determina que o titular ou responsável legal deve consentir de forma específica e destacada para finalidades específicas. Em outras palavras, além do destaque da cláusula de consentimento, é necessário definir objetivamente para que os dados serão tratados.
O inc. II do mesmo dispositivo assegura o tratamento de dados pessoais sensíveis mesmo sem o consentimento, desde que para:
- Cumprimento de obrigação legal ou regulatória do controlador;
- Tratamento compartilhado de dados necessários à execução, pela Administração Pública, de políticas públicas legalmente previstas;
- Realização de estudos por órgão de pesquisa, garantia, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou,
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos previstos em lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
É imperioso destacar que o §3º do art. 11 assegura que a Autoridade Nacional de Proteção de Dados (ANPD) poderá vedar ou regulamentar a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica, após oitiva dos reguladores – o que ainda deverá ser objeto de discussão no órgão.
Dados pessoais sensíveis na área da saúde
Tema amplamente em discussão em fóruns e eventos sobre a nova legislação de proteção de dados, é o uso de dados pessoais sensíveis na área da saúde.
Não obstante posições contrárias, a Lei nº 13.853/19, que modificou a LGPD, trouxe inovações sobre a temática.
A partir da legislação modificadora, o art. 11, §4º, da LGPD, esclarece que é “vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde”, incluídos os serviços de diagnose e terapia.
Ainda de acordo com o dispositivo, também será permitido o compartilhamento quando for solicitada a portabilidade dos dados pelo titular ou para a realização de transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde já mencionados.
Não obstante, o §5º do mesmo artigo também impede que as operadoras de plano de saúde realizem o tratamento de dados pessoais de saúde “para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.
Considerações finais
Em apertado resumo, a criação de uma categoria especial de dados e a definição de regras específicas para o seu tratamento reconhece a riqueza dos dados e visa impedir que eles sejam utilizados contra o seu próprio titular.
Com a criação de um regramento especial para o tratamento de dados pessoais sensíveis, o legislador reconheceu que algumas informações relativas a pessoas naturais podem ser utilizadas como forma de manipulação, discriminação ou exclusão.
Veja-se, por exemplo, que, ao contrário do que ocorre no tratamento dos demais dados, a LGPD não prevê o tratamento de dados pessoais sensíveis por “legítimo interesse do controlador” (hipótese em que tratamos aqui).
Assim, seguindo padrões internacionais, a legislação trouxe limitações ao tratamento de dados pessoais mais íntimos e privados, visando impedir a violação de direitos fundamentais assegurados na Carta Constitucional e impedir que os dados sejam utilizados para fins escusos.
Sobre os autores
RAFAEL SGODA TOMAZETI – Advogado, sócio da Moreno Moro Advogados. Graduado pelo Centro Universitário Autônomo do Brasil (UniBrasil), tendo sido laureado com o título de melhor aluno do curso de direito. Especialista em Compliance e Integridade Corporativa pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Foi pesquisador pelo Mirante Constitucional/UniBrasil – Observatório de Direito Constitucional a partir da mídia. Possui formação em propriedade intelectual pela World Intellectual Property Organization (WIPO) e em proteção de dados pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). É pesquisador do Grupo de Discussão Permanente “Aspectos Regulatórios da Internet das Coisas” da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB Paraná).
TAILANE MORENO DELGADO MORO – Advogada, sócia fundadora da Moreno Moro Advogados. Graduada pelo Centro Universitário Curitiba (UniCuritiba). Especialista em Direito Tributário e Processo Tributária pela Universidade Positivo (UP); MBA em Governança Tributária pela Faculdade Opet (OPET); MBA em Gestão e Business Law pela FGV (Fundação Getúlio Vargas). Ex-diretora do IBPT Educação e do IBPT – Instituto Brasileiro de Planejamento e Tributação.