LGPD: dados pessoais sensíveis

Nesse post, iremos abordar o conceito de dados sensíveis, uma nova categoria criada pela LGPD. As restrições ao uso desses dados é maior, com regras mais rigorosas. Os consentimentos devem ser mais enfáticos e menos genéricos ainda do que para os dados pessoais normais.

Lembrando nosso roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

Os dados pessoais sensíveis são regulados pelos artigos 11 a 13 da LGPD. A lei os define no art. 5º, inciso II (1). É o dado pessoal sobre:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou a organização de caráter religioso;
  • Filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Essas sete categorias de informação são especialmente protegidas pela lei, em busca do atendimento, principalmente, do Princípio da Não-Discriminação. O art. 11 da LGPD define as hipóteses exclusivas que permitem o tratamento desse tipo de dado. Essa lista, dada a redação do caput, é numerus clausus.

A primeiro hipótese é dada pelo consentimento do titular. Esse consentimento, além de seguir as regras gerais do art. 8º, exige forma destacada a respeito dos dados sensíveis, além de mencionar a finalidade específica. Seguem valendo as regras de Boa-fé, Finalidade, vícios de consentimento, entre outras. O processamento de dados sensíveis poderá ser feito sem o consentimento do titular em sete hipóteses:

  • Cumprimento de obrigação legal ou regulatória pelo controlador; sem surpresas. A LGPD mantém esse comando jurídico como exceção e consentimento em todas as hipóteses de processamento de dados, seja privado ou público. Sempre que a lei ou ato regulatório determinar o processamento de dados, ou caso o cumprimento da lei ou ato regulatório seja condicionado à obtenção dos dados, o ente público ou privado poderá processar o dado pessoal, ou pessoal sensível.
  • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; na mesma linha da hipótese anterior, a LGPD resguarda a necessidade de a Administração Pública não ficar engessada na execução das políticas públicas. Por exemplo, campanhas e ações voltadas ao público LGBT+, negros, índios, mulheres etc. Note que a LGPD especifica que a política pública precisa estar prevista em lei ou regulamento para poder ser utilizada como hipótese de dispensa. Em tese, uma normativa ministerial, que é um ato administrativo, não será suficiente para embasar essa dispensa, o que deve gerar uma boa dor de cabeça para o Estado, que deverá estender o alcance da norma da LGPD para englobar normativas e outros atos da administração direta, ou fixar entendimento nos tribunais superiores com uma interpretação que equipare determinados atos administrativos a leis e regulamentos.
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; do mesmo modo que no processamento dos dados pessoais, a exceção para órgãos de pesquisa é mantida. Vale lembrar a definição dada pela LGPD para essas entidades no artigo 5º, inciso XVIII: “órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;” Outro ponto importante é a determinação de que os dados devem ser anonimizados sempre que possível. Como antes, “possível” não se refere à empresa, mas aos dados. Se é possível que os dados sejam anonimizados, eles devem ser, independente da conveniência disso para a empresa. Note que a alínea utiliza a palavra “garantida”, designando com isso que mais do que anonimizar, a empresa deve garantir que a anonimização seja efetiva.
  • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); também se mantém a exceção de cumprimento contratual, mas reúne nessa mesma alínea a exceção de procedimento judicial, administrativo ou arbitral.
  • Proteção da vida ou da incolumidade física do titular ou de terceiro; autoexplicativo. Vale lembrar que o ônus de comprovar os fatos alegados para a dispensa do consentimento cabem ao Controlador.
  • Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; Utilizar os dados sensíveis em casos de saúde é autorizado apenas quando o procedimento é realizado por profissionais da área de saúde ou sanitárias. Isso não significa, obviamente, que contratar um enfermeiro para processar os dados eximirá o controlador de pedir consentimento. Afinal, a Finalidade do processamento é o que se leva em conta, ao analisar-se se houve inadimplemento da obrigação legal.
  • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Essa alínea é interessante, pois aborda simultaneamente mecanismos de contenção de fraude e limites estabelecidos por direitos e liberdades fundamentais. Sem entrar nas definições e nuances dos Direitos Fundamentais, podemos ver uma rápida definição do tema, dada pela ONU:

“Os direitos humanos incluem o direito à vida e à liberdade, à liberdade de opinião e de expressão, o direito ao trabalho e à educação, entre e muitos outros. Todos merecem estes direitos, sem discriminação.

O Direito Internacional dos Direitos Humanos estabelece as obrigações dos governos de agirem de determinadas maneiras ou de se absterem de certos atos, a fim de promover e proteger os direitos humanos e as liberdades de grupos ou indivíduos (2).”

Ademais, a alínea ainda resguarda diretamente os direitos do titular que estão expressos no art. 9º.

O §1º do art. 11, LGPD, prevê a equiparação de um dado pessoal a um dado pessoal sensível, no caso de o tratamento de um dado pessoal revelar um dado pessoal sensível e que possa causar dano ao titular dos dados, ressalvadas as exceções previstas na própria LGPD. O §2º do art. 11, LGPD, determina que quando órgãos públicos utilizarem a primeira ou a segunda hipótese de dispensa de consentimento (obrigação legal ou regulatório e execução de política pública) devem dar publicidade da dispensa do consentimento, respeitando o determinado no art. 23, I, da LGPD[1]. O artigo 23 se refere aos atos da Administração Pública.

O §3º regula o compartilhamento de dados sensíveis, determinando que a transferência de dados entre controladores que tenha como objetivo obter vantagem econômica poderá ser vedada pela ANPD ou tratada com regulamento próprio, ouvidos os órgãos setoriais do Poder Público.

Já o §4º, em sua redação dada pela MP 869/2018, veda a comunicação de dados sensíveis de saúde entre controladores com objetivo de obter vantagem econômica, exceto em duas hipóteses: i) portabilidade de dados solicitada pelo titular; e ii) necessidade de comunicação para prestar serviços de saúde complementar. Este parágrafo mira diretamente as empresas de planos de saúde e seguradoras (no tocante à seguros de saúde e seguros de vida).

O artigo 12 foi colocado na seção II da LGPD, que deveria tratar exclusivamente dos dados sensíveis, mas ele trata dos dados pessoais de um modo geral. A lei determina que os dados anonimizados não serão considerados dados pessoais, nos termos da LGPD. Isso quer dizer que, se e quando os dados forem anonimizados com sucesso, eles deixa de ter de seguir as determinações da LGPD. Mas atenção: é preciso que os dados não sejam passíveis de reversão por meios exclusivamente próprios, ou quando, com razoável esforço, puder ser revertido.

Bem, temos aqui, novamente, uma cláusula geral, cujo conteúdo jurídico deverá ser determinado, cujos limites de aplicabilidade deverão ser estabelecidos. Vejamos, o que é “exclusivamente meios próprios”? Se eu adquirir um software de terceiros, isso o exclui, por não ser exclusivamente próprio? Quer me parecer que sim, pois o software adquirido não será nem próprio (já que outro o desenvolveu) e nem exclusivo (já que qualquer um pode comprá-lo). Mas se adquiri a licença de uso e incorporo o software à cadeia produtiva da minha empresa, temos um meio próprio? Essas perguntas deverão ser respondidas pelo Poder Judiciário nas ações futuras.

Outro ponto aberto é “razoável esforço”. O que é razoável? Nesse caso, o legislador foi além e, no §1º, art.12, LGPD, define que “razoável” deve levar em conta fatores objetivos, tais como custo, tempo empregado no esforço de reversão, tecnologias disponíveis e utilização exclusiva de meios próprios. O que nos leva de volta à primeira discussão: o que são “exclusivamente meios próprios”?

Se no caput do artigo 12, o legislador prevê uma desregulação dos dados que foram anonimizados, no §2º ele prevê uma expansão do conceito de dados pessoais, afirmando que serão considerados dados pessoais aqueles utilizados para definir perfil comportamental de pessoa natural, se ela for identificada. Ou seja, mesmo que não tenha os dados pessoais – CPF, passaporte, idade, condição médica, posição ideológica, orientação sexual – se através de um perfil comportamental forem revelados dados pessoais, então esse processamento será considerado dado pessoal e está submetido à LGPD. Por exemplo, se eu traçar o perfil de Fulano de Tal, frequentador de sauna gay, comprador de artigos de sadomasoquistas em Sex-Shop, que no Carnaval de 2018 comprou ingresso no Gala Gay, mesmo que eu não fale de sua orientação sexual, é possível identifica-lo como homoafetivo, por seu perfil comportamental. Nesse exemplo, o perfil comportamental, ao revelar orientação sexual, é equiparado a dado pessoal sensível e submetido às regras específicas dos artigos 11 a 13 da LGPD e às gerais do restante da lei 13.709/2018.

O §3º do art.12 permite que a ANPD determine os padrões e técnicas utilizadas para anonimização e autoriza a realização de verificações quanto à segurança dessas técnicas. Assim, é possível que tenhamos a publicação de normativas da ANPD estabelecendo o padrão de anonimização, bem como autorização judicial para realizar auditorias nos bancos de dados privados das empresas controladoras e operadoras de dados, sem a necessidade de mandado judicial, por exemplo. É importante salientar que essa auditoria poderá se dar apenas em bancos de dados que comportem dados pessoais anonimizados.

O art. 13 e seus quatro parágrafos, que encerram a seção II do Capítulo II da LGPD, trata especificamente dos órgãos de pesquisa em saúde pública e introduz um novo conceito: o dado pseudoanonimizado. Os comandos jurídicos do caput artigo são:

  • Exclusivamente para pesquisas em saúde pública;
  • Órgãos de pesquisa podem ter acesso aos dados pessoais;
  • Devem ser tratado exclusivamente dentro do órgão de pesquisa;
  • São estritamente de uso para a finalidade de estudos e pesquisas;
  • Devem ser mantidos em ambientes seguros e controlados;
  • Devem seguir práticas de segurança previstas em regulamento específico;
  • Incluir, sempre que possível, anonimização ou pseudoanonimização de dados;
  • Considerar padrões éticos relacionados a pesquisas e estudos;

A primeira definição é o uso exclusivo para pesquisas em saúde pública. Em Direito, exclusivamente é advérbio que determina que somente os indivíduos definidos pela exclusividade podem exercer aquele ato; somente eles, excluídos quaisquer outros (3). Ou seja, o artigo está falando apenas para pesquisas em saúde pública. O segundo elemento concede permissão para que os órgãos de estudo ou pesquisa acessem bases de dados pessoais. O terceiro elemento determina uma restrição: os dados devem ser tratados exclusivamente dentro do órgão. Não podem ser tratados em uma empresa terceira, ou levadas por pendrive ou DVD para tratamento em casa ou na sede de outra empresa, ou ser tratada remotamente. A ordem é bem clara: dentro do órgão. Fisicamente dentro das instalações. Os dados não podem sair das instalações. Já o quarto elemento do caput fecha mais um pouco a possibilidade de uso, utilizando-se do termo “estritamente”. O uso deste termo determina que a aplicação da ordem jurídica está regulada em caráter taxativo, e assim não admite ampliação (3). O quinto elemento especifica que os dados devem ser mantidos em ambiente seguro e controlado. Seguro, no sentido de não poder ser invadido, destruído, copiado, levado embora. Controlado, no sentido de ter seu acesso limitado às pessoas com autorização, verificadas e liberadas pela área de segurança do órgão. O sexto elemento avisa que é preciso haver um regulamento específico para o acesso desses dados, além de determinar práticas de segurança. Não basta que essas práticas existam. Eles devem ser documentadas, reunidas em regulamento específico, do qual se dê publicidade para o órgão e se controle a aplicação e efetividade. O sétimo elemento determina que a anonimização ou pseudoanonimização devem ser aplicados, sempre que possível. Nós já sabemos o que é anonimização, mas o conceito de pseudoanonimização é dado pelo §4º: “Para os efeitos deste artigo, a pseudoanonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.” Ou seja, só é possível identificar o indivíduo titular dos dados, utilizando-se de um segundo fragmento do dado, em posse do órgão de pesquisa. O oitavo comando é a recomendação de que os padrões éticos para estudos do tipo devem ser respeitados. Via de regra, existe uma comissão de assuntos éticos que deve aprovar estudos e pesquisas de mestrado e doutorado, por exemplo, nas áreas de saúde. Sem esse aval, a pesquisa da dissertação ou tese não pode ser desenvolvida.

O §1º do art. 13, LGPD, veda qualquer hipótese de revelação dos dados pessoais na divulgação dos resultados das pesquisas ou qualquer parte do estudo. Não há exceções. Isso significa que se os dados pessoais de pesquisas e estudos da área de saúde pública forem revelados, estamos diante de um ilícito[2].

O §2º, por sua vez, veda expressamente, em qualquer hipótese, a transferência de dados a terceiros. A responsabilidade dos dados pessoais é do órgão de pesquisa ou estudos, que responderá civil e penalmente pelo uso indevido deles. Vale lembrar que o artigo 12 determina que os dados corretamente anonimizados não serão mais considerados dados pessoais.

O §3º determina que o acesso aos dados pessoais em pesquisas de saúde será objeto de regulamentação pela ANPD e pelos órgãos de saúde e sanitários, cada qual na sua esfera de competência administrativa. Isso significa que esse artigo não é auto-aplicável no que tange a acesso dos dados pessoais, dependendo ainda de uma regulamentação complementar a ser feita no futuro. Isso não significa que o restante dos comandos jurídicos não sejam aplicáveis.

No próximo post, vamos falar sobre os novos papéis que a LGPD cria, suas responsabilidades, deveres jurídicos e penalizações.

Até lá!

 

REFERÊNCIAS

  1. Lei Geral de Proteção de Dados BR [Internet]. 13.709/2018 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  2. ONU. O que são os direitos humanos? [Internet]. A Declaração Universal dos Direitos Humanos. [cited 2015 Apr 16]. Available from: http://www.dudh.org.br/definicao/
  3. OTHON SIDOU JM. Dicionário Jurídico: Academia Brasileira de Letras Jurídicas. 7a. Rio de Janeiro: Forense Universitária; 2001.

 

[1] Art. 23.  O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

[2] Vamos analisar a responsabilidade e as penalidades da LGPD no próximo post, quando trataremos dos novos papéis que a LGPD cria, suas características, obrigações e penalidades.

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007). 
Pós-graduando em European
Business Law e Human Rights for Open Societies.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *