LGPD e a proteção de dados sensíveis

A LGPD (Leis Geral de Proteção de Dados) fora criada em 2018 entrando em vigor através da Lei 13.709 no o intuito de proteger dados pessoais em semelhança a RGPD (Regulamento Geral sobre a Proteção de Dados) em vigor na União Europeia desde 2016.

Neste cenário, a definição dos tipos de dados é importante para que haja a efetiva proteção destes e, para que o indivíduo afetado pela má conduta do controlador ou operador possa recorrer ao Judiciário. 

Neste momento, cabe indicar que, de acordo com a LGPD, controlador é a "(...) pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais", enquanto que o operador é a "(...) pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador".

 Na RGPD, os dados sensíveis possuem potencial claro de discriminação social. Neste sentido, ipsi literis, segue trecho do preambulo da RGPD sobre o tema: 

"Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais." 

E ainda na mesma partícula textual: 

"Deverão incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso do termo «origem racial» no presente regulamento que a União aceite teorias que procuram determinar a existência de diferentes raças humanas." 

Ou seja, dados pessoais relacionados a étnica, origem racial, orientação política, convicção religiosa/filosófica, filiação sindical, dados genéticos, dados da saúde do indivíduo e dados sobre a vida sexual ou orientação sexual são entendidos como dados sensíveis junto a União Europeia, portanto, merecedores de proteção jurídica. 

No Brasil, com a LGPD, estes dados são identificados da mesma forma, sendo de suma importância sua proteção para evitar que o titular, ou seja, "(...) pessoa natural a quem se referem os dados pessoais que são objeto de tratamento", possa sofrer respostas discriminatórias e/ou agressivas da coletividade. 

Cabe, neste momento, indicar o Art. 11, §1º da LGPD que apresenta a semelhança com a legislação europeia: 

"Art. 11 (...) § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. (grifo nosso)." 

Também é importante explicitar que dado pessoal, conforme o Art. 5º, inciso I da Lei n. 13.709/18, é toda a informação referente a uma pessoa natural. Sendo assim, tanto os dados sensíveis quantos os anônimos são subgrupos desta base conceitual.

Os dados anônimos são referentes a pessoas naturais sem identificação, portanto, de acordo com o Art. 12 da LGPD: 

"Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido." 

Quanto aos dados sensíveis, sua forma de tratamento é diferenciada, visto serem registros importantes e de foro íntimo do titular. 

De acordo com o Art. 11, incisos I e II da LGPD o tratamento destes dados só poderá ser realizado: 

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou     (Redação dada pela Lei nº 13.853, de 2019)    Vigência

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Isto é, no caso de dados sensíveis relacionados à menor de idade, por exemplo, o tratamento deverá ocorrer nos termos do inciso I do Art. 11 da LGPD, ou seja, com expressa autorização de um dos pais ou do responsável legal. 

Contudo, o mesmo artigo apresenta exceção a regra do consentimento em casos emergenciais ou urgentes. 

Portanto, conclui-se que a LGPD seguiu as diretrizes da RGPD europeia, identificando os dados sensíveis como aqueles que podem desencadear alterações discriminatórias no cotidiano do titular, cabendo assim a máxima proteção legislativa.