Na Lei Geral de Proteção de Dados, as informações das pessoas físicas ou jurídicas são divididas entre sensíveis e anônimas. Os dados coletados de clientes, consumidores e funcionários ficam muito mais protegidos após a aplicação da lei.
Cabe salientar aqui que a LGPD disciplinou a maneira como as informações são coletadas e tratadas em quaisquer situações, seja em meios digitais ou impressos. Dessa forma, estão cobertas, inclusive, situações como cadastros (em sites e blogs), textos e fotos publicados nas redes sociais.
Neste post, você verá o que são, exatamente, os dados sensíveis, qual a diferença entre eles e os dados pessoais, como a LGPD trata esses ativos e, por fim, entenderá por que é preciso ter cuidado com os dados sensíveis na LGPD no RH. Acompanhe!
O que são dados sensíveis?
Todos os dados pessoais (de pessoas físicas e jurídicas) são considerados delicados e requerem proteção. No entanto, para a LGPD, no conjunto de dados pessoais, há os que requerem maior atenção: como os dados de menores de 18 anos, além dos “sensíveis”, aqueles que tratam de:
- origem racial ou étnica;
- ideologias filosóficas;
- filiação a sindicatos;
- questões biométricas ou genéticas;
- problemas de saúde;
- posicionamentos políticos;
- orientação religiosa;
- orientação sexual.
Como a LGPD trata os dados sensíveis?
O tratamento de tais dados pode ser feito com ou — em casos específicos — sem o consentimento do indivíduo. Entenda.
Bases legais para tratar os dados sensíveis
A LGPD desenvolveu um regime jurídico específico para tratar dados sensíveis, envolvendo um conjunto de bases legais mais restritivas. Com isso, criaram-se hipóteses que justificam o uso desse tipo de dado pessoal.
Hipóteses para tratar dados sensíveis
A empresa precisa fazer uma análise jurídica cuidadosa visando garantir que o tratamento seja enquadrado em uma das seguintes hipóteses.
- Com o consentimento do titular ou do responsável legal (no caso de menores de idade), a ser fornecido de maneira especificada e destacada, para fins determinados.
- Sem o consentimento quando for indispensável para:
- tratamento compartilhado das informações necessárias à execução, pela administração pública, de políticas públicas constantes em leis ou normas;
- estudos feitos por órgãos de pesquisa, garantindo a anonimidade dos dados coletados;
- proteger a vida ou a integridade física do titular ou de terceiros;
- prevenir fraudes e segurança de dados do indivíduo;
- cumprir obrigação legal ou regulatória;
- exercício regular de direitos;
- tutela da saúde.
Ao não se enquadrar nestas hipóteses, o tratamento dos dados sensíveis é considerado ilegal, ficando a empresa sujeita a sanções administrativas pela ANPD — incluindo multa de até R$ 50 milhões por infração — e às ações judiciais por parte dos titulares, bem como de órgãos como o Ministério Público.
É importante lembrar que tais disposições aplicam-se não apenas às empresas, como também aos profissionais da saúde, como médicos, dentistas, farmacêuticos, psicólogos, fisioterapeutas etc.
Além disso, é vedado compartilhar dados sensíveis entre controladores de dados pessoais referentes à saúde visando a obtenção de vantagem econômica, exceto se consentido pelo titular ou se a comunicação for para adequação de prestação de serviços de saúde suplementar.
Qual a diferença entre dados pessoais e dados sensíveis?
Veja a diferença e os exemplos dos dois tipos de dados!
Dados pessoais
Os dados pessoais são os que possibilitam a identificação, direta ou indireta, da pessoa natural. Exemplos:
- nome e sobrenome;
- data e local de nascimento;
- RG (Registro Geral);
- CPF (Cadastro Nacional de Pessoa Física);
- retrato em fotografia;
- endereço residencial;
- endereço de e-mail;
- número de telefone;
- histórico de pagamentos;
- hábitos de consumo;
- dados de localização (função de localização no celular);
- endereço de IP (protocolo de internet);
- testemunhos de conexão (cookies);
- número do cartão do banco;
- entendimento quanto ao próprio gênero;
- renda mensal.
Dados Sensíveis
Nos dados sensíveis também entram aqueles que requerem mais atenção no tratamento, como os relacionados aos menores de 18 anos. Além disso, como dissemos no início do artigo, se enquadram nesta categoria tudo aquilo que seja capaz de identificar questões sigilosas de um indivíduo, como orientação sexual, religião, posicionamento político etc.
Contudo, podemos dividir os dados sensíveis de acordo com as categorias abaixo.
Dados de menores de idade
É imprescindível obter o consentimento dado pelo responsável legal, além de se limitar a pedir somente os dados estritamente necessários e sem repassar a terceiros.
Além disso, só podem ser coletados dados de menores (criança e adolescente) necessários para contatar os pais ou o responsável legal. Essas informações só poderão ser utilizadas uma única vez e não podem ser armazenadas.
Dados sensíveis de fato
Aqui, o uso dos dados (conhecido como “tratamento”) depende do consentimento explícito do titular dos dados e para uma finalidade definida.
Cabe ressaltar que sem esse consentimento a LGPD define que somente será possível utilizar os dados se a informação for indispensável em situações relacionadas a:
- obrigação legal;
- políticas públicas;
- exercício regular de direitos;
- estudos via órgão de pesquisa;
- prevenir fraudes contra o detentor dos dados;
- preservação da vida e da integridade física do indivíduo;
- amparo de metodologias feitas por trabalhadores das áreas sanitária ou da saúde.
Por que o RH deve ter cuidado com os dados sensíveis?
É fundamental que o setor de RH entenda a importância dos dados sensíveis para seu titular e o que pode ocorrer se não seguir à risca a legislação. Dessa forma, o setor de recursos humanos deverá aplicar controles de segurança ou “medidas compensatórias”. Isso é importante para agir em conformidade com a lei, para evitar acidentes de segurança e também para evitar impactos com relação à privacidade dos indivíduos.
Já explicamos sobre os dados sensíveis, mas, aqui, faremos uma distinção dos dados que devem ser manipulados com cuidado para a adequação do RH:
- dados sensíveis: podem ou não ter o consentimento do titular — nos casos já elencados anteriormente;
- dados pessoais anonimizados: são aqueles em que o titular não pode ser identificado.
- dados pessoais de menores: deverão ser coletados e tratados apenas com consentimento específico dos pais ou responsáveis.
É assustador imaginar o quanto nossos dados estão expostos no mundo digital. Um estudo do PSafe voltado para segurança digital avaliou que o
roubo de dados bancários pela internet aumentou 43%
entre janeiro e julho de 2020, ultrapassando a marca de 1 milhão de detecções de roubos de informações.
Dessa forma, fica fácil entender como estamos vulneráveis ao sermos obrigados a fornecer essas informações a todo momento, em qualquer nova operação online. Para as empresas não é diferente, já que o setor de RH coleta e armazena tais informações, as quais podem estar sujeitas a mau uso por parte dos funcionários mal-intencionados ou mesmo à perda de informações.
Para evitar infortúnios que trazem prejuízo moral (para o detentor do dado) e financeiro (para a empresa), uma das primeiras atitudes do RH é identificar e se certificar sobre as informações dos colaboradores que estão sob sua responsabilidade e de que maneira são armazenadas. Além disso, é preciso saber por quanto tempo esses dados serão guardados e qual a melhor forma de protegê-los enquanto o funcionário trabalhar na empresa.
Assim, convém providenciar um checklist com algumas perguntas, como quais informações são imprescindíveis para o cumprimento de obrigações legais ou execução do contrato de trabalho segundo cada especificidade. Ou então quais informações necessitam do consentimento do candidato em quaisquer tipos de entrevista, inclusive em entrevista remota.
Se paramos algumas dicas para facilitar esse trabalho:
- ter uma consultoria jurídica especializada, além de um profissional de segurança da informação para avaliar e diagnosticar de forma precisa, objetivando deixar o plano de mudanças focado na estruturação e adequação da companhia e em conformidade com a nova legislação. Para isso, é necessário ter um mapeamento das situações internas enquadradas na nova lei;
- conhecer como, quando e onde os dados pessoais de clientes, fornecedores e colaboradores serão coletados. Essa atitude deve ser aplicada desde o cadastro de CPF até as informações utilizadas para a folha de pagamento;
- considerar se os colaboradores têm conhecimento de como evitar vazamentos de dados e se entendem a importância de ter responsabilidade com relação às informações;
- encontrar onde os dados são armazenados e se há camadas protetivas, como senhas e criptografia;
- enumerar as situações de risco da empresa;
- priorizar as medidas corretivas;
- possuir um acervo organizado sobre os processos de tratamento e armazenamento de dados, incluindo, também os prazos definidos previamente para todos eles.
Também é importante salientar que, a partir da LGPD, todas as empresas que trabalham com dados em larga escala devem ter um profissional designado especificamente para o tratamento dos dados dos colaboradores. Trata-se do DPO (Data Protection Officer), ou, em tradução livre para o português, “encarregado de proteção de dados”.
Ficará sob a responsabilidade dessa pessoa a proteção dos dados de todos os colaboradores e das outras pessoas envolvidas com a organização — como funcionários terceirizados, candidatos às vagas, fornecedores e clientes.
Entre as funções do DPO estão:
- assegurar que a LGPD seja cumprida;
- garantir a segurança e o sigilo das informações armazenadas nos bancos de dados;
- proteger os dados contra ataques cibernéticos e invasão nos sistemas da organizção;
- impedir que os dados sejam usados de forma inadequada, ainda que seja por parte da empresa e dos funcionários;
- desenvolver políticas adequadas para tratar (coletar, armazenar e utilizar) as informações pessoais;
- atuar junto ao setor de RH, visando garantir as melhores práticas sobre o assunto.
Como gerenciar a tecnologia no tratamento de dados?
A área de Recursos Humanos já utiliza vários aspectos da área de TI, uma vez que as informações estão cada vez mais informatizadas. Com a LGPD, essa união tende a se tornar indissolúvel.
Isso porque, a partir de agora, as empresas são obrigadas a revisar ou elaborar políticas internas de maneira muito clara. Permitindo que vários setores acessem os dados de candidatos, funcionários e terceiros, além dos clientes.
Além disso, é preciso deixar bem claro qual é a forma de utilização de tais informações. Para isso, é necessário aplicar ferramentas adequadas e que sejam facilmente implementadas. Esse será um desafio para os fornecedores da área de segurança da informação, pois os funcionários deverão ser capazes de utilizar os dados coletados. Com isso, sua responsabilidade sobre tais ativos será imprescindível para as políticas internas da empresa.
Podemos citar um exemplo: nos processos como recrutamento e seleção de novos candidatos para trabalhar na empresa, será importante que os líderes de TI e RH façam a reestruturação das políticas e dos acordos de confidencialidade.
Dessa forma, será necessário ter, a partir da primeira entrevista, os termos de consentimento para o uso de dados, os quais devem ser assinados pelos candidatos. Tal processo precisa tornar muito transparente a forma como a empresa utilizará os dados e quais dados serão arquivados para o banco de candidatos.
Quais outras informações são importantes sobre a LGPD?
Os pontos a seguir são fundamentais e abrangem a Lei Geral de Proteção de Dados:
- afeta toda atividade envolvendo a utilização de dados pessoais, como o tratamento pela internet de consumidores e empregados etc.;
- o consentimento do titular dos dados será umas das 10 possibilidades para legitimar o tratamento de dados pessoais;
- a LGPD introduz 10 princípios da proteção de dados, como demonstrar medidas adotadas no cumprimento da lei (prestação de contas);
- os titulares terão amplos direitos: acesso, informação, retificação, oposição, portabilidade, cancelamento etc.;
- nos casos de incidentes de segurança envolvendo os dados;
- aplica-se a LGPD, inclusive, nas empresas que não estejam estabelecidas no Brasil;
- regras específicas para o tratamento de dados sensíveis, transferência internacional de dados e utilização de dados de menores de idade;
- é fundamental avaliar o impacto à proteção de dados (semelhante ao DPIA – data protection impact assessment);
- as atividades de tratamento de dados precisam ser registradas em relatórios;
- todas as empresas responsáveis por tratamentos de dados nomearão um encarregado para proteger os dados;
- a lei ainda determina que haja punição para as infrações, de advertências a multas altíssimas.
Então, se você é um profissional de RH e precisava saber destas informações para aplicar na empresa em que trabalha, esperamos que as informações tenham sido as mais esclarecedoras possíveis.
Neste post, você viu o que são dados sensíveis na LGPD, como a Lei trata os ativos, quais as diferenças entre dados pessoais e sensíveis (e as subdivisões deles), por que o RH deve ter cuidado com os dados sensíveis e, por fim, como gerenciar a tecnologia no tratamento dessas informações.
Te ajudamos a entender mais sobre dados sensíveis na LGPD? Que tal então conferir um guia completo sobre o assunto? Baixe nosso e-book gratuito agora mesmo!