Em 2018, o escândalo envolvendo uma empresa de marketing político, a Cambridge Analytica, foi noticiado pelos jornais The Guardian e New York Times após uma entrevista feita com um profissional que trabalhou nessa agência, Christopher Wylie. Segundo ele, dados sensíveis de 50 milhões de usuários foram vazados e utilizados favoravelmente ao candidato à época, Donald Trump. A notícia chegou como uma bomba e o fundador do Facebook, Mark Zuckerberg foi sabatinado por 5 horas no senado americano.

Após isso, o mundo se voltou para a discussão sobre leis de proteção de dados. Na Europa, foi sancionada a GDPR e, no Brasil, entra em vigor em 2020 a LGPD — Lei Geral de Proteção de Dados. Além dos dados pessoais, as duas leis versam sobre os dados sensíveis, mas muita gente ainda tem dúvidas acerca da diferenciação dessas informações.

Para te ajudar, criamos este post com as principais dúvidas sobre os dados sensíveis. Continue a leitura!

Qual é a lei que protege os dados sensíveis?

No Brasil, a lei criada para regular os dados pessoais e sensíveis é a LGPD — Lei Geral de Proteção de Dados, Lei 13.709/2018. A regulação foi sancionada pelo ex-presidente Michel Temer, em 2018, mas só passa a vigorar em dezembro de 2020, dando tempo para que as empresas se adaptem à nova realidade.

A LGPD foi criada para definir, de forma mais clara, as bases para a proteção de dados em um mundo cada vez mais conectado, e serve de complemento para outras leis específicas de proteção de pessoas físicas. Por exemplo:

• Constituição Federal;

• Código Civil;

• Lei do Acesso à Informação;

• Código de Defesa do Consumidor;

• Lei do Cadastro Positivo;

• Marco Civil da Internet.

A última lei citada, o Marco Civil da Internet, foi a primeira lei nacional que teve 100% de foco no mundo digital. Mesmo com sua efetividade, ela não abrange a realidade atual de produção ininterrupta de dados.

Quais dados são considerados sensíveis?

Os dados sensíveis são aqueles que podem revelar características físicas, opiniões políticas, religião e qualquer outro dado que possa gerar discriminação. Eles são definidos no artigo 5º da LGPD, no inciso II, e são:

• etnia;

• religião;

• posicionamento;

• participação em sindicatos;

• ponto de vista filosófico ou político;

• dados referente à saúde ou à vida sexual;

• dados genéticos ou biométricos.

No artigo 11, são definidas as situações em que o tratamento desse tipo de informação é permitido. A hipótese definitiva é: os dados só poderão ser tratados com o consentimento explícito do titular. No artigo 8º, é destacado o respeito que deve ser dado aos dados sensíveis, além de mencionar a finalidade específica.

Quais as diferenças entre dados sensíveis e não sensíveis?

Os dados pessoais não sensíveis são aqueles que, juntos ou sozinhos, podem identificar uma pessoa, como: nome, idade, CPF, RG, CEP, endereço IP, cookies, data de nascimento e outros. Já os dados sensíveis, como vimos no tópico acima, permitem a identificação de características pessoais que abrem margem para a discriminação.

Apesar de serem muito mais valioso para as empresas, que podem segmentar o seu público por características pessoais utilizando a inteligência artificial, é muito importante que o titular esteja de acordo com esse tratamento.

Como os dados sensíveis devem ser tratados?

A palavra-chave em relação à proteção de dados é: consentimento. As leis de proteção de dados entregam o protagonismo ao titular. Ou seja, para uma empresa captar, armazenar e tratar os dados de uma pessoa, ela deverá ter o consentimento explícito.

O aviso sobre a captação dos dados precisa ser claro, sem letras miúdas e botões pré-acionados, com funções de avançar, prosseguir, aceito, OK e o que mais induzir o usuário a se apressar.

Além de informar os motivos da captação de dados, a empresa deve comunicar a forma de tratamento e o tempo em que os dados ficarão no banco de dados da organização.

No entanto, mesmo com os dados sob controle da empresa, quem tem o poder decisório sobre a edição, remoção, inclusão e transporte de dados é o titular. Cabe à companhia manter a segurança dos dados e, em caso de vazamento ou invasão, deverá informar o titular imediatamente.

A LGPD deixa bem claro quem são as pessoas envolvidas no tratamento dos dados:

• o titular — é o proprietário dos dados, pessoa física;

• o controlador — é a empresa ou pessoa física que ficará responsável, definindo como, por que e até quando as informações ficarão armazenadas;

• o operador — é a empresa que fará o tratamento desses dados sob as orientações do controlador, que pode ser uma agência terceirizada, por exemplo;

• o encarregado — é a pessoa física que será designada pela empresa controladora e será o canal de comunicação entre as partes envolvidas.

Quais são as sanções previstas para quem descumprir a lei?

Agora que você já sabe o que são dados sensíveis e a lei que regulamenta essas informações, vamos entender o que poderá acontecer com as empresas que descumprirem as normas.

Primeiramente, em caso de disputa judicial, caberá ao controlador o ônus da prova de que o titular consentiu de forma explícita à captação dos dados e que as informações foram tratadas como foi acordado.

Em caso de comprovação de má utilização dos dados sensíveis, de acordo com a LGPD, a empresa poderá sofrer as seguintes sanções:

• advertência com prazo estipulado para adoção de medidas corretivas;

• multa de até 2% do lucro do faturamento do último exercício, limitada a R$50 milhões;

• multa diária;

• divulgação da infração após a apuração e comprovação do problema;

• os dados pessoais referentes à infração ficarão retidos até que haja a regularização;

• eliminação dos dados pessoais referentes à infração.

Esperamos que, após a leitura deste post, você consiga diferenciar os dados sensíveis dos demais e que a sua empresa esteja preparada para lidar com esse novo cenário. A proteção de dados não veio apenas para proteger pessoas — ela retira a subjetividade das análises, deixando a relação mais transparente.

Gostou do post? Então siga a gente nas redes sociais e fique por dentro de todas as nossas novidades. Estamos no Facebook e no Twitter.