Century_logo_white
Menu

O que são os dados sensíveis segundo a LGPD e por que estes dados devem ser protegidos?

São Paulo, 01 de junho de 2023 – Dentro das especificações de condutas que devem ser adotadas por meio da LGPD, temos dados que merecem atenção especial e, portanto, são categorizados como sensíveis.

Se a LGDP exigia atenção por parte dos gestores desde 2020 (quando entrou em vigor), em 2021 isso ganhou uma dimensão ainda maior. Esse foi o ano da criação da ANPD (Autoridade Nacional de Proteção de Dados). A partir desse marco e o início da ação desse órgão, as empresas também podem ser fiscalizadas e, consequentemente, sancionadas de acordo com os dispositivos legais. E um dos pontos mais delicados e que pode afetar sua empresa sem que você perceba diz respeito aos dados sensíveis.

Muitos gestores ainda não compreendem bem sobre o que são, de fato, estes dados e em quais casos a empresa pode coletar e tratar essas informações. Se você tem essa dúvida ou se não sabe tão bem o que são os dados sensíveis, esse conteúdo é para você.

Nele, nós vamos abordar sobre o que são os dados sensíveis, em quais casos é possível coletá-los e tratá-los, os cuidados que devem ser adotados, entre outros detalhes que precisam ser observados sobre o assunto.

O que é a LGPD?

A LGPD é a Lei Geral de Proteção de Dados Pessoais. Sancionada em 2018, entrou em vigor em setembro de 2020, de forma que todas as empresas que, em alguma medida, operam com dados pessoais, precisam estar alinhadas com ela, ou incorrerão em descumprimento.

Essa é uma lei que visa proporcionar à população maior privacidade e controle sobre seus dados pessoais, trazendo também, maiores responsabilidades para as empresas. Elas deverão estar atentas para preservar os dados de clientes, parceiros e funcionários.

A lei cria regras que permitem a coleta, uso, armazenamento, compartilhamento e tratamento de dados de pessoas, sejam elas públicas ou privadas. A ideia é proporcionar maior transparência nos processos junto aos usuários, para permitir que eles tenham maior autonomia e poder decisório sobre como poderão ser utilizados.

Ela surge, justamente, como uma forma de adequar às leis vigentes diante do aumento das solicitações dos nossos dados dia a dia. Afinal, todo o tempo geramos dados que, quando identificados, podem ferir nossa privacidade.

E, além disso, quando eles caem em mãos de terceiros, que não deveriam ter autorização para isso, pode gerar fraudes e questões delicadas – por exemplo, discriminações relacionadas com dados sensíveis. Mas ainda vamos falar sobre isso ao longo deste guia completo.

A LGPD possui raízes na legislação europeia, a GDPR (General Data Protection Regulation), adotada em toda a União Europeia, considerada padrão ouro sobre os cuidados de proteção de dados. Focada em proporcionar maior autonomia para os usuários, ela é importante, pois os parceiros econômicos só podem atuar com uso de dados de europeus desde que estejam adequados à legislação vigente.

Quais os principais dispositivos da LGPD?

Para entender melhor sobre a Lei Geral de Proteção de Dados Pessoais, você precisa também compreender pontos essenciais que constituem a legislação. Esse entendimento será fundamental para ajudar na adequação e, também, para compreender os motivos pelos quais há diferenciação sobre os dados sensíveis.

Vejamos a seguir os principais pontos que você deve estar atento.

Abrangência

A LGPD é aplicada em todas as atividades exercidas no território nacional que, em qualquer medida, lidem com dados pessoais de algum cidadão brasileiro.

Estão excluídos, neste caso, a obtenção de informações por parte do Estado por motivos de segurança pública e defesa nacional. Também estão excluídos os profissionais que atuam com atividades que não sejam econômicas (por exemplo, jornalistas, acadêmicos, artistas, entre outros).

Consentimento do usuário

Uma das bases legais que norteia a LGPD diz respeito ao consentimento. Em muitos casos o dado só pode ser coletado, armazenado, tratado, entre outras possibilidades, a partir do consentimento ativo da pessoa (que é chamada pela lei de titular dos dados).

O consentimento precisa ser expresso e, portanto, a empresa precisa comunicar o usuário tudo que será feito, de forma clara. Qualquer tipo de ação sobre dados pessoais que não tenha sido comunicada e devidamente consentida, poderá passar por sanção pela ANPD (falaremos mais sobre ela a seguir).

Além disso, o titular tem o direito de revogar o consentimento a qualquer momento, negar a coleta e passos posteriores, pode solicitar a revisão e a exclusão de tudo que foi coletado e armazenado pelo negócio.

Por isso, é fundamental trazer um documento chamado ‘Políticas de Privacidade’, em que todas essas questões estarão devidamente explicadas para seu usuário. Além disso, é fundamental notificar sempre que dados estão sendo armazenados, como serão utilizados e ter um consentimento expresso (por exemplo, assinalar uma caixinha ‘eu aceito’ em seu site).

Presença do DPO

Com a LGPD, surge uma figura importante nas empresas que coletam e armazenam dados: o encarregado de dados (DPO – Data Protection Officer). Ele é o responsável pela proteção das informações da sua empresa e será o intermediário entre a organização e a ANPD.

Ele deverá cuidar de todas as questões referentes à LGPD nas empresas, de forma a adotar todas as providências necessárias para adequação do negócio e fiscalizar internamente todas as questões. Atua diretamente com equipes de compliance, quando elas estão presentes no ambiente interno.

Diferenciação dos dados

A LGPD diferencia dois tipos de dados pessoais: os comuns e os sensíveis. O segundo, por tratar-se de questões mais delicadas e que podem trazer consequências graves para a vida da pessoa, incluindo discriminações.

Nós vamos explicar ainda melhor sobre os dados sensíveis, mas é muito importante saber identificar quando é, de fato, possível capturá-los e tratá-los de acordo com a lei.

Sanções

Outro ponto importante é identificar quais são as implicações para sua empresa, caso ela descumpra a LGPD. Quem faz o processo de análise das questões e, portanto, realiza a punição dos negócios, é a ANPD – Autoridade Nacional de Proteção de Dados.

O órgão é composto por membros da sociedade civil e com um órgão de assessoramento jurídico. A partir de uma denúncia, publicização de uma infração, ou fiscalização, caso os membros identifiquem algum tipo de irregularidade, ela pode aplicar as sanções previstas na lei.

São elas:

  1. advertência;
  2. multa simples ou diária (cujo valor pode alcançar até 2% do faturamento, limitado a R$ 50 milhões);
  3. publicização da infração;
  4. bloqueio dos dados pessoais relacionados com a infração;
  5. suspensão do funcionamento do banco de dados alvo da infração;
  6. proibição parcial ou total das atividades;
  7. eliminação dos dados pessoais referentes à infração.

O que são dados sensíveis segundo à LGPD?

Dentro das especificações de condutas que devem ser adotadas por meio da LGPD, temos dados que merecem atenção especial e, portanto, são categorizados como sensíveis. Eles recebem essa denominação, pois podem causar problemas e prejuízos para o titular dos dados.

Segundo a legislação, os dados sensíveis são:

  1. origem racial ou étnica;
  2. convicções religiosas;
  3. opiniões políticas;
  4. filiação a sindicato;
  5. filiação à organização religiosa;
  6. filiação à organização filosófica ou política;
  7. dados referentes à saúde;
  8. dados referentes à vida sexual;
  9. dados referentes à orientação sexual;
  10. dados genéticos ou biométricos;
  11. informações sobre crianças e adolescentes.

Tal como os demais, ele só pode ser tratado com consentimento expresso do titular. E, também, é fundamental que a pessoa esteja ciente de que esses dados estão sendo coletados e serão armazenados, tratados e analisados, bem como também para qual finalidade está sendo obtido.

  1. As exceções sobre a necessidade do consentimento estão relacionados com:
  2. por obrigações legais;
  3. para realização de pesquisas e estudos por meio de órgãos regulamentados;
  4. preservação da vida e integridade;
  5. tutela de procedimentos que serão realizados por profissionais de saúde;
  6. prevenção de fraudes para o titular;
  7. cuidados da área sanitária.

Vamos dar um exemplo para ficar mais claro: imagine que, durante suas atividades, é preciso registrar informações sobre a saúde da pessoa. Caso ela tenha algum tipo de problema de saúde que pode levar a discriminação no trabalho, isso precisa ser protegido, justamente, para garantir a privacidade dela em relação à questão.

Por tratar-se de questões de foro íntimo e que devem ser protegidos com maior proteção, eles não podem ser utilizados para fins discriminatórios na sua empresa. E, por isso, essas informações precisam de um cuidado diferenciado em seu tratamento.

Além disso, os dados sensíveis, muitas vezes, são altamente visados por cibercriminosos. Isso porque esses dados podem ser utilizados, por exemplo, em ataques de engenharia social contra as pessoas e aumentar as chances de um golpe ter sucesso. Quer ver um exemplo?

Se um cibercriminoso tiver acesso aos dados relacionados com filiação a organização política (por exemplo, filiação a um partido), ele pode criar uma ação de engenharia social, fingindo que é um membro do partido e pedindo contribuição. Por isso, essas informações são muito visadas por essas pessoas.

Segundo a LGPD, via de regra, os dados sensíveis não podem ser utilizados, exceto nos casos em que nós listamos anteriormente. Qualquer situação além das exceções que falamos, é considerado um uso ilegal dos dados.

Se for comprovado que o uso ainda gerou algum tipo de discriminação ou algum tipo de conduta abusiva, pode ter ainda um agravo da sanção.

Por exemplo, pode-se aplicar tanto a multa quanto a proibição parcial ou total das atividades do negócio. Então é muito importante ficar atento para isso.

Quais complicações a exposição de dados sensíveis pode trazer?

O uso de dados sensíveis na sua empresa pode trazer uma elevação dos riscos para o dia a dia. Um deslize pode levar a sanções e, portanto, é importante que você esteja atento para que isso seja feito sempre de acordo com os princípios presentes na legislação.

Por isso, é fundamental conhecer quais são as complicações que podem acontecer para seu negócio.

Sanções à empresa

O primeiro ponto de complicações que podem surgir está diretamente relacionado com a LGPD em si. Como listamos quando trouxemos as sanções previstas, os prejuízos podem ser financeiros e bastante complexos para o fluxo de caixa do seu negócio.

Ainda que esteja limitado a 2% do faturamento bruto anual, os valores podem prejudicar consideravelmente o orçamento, pois é uma quantia não esperada. E, também, pode ser que infrações se acumulem, caso o problema não seja devidamente identificado e questões tendam a ocorrer constantemente.

Além disso, os prejuízos indiretos, ou seja, que não afetem diretamente o caixa do seu negócio, também podem provocar danos consideráveis para sua organização. Por exemplo, a interrupção das atividades relacionadas com a infração pode inviabilizar que o negócio funcione, e o pior ter a perda de credibilidade da marca ou empresa, que muitas vezes causa mais prejuízo que que as próprias sanções em si

Prejuízo de contratos e acordos com parceiros

Diante da importância da privacidade nos dias atuais, vemos que as empresas estão se comprometendo com isso para além de uma mera questão legal. Os parceiros estão em busca de negócios que comunguem desse valor, inclusive, para evitar comprometimentos para eles.

Por isso, se a sua empresa realiza contato com outros negócios, principalmente se está em busca de investidores, é importante mostrar que seu negócio é sério, confiável e que está alinhado com as leis vigentes.

Comprometimento da confiança do cliente

Muitas vezes, um problema ocorre devido ao uso inadequado dos dados sensíveis de clientes. Por exemplo, se, por motivos justificados, for preciso manter essas informações no seu banco de dados e eles forem vazados ou, então, que sejam usados para ações discriminatórias, isso pode trazer muitos prejuízos para a pessoa.

Se no cadastro de um usuário que busque atendimento com a sua empresa esteja a etnia da pessoa e, ao buscar suporte, um funcionário do seu negócio cometa um ato de racismo, o cliente não se sentirá mais confiante sobre seu negócio. Além, obviamente, de caber sanções para além da LGPD, já que há a ocorrência de um crime grave neste tipo de situação.

Além disso, um vazamento de dados sensíveis pode causar sérios problemas e desconfortos para a pessoa. Se há alguma questão de foro íntimo que ela deseja preservar e essa informação fica disponível publicamente, isso pode prejudicar diversas áreas da vida pessoal dela.

Por isso, a ANPD pode decidir por sanções combinadas e que podem impactar consideravelmente seu negócio. Por exemplo, além de uma multa grave, sua empresa pode ser obrigada a tornar a infração pública (para ciência dos usuários afetados) e ter os dados envolvidos na infração bloqueados.

A soma dessas sanções pode trazer prejuízos graves para seu negócio. Então vale a pena ter maior atenção para a proteção dos dados sensíveis.

Como otimizar a proteção de dados sensíveis nas empresas?

Como você viu, os dados sensíveis, pela sua natureza, exigem maior atenção por parte dos gestores de tecnologia, a fim de evitar que problemas aconteçam e que não só firam a LGPD, mas coloquem as pessoas em situação de vulnerabilidade. Por isso, é fundamental ter medidas de proteção robustas e eficientes.

Separamos a seguir as principais questões que você precisa ficar atento sobre o assunto e proporcionar menos chances de incidentes que possam gerar sanções.

Estabeleça controle de acesso

Um primeiro ponto é garantir medidas de controle de acesso sobre os dados sensíveis. Por serem privados e, também, aumentarem as chances de discriminação, é fundamental que os dados estejam protegidos por níveis de acesso.

Essas medidas permitem que apenas os profissionais autorizados para tratar esses dados possam ter acesso a eles (mesmo que seja, por exemplo, para anonimizar-los e possibilitar ainda maior proteção). Essa é reconhecida como uma medida fundamental e essencial de proteção de dados para evitar incidentes de segurança e privacidade.

Adote termos de confidencialidade

Como alguns profissionais precisarão ter acesso aos dados sensíveis no dia a dia, aqueles autorizados para este fim devem assinar um termo de confidencialidade, que especifique os direitos e deveres das partes.

Esse é um ponto que reforça a responsabilidade do profissional sobre o material com o qual ele está trabalhando e, também, especifica de forma clara, quais são as eventuais sanções que ele pode sofrer caso os dados confidenciais vazem.

Use criptografia

A criptografia é uma das formas de proteção de dados sensíveis essencial para proporcionar os cuidados necessários para evitar o comprometimento da privacidade dos envolvidos, seja dos seus colaboradores, parceiros ou de clientes.

Por meio dela, os dados só poderão ser acessados com o uso de uma chave que torne eles legíveis. Então, se um cibercriminoso tiver acesso a eles, por exemplo, não conseguirá identificar o que está presente ali.

O mesmo vale para eventuais profissionais mal intencionados, que podem querer utilizar essas informações de forma maliciosa. Sem a chave, eles também não conseguirão ter acesso.

Utilize VPN

As Redes Privadas Virtuais (mais conhecidas como VPN) são formas que, alinhadas com a criptografia, ajudam a reduzir as possibilidades de acesso por cibercriminosos aos dados sensíveis.

A VPN permite que sua empresa possa utilizar uma conexão protegida, principalmente, ao utilizar redes públicas. É como se formasse um túnel de proteção, na qual terceiros não podem visualizar o tráfego de informações que passa por ali.

Isso é fundamental, principalmente, para evitar interceptações de dados sigilosos. Além de criptografar os dados da rede, a VPN também consegue evitar que terceiros saibam a sua localização real, por atuar como um proxy.

A partir dele é possível, por exemplo, evitar que as informações circulem em nuvens públicas ou locais de livre acesso, reduzindo pontos de vulnerabilidades significativos.

Eduque seus colaboradores

Sabia que a falha humana é um dos principais causadores de problemas com segurança e vazamento de informações em uma empresa? Muitas das medidas adotadas aqui podem não adiantar se os seus profissionais falharem.

Por exemplo, se uma pessoa cometer a falha de cair em uma tentativa de Phishing, pode-se obter credenciais de acesso para os bancos de dados em que estejam as informações sensíveis de seus clientes e, com isso, essas informações podem ser vazadas.

O treinamento poderá ser o maior aliado dos profissionais para evitar que falhas como essa aconteçam e, assim, garantir que todas as medidas adotadas não se percam por falhas humanas nos processos.

Traga uma perspectiva de zero trust

Uma tendência na área de tecnologia da informação acerca de cibersegurança é o zero trust. Essa é uma postura na qual os gestores estão sempre desconfiados de que há risco de um problema acontecer e estão sempre em estado de vigilância.

Neste tipo de perspectiva, é possível identificar mais rapidamente uma eventual tentativa de ataque e, portanto, evitar que problemas aconteçam e gere uma incidência em relação à LGPD. E, para isso, temos ferramentas hoje no mercado que auxiliam nessas questões.

Por exemplo,  o Zscaler Zero Trust Exchange é uma plataforma que auxilia no monitoramento de tráfego para sua empresa, permitindo definir políticas de bloqueio de transações. Com uma plataforma unificada, é possível proporcionar uma conduta Zero Trust, reduzindo superfícies de ataque e com uma implantação simplificada e eficiente.

Conte com plataformas de inteligência

Uma plataforma de inteligência de governança de dados permite que os gestores possam fazer um controle melhor das informações sensíveis do seu negócio e que adotem uma maior segurança para sua empresa.

Por exemplo, o SentinelOne da Century Data permite que você possa ter uma maior proteção de antivírus, evitando que ataques para obtenção de informações sensíveis sejam bem-sucedidos. Ele conta, por exemplo, com inteligência artificial de ponta a ponta, com recursos robustos que permitem monitorar continuamente os processos de coleta, armazenamento e tratamento de dados.

Outras soluções oferecidas pela Century podem auxiliar, também, a complementar seu protocolo de segurança, proporcionando uma proteção mais robusta:

  1. OneTrust: plataforma completa para gestão de privacidade, que atua em conformidade com as principais legislações de dados do mundo (LGPD, CCPA, GDPR) e alinhada com a certificação ISO 27001
  2. BigID: plataforma de inteligência de dados que proporciona uma gestão de informações mais eficiente. Permite às empresas a organizarem, gerenciar, proteger e gerar valor com os dados obtidos;
  3. Noname: plataforma de segurança de API, realizando uma proteção proativa do seu ambiente.

Além disso, ele é um aliado importante para essa lógica de zero trust, já que os processos são continuamente monitorados. Por isso, é, atualmente, a melhor solução de segurança cibernética para o seu negócio.

Outro ponto é poder contar com o serviço de DPO as a Service. Você consegue ter um especialista em privacidade de dados para garantir a conformidade do seu negócio em relação à LGPD, incluindo o que diz respeito aos dados sensíveis.

Além disso, você poderá contar com o melhor suporte para garantir que toda a adequação estará dentro do exigido pela lei e, assim, proteger o seu negócio para evitar que ele esbarre em eventuais problemas com a ANPD.

Por isso, se o seu negócio trabalha com a necessidade de uso de dados sensíveis, conte com a nossa plataforma e, também, com nossos especialistas!

Entre em contato e vamos conversar mais sobre o assunto.

Sobre a Century Data

A Century Data é uma empresa que auxilia seus clientes no caminho da transformação digital promovendo tecnologias que possibilitem a criação de novas linhas de negócios. Oferecemos soluções inovadoras, produtos e serviços especializados, orientados pela demanda de áreas de negócios e de tecnologia.

Conheça nossa Politica de Privacidade

Todos os direitos reservados para Century Data Tecnologia da Informação LTDA

Linkedin Mail-bulk Whatsapp