Conteúdo 3: Os dados sensíveis e os dados internacionais
22/06/2021
Dentro dos dados pessoais, que permitem identificar uma pessoa física, a LGPD trata a parte três tipos de dados que exigem mais cautela nos tratamentos de dados por parte do Controlador (o responsável desses dados).
- Dados sensíveis
- Dados de menores de idade
- Dados pessoais que são transferidos para uma entidade de um país estrangeiro
Esses dados podem ser de qualquer pessoa física: os funcionários da sua empresa com os seus respectivos parentes, os clientes, as pessoas de contato dos fornecedores.
Se a sua empresa tiver dados deste tipo, é preciso tomar um cuidado especial. Por exemplo, as empresas com funcionários CLT têm pelo menos um dado sensível sobre cada colaborador, que é a etnia, já que o e-social obriga a passar esta informação.
Dados sensíveis
A lei é muito clara sobre quais dados pessoais são considerados como sensíveis: são os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (quando vinculado a uma pessoa natural).
Como vocês podem ver, a lista é longa. O primeiro passo é realizar um inventário detalhado dos dados pessoais (ver o nosso artigo anterior) e identificar os dados sensíveis.
Depois do inventário, as empresas podem tratar os dados sensíveis exclusivamente com o consentimento dos titulares. Isso exige que a sua empresa busque o consentimento de cada pessoa física.
Há outras bases legais que permitem o tratamento de dados sensíveis sem consentimento, porém dificilmente são aplicáveis nos processos comuns do mundo corporativo. Essas bases são: uma obrigação legal; políticas públicas; estudos via órgão de pesquisa; um direito em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
As outras bases legais que talvez possam ser usadas por empresas são:
- O cumprimento de obrigação legal ou regulatória pelo controlador (exemplo: o e-social).
- O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral.
Não esqueçam que o consentimento dos titulares deve ser definido para determinadas finalidades prazos.
Dados de crianças e adolescentes
Os dados pessoais de crianças e adolescentes (menores de idade) podem ser tratados apenas com o consentimento de um dos representantes legais.
Além disso, o Controlador deve informar publicamente quais são os tipos de dados coletados, a forma de sua utilização e os tratamentos realizados (com os prazos).
Uma coisa que era bastante comum e que não poderá mais existir: a participação de crianças a jogos ou aplicações Internet não poderá ser mais condicionada à coleta dos dados pessoais, a não ser que esses sejam absolutamente necessários para a atividade.
Transferências internacionais
A lei permite a transferência internacional de dados pessoais. Porém, ela coloca restrições importantes em relação aos países e entidades estrangeiras com as quais os dados são trocados.
Essas restrições buscam garantir que o seu interlocutor estrangeiro ofereça garantias semelhantes ao Brasil de tratamento seguro dos dados pessoais. A lei define que a transferência pode ser feita:
- “para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei”. Por exemplo, a Europa, que tem a LGPD, ou a Califórnia com o CCPA, oferecem garantias legais.
- “quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de cláusulas contratuais específicas para determinada transferência, ou cláusulas-padrão contratuais, ou normas corporativas globais, ou selos, certificados e códigos de conduta regularmente emitidos.”. Para este caso, você tem que olhar atentamente as cláusulas dos contratos com os seus parceiros internacionais. Mas talvez não seja totalmente suficiente: para tirar totalmente a responsabilidade da sua empresa, tem que poder comprovar que você verificou de uma forma ou outra a aplicação pelos seu parceiro das cláusulas contratuais de proteção de dados.
Existem outros casos onde as transferências internacionais de dados pessoais são permitidas, porém dificilmente aplicam-se às empresas: cooperação jurídica internacional e investigação, proteção da vida, acordo de cooperação internacional, aplicação de políticas públicas.
Vamos destacar dois outros casos que permitem a transferência internacional e que podem fazer sentido no contexto da sua empresa:
- Quando o titular fornecer o seu consentimento específico, ressaltando o caráter internacional do tratamento dos dados.
- Quando a ANPD (Agência Nacional de Proteção de Dados) der a autorização.