A Lei nº 13.709/2018, também chamada de Lei Geral de Proteção de Dados, no seu artigo 11, dispõe acerca do tratamento de dados pessoais sensíveis.
Mas o que são mesmo esses dados pessoais sensíveis?
Segundo a Lei, no artigo 5º, inciso II, dado pessoal sensível é dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dessa forma, segundo o artigo 11 da Lei, o tratamento desses dados somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
Percebe-se que o consentimento é um requisito importante no tratamento dos dados pessoais sensíveis, devendo ser manifestado pelo titular de forma específica.
As hipóteses acima são aplicadas a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica (§1º do artigo 11 da Lei).
A Lei, no § 2º, prevê que, nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo (cumprimento de obrigação legal ou regulatória pelo controlador e tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos) pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento.
A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências (§3º do artigo 11).
A LGPD prevê ainda, no §4º, a vedação da comunicação ou do uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º do artigo 11, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I – a portabilidade de dados quando solicitada pelo titular; ou
II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
O § 5º dispõe que é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários
O artigo 12 da LGPD trata acerca do dado anonimizado, ou seja, dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Assim, o artigo dispõe que os dados anonimizados não serão considerados dados pessoais para os fins da Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios (§1º do artigo 12 da Lei).
Ainda, poderão ser igualmente considerados como dados pessoais, para os fins da Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada (§2º do artigo 12 da Lei).
Segundo o artigo 13 da Lei, na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Sendo que a divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa em nenhuma hipótese poderá revelar dados pessoais (§1º do artigo 13 da Lei).
Cumpre informar que pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro, conforme artigo 13, § 4º da Lei.
Dessa forma, nesse caso, o órgão de pesquisa será o responsável pela segurança da informação, não permitida, em circunstância alguma, a transferência dos dados a terceiro (§ 2º do artigo 13 da Lei).
Por fim, importante ressaltar que o acesso aos dados será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências (§ 3º do artigo 13 da Lei).