search

Como se deve proceder para o tratamento de dados pessoais sensíveis?

1 anos atrás
Comentários: 0
Visualizações: 99

Show

O que são dados sensíveis, de acordo com a LGPD

Como se deve proceder para o tratamento de dados pessoais sensíveis?

Há tipos de dado pessoal que exigem atenção extra ao serem tratados?
Sim. Claro, todo dado pessoal só pode ser tratado se seguir um ou mais critérios definidos pela LGPD, mas, dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.

Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.

Artigo julho 2019
Privacidade, Proteção de Dados e Cibersegurança

Dados sensíveis: o que são e como são protegidos

Como se deve proceder para o tratamento de dados pessoais sensíveis?

A sua organização recolha e trata dados sensíveis? Saiba o que os distingue dos dados pessoais e em que base o poderá fazer sem recorrer ao consentimento previsto no RGPD

Da Distinção entre Dados Pessoais e Dados Sensíveis

Para se perceber esta distinção, importa distinguir a noção de dados pessoais da dos dados sensíveis.

O RGPD define como dado pessoal toda a informação relativa a uma pessoa singular identificada ou identificável. O quer dizer que, por exemplo, o nome, associado a uma  morada, ou a um número de contribuinte e/ou de segurança social constituem dados pessoais. Mas também são dados pessoais o endereço eletrónico, os elementos de identidade física, os genéticos ou de ordem fisiológica, os dados obtidos através de dispositivos eletrónicos – endereço de IP e dados de localização, os dados financeiros, preferências sociais…Como se depreende desta noção ampla de dado pessoal, o Regulamento veio a considerar hipoteticamente tudo o que, a miude, possa identificar o titular dos dados.

Mas, para além do alargamento da noção de dado pessoal, o RGPD veio criar uma categoria de dados que dada a sua natureza, merece pois, uma proteção acrescida.
Assim, foram classificados pelo referido Regulamento determinados dados como sensíveis. São eles:

  • Raciais ou de índole étnica;
  • Políticos;
  • Crenças Religiosas ou filosóficas;
  • Sindicais;
  • Genéticos;
  • Biométricos para identificação;
  • Dados de Saúde;
  • De natureza sexual, seja de vida ou de orientação

Dos Dados Genéticos, Biométricos e de Saúde

O RGPD impõe com clareza que os dados genéticos deverão ser definidos como os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que resultem da análise de uma amostra biológica da pessoa singular em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN) ou ácido ribonucleico (ARN), ou da análise de um outro elemento que permita obter informações equivalentes.

Os dados biométricos para identificação são dados pessoais são aqueles resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos (impressões digitais).

E quanto aos dados de saúde, deverão ser considerados todos aqueles que forem relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro.

​O que precede informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a informação a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, através de um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro. 

Da Proteção Especial dos Dados Sensíveis no RGPD

Ora, os dados sensíveis mereceram uma proteção específica, já que, são especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, pois o seu tratamento pode implicar riscos significativos para o direito à reserva da vida privada. Como tal, o Regulamento consagra como regra geral que a sua recolha e/ou tratamento está proibida, (cfr. Art.º 9º do RGPD).

​Quer isto dizer que nenhuma organização pode recolher e tratar, por exemplo, os dados de saúde ou biométricos?

Não. Pois, foram fixadas situações excecionais para as quais o tratamento de dados sensíveis é possível se for considerado necessário:

  • para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União (por exemplo, para o processamento de salários, contratação de apólices obrigatórias de seguro de acidentes de trabalho);
  • para proteger os interesses vitais de uma pessoa singular (até de terceiro, caso este esteja impossibilitado de dar o seu consentimento);
  • no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou outra organização sem fins lucrativos e que prossiga fins religiosos, sindicais políticos;
  • dados que o seu titular tenha tornado público (como no caso do titular de dados ser um político, fazendo declarações através da comunicação social, ou se publicar em redes sociais abertas ao público, opiniões relativas às suas ideologias);
  • à declaração, ao exercício ou à defesa de um direito num processo judicial ou através dos tribunais na sua função jurisdicional;
  • por motivos de interesse público importante, com base no direito da União, devendo ser proporcional ao interesse ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que acautelem os direitos fundamentais e os interesses do titular dos dados 
  • para fins de medicina preventiva ou do trabalho, diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social, ou gestão de sistemas e serviços de saúde, ou de ação social com base no direito da União, ou dos Estados-Membros, ou por força de um contrato com um profissional de saúde, sob reserva de sigilo profissional ou por pessoa sujeita ao dever de confidencialidade (por exemplo, no caso das organizações de higiene e segurança no trabalho que recolhem e tratam dados de saúde para emissão das fichas de aptidão; ou organizações que prestem serviços de saúde);
  • por motivos de interesse público no domínio da saúde pública (por exemplo, no caso de estarmos perante a possibilidade de surtos de determinadas doenças de natureza contagiosa);
  • para fins de arquivo de interesse público, para fins de investigação científica ou histórica para fins estatísticos, (cfr. Art.º 89º n.º 1) que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção de dados pessoais e prever medidas adequadas e especificas para a defesa dos direitos fundamentais e dos interesses do titular dos dados.
  • E, por fim, deixando um largo espectro de tratamento se o titular tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas.

O Regulamento deixa, ainda, a porta aberta a que o direito nacional dos Estados-Membros possa permitir derrogações à proibição de tratamento de categorias especiais de dados pessoais, ainda que devam ser sujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, caso tal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde.

​Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

O Regulamento define, assim, que as categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social, incluindo o tratamento por parte da administração e das autoridades sanitárias centrais nacionais desses dados para efeitos de controlo da qualidade, informação de gestão e supervisão geral a nível nacional e local do sistema de saúde ou de ação social, assegurando a continuidade dos cuidados de saúde ou de ação social e da prestação de cuidados de saúde transfronteiras, ou para fins de segurança, monitorização e alerta em matéria de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos baseados na legislação e que têm de cumprir um objetivo, assim como para os estudos realizados no interesse público no domínio da saúde pública.

O Regulamento veio estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas vinculadas a um dever de sigilo. A legislação nacional deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares. Assim, as legislações nacionais de cada Estado-Membro podem manter ou introduzir outras condições, incluindo limitações, no que diz respeito ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.

Da Aplicabilidade Prática – o Fundamento de Licitude

Para explicitar a aplicabilidade prática do referido, vejamos o seguinte exemplo (Obtenção de Consentimento do Titular dos Dados):

 Uma clínica de medicina dentária não só recolhe dados de saúde (diagnóstico/ tratamento/ estado de saúde) dos seus pacientes, mas também recolhe dados pessoais de identificação para faturação e de contacto.

Assim, os primeiros só podem ser recolhidos e tratados com o fundamento para fins de prestação de cuidados ou tratamentos de saúde (…) por força de um contrato com um profissional de saúde, sob reserva de sigilo profissional ou por pessoa sujeita ao dever de confidencialidade (cfr. al. h) do n.º 2 do art.º 9 do RGPD) e portanto, já se depreende que o consentimento não é o fundamento de licitude adequado para este fim, pelo que não será necessário obtê-lo.

 Os segundos (nome, morada, n.º de identificação fiscal, endereço eletrónico) já são dados pessoais recolhidos para fins diferentes dos primeiros e portanto já não configuram dados sensíveis e, como tal já não caiem no fundamento legal elencado. Estes são-no para a finalidade da execução de um contrato (o contrato da prestação de cuidados de saúde) e de cumprimento de obrigações fiscais, nomeadamente de facturação e já não merecem a proteção especial de serem acedidos somente por uma pessoa sob reserva de sigilo, como é o caso do médico, estes já podem ser acedidos pelo pessoal administrativo, por exemplo. E, claro, também não será necessário obter o consentimento do titular dos dados, para os dados de contacto e faturação, já que, a prestação do serviço é feita no seu interesse.

O que quer dizer que, agora, o Regulamento estabelece claramente uma divisão entre a natureza do dado, a finalidade do seu tratamento e quem pode aceder a ele. Na verdade, o acesso indiscriminado às fichas dos pacientes contendo dados de saúde pelo pessoal não sujeito ao dever sigilo profissional (ou seja, não médico) é veementemente rejeitado pelo RGPD e punido com a medida da coima mais gravosa.

Assim, o tratamento de dados sensíveis impõe a restrição de acesso em função da pessoa que os acede, pelo que as organizações devem impor medidas que impeçam a exposição dos dados sensíveis, por pessoal administrativo. Se as fichas dos pacientes, contendo dados da saúde estão armazenadas em arquivo físico, este passará a ser fechado e o seu acesso só poderá ser feito pelo pessoal médico. Por outro lado, se os dados sensíveis são armazenados em plataforma informática, haverá que criar diferentes acessos através de encriptação, consoante a função do seu utilizador.
Como vimos, no exemplo apresentado, o consentimento dos titulares do dados não é o único fundamento de licitude previsto no Regulamento nem mesmo o mais adequado para determinadas finalidades de tratamento.

Por outro lado, se por acaso a nossa Clinica pretender utilizar os dados pessoais do titular para efeitos de marketing ou publicitários, aí, já terá que se obter o consentimento do titular por integrar finalidade diferente das acima elencadas.

Da Obtenção do Consentimento do Menor ou do Titular das Responsabilidades

​Outra situação em que a obtenção do consentimento tem sido proliferamente obtido, no que aos dados sensíveis concerne, é quando o titular dos dados de saúde é menor.

 Deverá ser sempre obtido o consentimento do titular das responsabilidades parentais para recolha e tratamento de dados sensíveis? Não. No nosso exemplo, deverá subsumir-se o mesmo raciocínio para a prestação de cuidados de saúde aos menores. Não se podendo confundir com a proteção especial prevista quanto aos seus dados pessoais, a qual se prende com os serviços de diretamente disponibilizados às crianças, que merecerão uma análise em lugar próprio.

Portanto, dada a proteção específica aos dados sensíveis, pela exposição ao risco de violação de direitos fundamentais dos titulares dos dados, as organizações devem levar a cabo um levantamento dos dados pessoais que tratam, identificar os motivos pelos quais o fazem e para que fim, de modo a garantir os direitos aos seus titulares e redobrar os seus cuidados caso procedam a operações de tratamento de dados sensíveis em conformidade com o RGPD.

Do Registo da Atividade de Tratamento

Mormente, no caso de tratamento de dados sensíveis, a organização deverá proceder a registo de atividade de tratamento de dados e avaliar se os dados sensíveis que recolhe e trata cumprem com algum dos requisitos das condições elencadas acima para legitimar o seu tratamento. Caso contrário, violará a al. a) do n.º  5 do art.º 83.º do Regulamento Geral de Proteção de Dados, com a cominação da coima mais gravosa de 20.000.000€ ou 4% da faturação.

Neste prisma, exige-se uma análise concreta e individualizada da organização junto da sua administração, para avaliar e implementar o Regulamento.

Esta obrigação de registo é nova, designa-se de accountablitye é obrigatória para todos os responsáveis de tratamento de dados sensíveis, ou seja, o RGPD impõe mais um requisito a cumprir para quem trate esta categoria de dados. Deve ser conservado um registo das atividades de tratamento de modo a poder demonstrar em qualquer momento, de forma transparente, o cumprimento da lei.

Eventualmente, para cumprimento desta obrigação, as organizações poderão vir a necessitar de contratar software específico, consoante a amplitude da natureza e dos tratamentos de dados que executarem.

Da Avaliação de Impacto

Ainda, dependendo se a organização procede a operações de dados sensíveis em larga escala impõe o Regulamento que se proceda a Avaliação de Impacto (PIA), para identificar e minimizar os riscos por incumprimento das regras de proteção de dados, que deverá ter em consideração:

  • Descrição das atividades de tratamento e suas finalidades;
  • Avaliação da proporcionalidade e necessidade das operações de tratamento relativamente aos objetivos;
  • Medidas para mitigação dos riscos e identificação das garantias e medidas de segurança para proteção dos dados dos titulares e da conformidade com o RGPD.

 
Sem prescindir dos fundamentos de licitude indicados para legitimar as operações de tratamento de dados sensíveis, deverá atender-se sempre aos princípios previstos no art.º 5 do Regulamento: da licitude, da lealdade e transparência, em que os dados devem ser recolhidos para finalidades determinadas explícitas e legítimas, devendo ser exatos e atualizados; respeitando a minimização dos dados e de acordo com os princípios da necessidade e da proporcionalidade.

Como vimos, as operações de tratamento de dados sensíveis exigem maiores cuidados para as empresas, as quais devem procurar entender as suas responsabilidades face à exposição ao risco de violação dos direitos fundamentais dos titulares dos dados, devendo diligenciar o quanto antes no sentido de adaptar a sua estrutura em conformidade com o Regulamento. 

> Para subscrever a Newsletter do NFS Advogados

Como se deve proceder para o tratamento de dados pessoais sensíveis?

Membro Associado da 
Associação Europeia de Advogados.

Como se deve proceder para o tratamento de dados pessoais sensíveis?

Contactos.
Telf.: (+351) 222 440 820 

           Fax: (+351) 220 161 680

E-mail: 

Porto | Lisboa | São Paulo

Como deve ser o tratamento de dados sensíveis?

Listamos 5 recomendações para o tratamento de dados sensíveis:.
1 – Selecionar base legal dentro do Art. ... .
2 – Considerar o desenvolvimento de um relatório de impacto. ... .
3 – Aplicar de forma ampliada medidas técnicas, administrativas e de segurança da informação..

Como tratar dados sensíveis na LGPD?

Hipóteses para o tratamento de dados sensíveis A organização deve fazer uma análise jurídica cuidadosa para garantir que o tratamento esteja enquadrado em uma das hipóteses abaixo: Consentimento do titular ou responsável legal, que deve ser fornecido de forma específica e destacada, para finalidades específicas.

Como deve ser realizado o tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser feito: - Com o fornecimento de consentimento do titular das informações pessoais. Ou seja, nos casos em que a pessoa física tiver conhecimento de como e por qual razão os seus dados serão utilizados, além de autorizar expressamente o tratamento.

É possível o tratamento dos dados pessoais sensíveis com base no consentimento?

Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido.

como se deve proceder para tratamento de dados pessoais sensíveis Proteção de dados

Postagens relacionadas

Qual estrutura que está ausente nas bactérias e que as classifica como organismos procariontes?
Qual estrutura que está ausente nas bactérias e que as classifica como organismos procariontes?

Por que os fogos de artifício emitem cores tem algum elemento químico responsável pela coloração como ocorre o processo?
Por que os fogos de artifício emitem cores tem algum elemento químico responsável pela coloração como ocorre o processo?

Qual é a importância dos músculos e dos ossos para o funcionamento do sistema locomotor?
Qual é a importância dos músculos e dos ossos para o funcionamento do sistema locomotor?

É competente para deferir a recuperação judicial o juízo da filial de empresa que tenha sede fora do Brasil?
É competente para deferir a recuperação judicial o juízo da filial de empresa que tenha sede fora do Brasil?

Como não aparecer online no Messenger
Como não aparecer online no Messenger

Por que as relações ecológicas são importantes para o equilíbrio ambiental?
Por que as relações ecológicas são importantes para o equilíbrio ambiental?

O que o técnico deve fazer antes de realizar procedimentos de diagnóstico no disco?
O que o técnico deve fazer antes de realizar procedimentos de diagnóstico no disco?

Por que memórias SODIMMs são adequadas para laptops?
Por que memórias SODIMMs são adequadas para laptops?

Qual a importância dos registros fósseis para o estudo da evolução?
Qual a importância dos registros fósseis para o estudo da evolução?

Como transferir as conversas do WhatsApp do Android para o iPhone 2022?
Como transferir as conversas do WhatsApp do Android para o iPhone 2022?

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?

If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes

50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls

20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall

Which group would be most likely to oppose government intervention to improve the tenements
Which group would be most likely to oppose government intervention to improve the tenements

What is the name of the process in which one company studies the processes of another firm?
What is the name of the process in which one company studies the processes of another firm?

Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?

Ferrous sulfate life threatening Considerations
Ferrous sulfate life threatening Considerations

How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?

Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?

Publicidade

ÚLTIMAS NOTÍCIAS

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
1 anos atrás . por InflatedHumility
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
1 anos atrás . por TropicalPhrasing
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
1 anos atrás . por DamagedShoplifting
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
1 anos atrás . por IncredibleLitigation
Which group would be most likely to oppose government intervention to improve the tenements
1 anos atrás . por EscapingAdvice
What is the name of the process in which one company studies the processes of another firm?
1 anos atrás . por PerverseSiding
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
1 anos atrás . por SatiricalCrossroads
Ferrous sulfate life threatening Considerations
1 anos atrás . por DarkStandpoint
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
1 anos atrás . por NostalgicTuesday
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
1 anos atrás . por PlanetaryWomanhood

Toplistas

#1
Top 7 remédio para dor de ouvido infantil 6 anos 2022
1 anos atrás
#2
Top 7 folder programa para fazer 2022
1 anos atrás
#3
Top 7 o que é bom para reduzir o colesterol ruim 2022
1 anos atrás
#4
Top 8 o que é cidade local 2022
1 anos atrás
#5
Top 8 distancia entre cidades americanas e canadenses 2022
1 anos atrás
#6
Top 9 o texto apresenta uma relação entre atividade econômica e organização social marcada pelo 2022
1 anos atrás
#7
Top 5 blusas de croche verão 2022
1 anos atrás
#8
Top 6 cha de cordão de frade para que serve 2022
1 anos atrás
#9
Top 8 se a cada hora o planeta percorre 15° de longitude quantos graus ele realiza a cada rotação 2022
1 anos atrás
#10
Top 5 crie um algoritmo que calcule o valor do fatorial de um número fornecido pelo usuário 2022
1 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 comojogaruno Inc.