O que são dados sensíveis, de acordo com a LGPD
Há tipos de dado pessoal que exigem atenção extra ao serem tratados?
Sim. Claro, todo dado pessoal só pode ser tratado se seguir um ou mais critérios definidos pela LGPD, mas,
dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
Artigo julho 2019
A sua organização recolha e trata dados sensíveis? Saiba o que os distingue dos dados pessoais e em que base o poderá fazer sem recorrer ao consentimento previsto no RGPD Da Distinção entre Dados Pessoais e Dados SensíveisPara se perceber esta distinção, importa distinguir a noção de dados pessoais da dos dados
sensíveis.
Dos Dados Genéticos, Biométricos e de SaúdeO RGPD impõe com clareza que os dados genéticos deverão ser definidos como os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que resultem da análise de uma amostra biológica da pessoa singular em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN) ou ácido ribonucleico (ARN), ou da análise de um outro elemento que permita obter informações equivalentes. Os dados biométricos para identificação são dados pessoais são aqueles resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos (impressões digitais). O que precede informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a informação a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, através de um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro. Da Proteção Especial dos Dados Sensíveis no RGPDOra, os dados sensíveis mereceram uma proteção específica, já que, são especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, pois o seu tratamento pode implicar riscos significativos para o direito à reserva da vida privada. Como tal, o Regulamento consagra como regra geral que a sua recolha e/ou tratamento está proibida, (cfr. Art.º 9º do RGPD). Quer isto dizer que nenhuma organização pode recolher e tratar, por exemplo, os dados de saúde ou biométricos?
O Regulamento deixa, ainda, a porta aberta a que o direito nacional dos Estados-Membros possa permitir derrogações à proibição de tratamento de categorias especiais de dados pessoais, ainda que devam ser sujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, caso tal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde. Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. O Regulamento define, assim, que as categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação
social, incluindo o tratamento por parte da administração e das autoridades sanitárias centrais nacionais desses dados para efeitos de controlo da qualidade, informação de gestão e supervisão geral a nível nacional e local do sistema de saúde ou de ação social, assegurando a continuidade dos cuidados de saúde ou de ação social e da prestação de cuidados de saúde transfronteiras, ou para fins de segurança, monitorização e alerta em matéria de saúde, ou para fins de arquivo de interesse
público, para fins de investigação científica ou histórica ou para fins estatísticos baseados na legislação e que têm de cumprir um objetivo, assim como para os estudos realizados no interesse público no domínio da saúde pública. Da Aplicabilidade Prática – o Fundamento de LicitudePara explicitar a aplicabilidade prática do referido, vejamos o seguinte exemplo (Obtenção de Consentimento do Titular dos Dados): Uma clínica de medicina dentária não só recolhe dados de saúde (diagnóstico/ tratamento/ estado de saúde) dos seus pacientes, mas também recolhe dados pessoais de identificação para faturação e de contacto. Assim, os primeiros só podem ser recolhidos e tratados com o fundamento para fins de prestação de cuidados ou tratamentos de saúde (…) por força de um contrato com um profissional de saúde, sob reserva de sigilo profissional ou por pessoa sujeita ao dever de confidencialidade (cfr. al. h) do n.º 2 do art.º 9 do RGPD) e portanto, já se depreende que o consentimento não é o fundamento de licitude adequado para este fim, pelo que não será necessário obtê-lo. Os segundos (nome, morada, n.º de
identificação fiscal, endereço eletrónico) já são dados pessoais recolhidos para fins diferentes dos primeiros e portanto já não configuram dados sensíveis e, como tal já não caiem no fundamento legal elencado. Estes são-no para a finalidade da execução de um contrato (o contrato da prestação de cuidados de saúde) e de cumprimento de obrigações fiscais, nomeadamente de facturação e já não merecem a proteção especial de serem acedidos somente por uma pessoa sob reserva de sigilo, como é o caso do
médico, estes já podem ser acedidos pelo pessoal administrativo, por exemplo. E, claro, também não será necessário obter o consentimento do titular dos dados, para os dados de contacto e faturação, já que, a prestação do serviço é feita no seu interesse. Assim, o tratamento de dados sensíveis impõe a restrição de acesso em função da pessoa que os acede, pelo que as organizações devem impor medidas que impeçam a exposição dos dados sensíveis, por pessoal administrativo. Se as fichas dos pacientes, contendo dados da saúde estão armazenadas em arquivo físico, este passará a ser
fechado e o seu acesso só poderá ser feito pelo pessoal médico. Por outro lado, se os dados sensíveis são armazenados em plataforma informática, haverá que criar diferentes acessos através de encriptação, consoante a função do seu utilizador. Da Obtenção do Consentimento do Menor ou do Titular das ResponsabilidadesOutra situação em que a obtenção do consentimento tem sido proliferamente obtido, no que aos dados sensíveis concerne, é quando o
titular dos dados de saúde é menor. Portanto, dada a proteção específica aos dados sensíveis, pela exposição ao risco de violação de direitos fundamentais dos titulares dos dados, as organizações devem levar a cabo um levantamento dos dados pessoais que tratam, identificar os motivos pelos quais o fazem e para que fim, de modo a garantir os direitos aos seus titulares e redobrar os seus cuidados caso procedam a operações de tratamento de dados sensíveis em conformidade com o RGPD. Do Registo da Atividade de TratamentoMormente, no caso de tratamento de dados sensíveis, a organização deverá proceder a registo de atividade de tratamento de dados e avaliar se os dados sensíveis que recolhe e trata cumprem com algum dos requisitos das condições elencadas acima para legitimar o seu tratamento. Caso contrário, violará a al. a) do n.º 5 do art.º 83.º do Regulamento Geral de Proteção de Dados, com a
cominação da coima mais gravosa de 20.000.000€ ou 4% da faturação. Eventualmente, para cumprimento desta obrigação, as organizações poderão vir a necessitar de contratar software específico, consoante a amplitude da natureza e dos tratamentos de dados que executarem. Da Avaliação de ImpactoAinda, dependendo se a organização procede a operações de dados sensíveis em larga escala impõe o Regulamento que se proceda a Avaliação de Impacto (PIA), para identificar e minimizar os riscos por incumprimento das regras de proteção de dados, que deverá ter em consideração:
Como vimos, as operações de tratamento de dados sensíveis exigem maiores cuidados para as empresas, as quais devem procurar entender as suas responsabilidades face à exposição ao risco de violação dos direitos fundamentais dos titulares dos dados, devendo diligenciar o quanto antes no sentido de adaptar a sua estrutura em conformidade com o Regulamento.
|
Membro Associado da
Contactos. Fax: (+351) 220 161 680 E-mail: Porto | Lisboa | São Paulo |