Ligamos para você

Dados pessoais sensíveis: o que são, riscos e cuidados

Equipe TOTVS | 05 junho, 2023

A tecnologia e a digitalização transformaram a forma como as organizações trabalham e interagem com seus clientes e fornecedores. Nesta interação, há diversas trocas de informações que, por vezes, incluem dados pessoais sensíveis.

Com o  advento da LGPD (Lei n.º 13.709/2018), a proteção de dados pessoais tornou-se um grande compromisso das organizações

Em outras palavras, é uma questão de segurança da informação e cibersegurança que passou a fazer a diferença no sucesso de um negócio.

Para entender melhor a relevância do tema no ambiente corporativo, vamos explorar a definição de dados pessoais sensíveis na LGPD, a forma de tratamento desses dados e sua diferença para outros tipos de informação.

Além disso, abordaremos os riscos relacionados ao seu tratamento, as penalidades para as empresas que não cumprem as normas, bem como medidas para evitar o vazamento de dados na organização.

Quer aprimorar a segurança e privacidade das informações de seus clientes e demais stakeholders?

Confira!

Nova call to action

O que são dados pessoais sensíveis?

De acordo com o artigo 5º, inciso II, da Lei n.º 13.709/2018, são informações relacionadas à intimidade e privacidade das pessoas, que podem causar algum tipo de discriminação ou prejuízo caso sejam divulgados ou usados de forma inadequada. 

Considerando essa definição do que são dados pessoais sensíveis na LGPD, temos como exemplos destas informações:

  • Opinião política;
  • Convicção religiosa;
  • Origem étnica ou racial;
  • Dado sobre saúde ou vida sexual;
  • Dado biométrico ou genético, se vinculado a uma pessoa natural;
  • Filiação a organização de caráter filosófico, religioso ou político, ou sindicato.

E você sabia que existem dados pessoais não sensíveis? Para entendê-los, é preciso conhecer a diferença entre certos conceitos presentes na lei.

A diferença entre dados pessoais, dados pessoais sensíveis e anonimizados

A LGPD, em seu artigo 5º, traz o conceito de diversos tipos de dados. 

A definição de dados pessoais sensíveis já está clara: são informações muito íntimas que podem causar discriminação ou prejuízo se divulgadas, como origem racial ou étnica, opiniões políticas etc.

Muitos perguntam se CPF é dado sensível, mas ele se enquadra como dado pessoal. 

Dados pessoais são informações relacionadas a uma pessoa identificada (informação direta) ou identificável (informação indireta). Nome, endereço, CPF, RG, telefone e e-mail são exemplos de dados pessoais.

A informação direta permite a imediata individualização da pessoa, enquanto a indireta só permite sua identificação a partir da reunião de informações.

Já os dados anonimizados são aqueles que não permitem a identificação direta ou indireta do titular dos dados. Ou seja, não é possível identificar a pessoa a quem os dados se referem sem utilizar outras informações adicionais. 

Um bom exemplo são os dados sobre o consumo de energia elétrica em um bairro, pois não permitem a identificação direta dos moradores, mas podem ser utilizados para fins estatísticos.

Entendeu o que são dados pessoais e dados sensíveis? Falta ainda definir os dados públicos.

E quanto aos dados públicos?

Dados públicos são informações que podem ser acessadas e divulgadas livremente, sem qualquer restrição de acesso ou uso, como informações sobre empresas e órgãos públicos disponíveis em sites oficiais.

De acordo com a LGPD, uma empresa pode tratar dados tornados públicos pelo titular anteriormente sem pedir novo consentimento. No entanto, caso deseje compartilhá-los com outras empresas, deve pedir outro consentimento para esse fim.

Essas definições são importantes para entender a base legal para o tratamento de dados pessoais sensíveis.

Como deve ocorrer o tratamento de dados pessoais sensíveis?

A base legal para tratar esses dados é a Lei Geral de Proteção de Dados (LGPD). 

A lei estabelece uma série de regras e obrigações específicas para este tratamento de dados. Entre as principais medidas que as empresas devem adotar, destacam-se:

  1. Acesso restrito às pessoas autorizadas e limitado para a realização das atividades previstas;
  2. Armazenamento de forma segura e adequada, com acesso restrito e controle de integridade;
  3. Coleta e tratamento para finalidades específicas e legítimas, devendo ser informadas ao titular;
  4. Informação aos titulares sobre o tratamento de seus dados sensíveis, incluindo a finalidade, a forma de tratamento e as medidas de segurança adotadas;
  5. Obrigação em adotar medidas de segurança adequadas para proteger esses dados contra perda, vazamento, acesso não autorizado, alteração ou destruição.
  6. Retenção dos dados apenas pelo tempo necessário para a realização das finalidades específicas para as quais foram coletados, devendo ser eliminados ou anonimizados quando não forem mais necessários;
  7. Obtenção de consentimento expresso do titular, salvo exceções previstas em lei, como cumprimento de obrigação pelo controlador, exercício regular de direitos, proteção da vida do titular ou de terceiro, tutela da saúde etc.

Em resumo, o tratamento de dados pessoais sensíveis deve ser realizado com transparência, segurança e respeito à privacidade e aos direitos das pessoas, seguindo as obrigações previstas na LGPD.

Mesmo tomando esses cuidados, há riscos relacionados ao tratamento desse tipo de dado.

Os riscos relacionados ao tratamento desse tipo de dado

Mesmo sabendo como deve ocorrer o tratamento de dados pessoais sensíveis, as empresas correm riscos inerentes a esta atividade.

Em primeiro lugar, é preciso obedecer às regras e aos princípios da LGPD. Considerando isso, uma organização responderá por qualquer conduta que não esteja consoante à lei.

Ou seja, ela corre o risco de ser penalizada administrativa e judicialmente em caso de incidentes de segurança de dados.

E esse risco aumenta conforme o crescimento no volume de dados tratados, bem como suas características. Se os dados sensíveis demandam maior atenção, a cobrança em cima deste tratamento será maior, assim como a possibilidade de erros e falhas.

Outro risco relevante quanto a esse tipo de dados é a discriminação do usuário em caso de vazamento,  uma vez que eles carregam informações de foro íntimo.

Por este motivo, recomenda-se lidar com esses dados apenas em caso de necessidade.

Vale pontuar, ainda, que o tratamento inadequado de dados, de maneira geral, é acompanhado de diversos riscos, como:

  • Vazamento de informações, o que pode causar danos à privacidade e aos direitos dos titulares dos dados.
  • Uso dos dados para a prática de crimes, como a fraude, o phishing, a extorsão, a chantagem e o roubo de identidade.
  • Danos reputacionais, uma vez que o tratamento inadequado de dados pessoais pode afetar a confiança dos clientes e dos investidores.
  • Perda de negócios e enfraquecimento da competitividade das empresas em decorrência da falta de confiança dos clientes e dos investidores.

Um dos riscos mais relevantes, como visto, são as penalidades previstas na LGPD. Vamos nos aprofundar neste assunto.

As penalidades para empresas que divulgarem ou lidarem com dados sensíveis não autorizados

A Lei Geral de Proteção de Dados (LGPD) estabelece sanções administrativas para as empresas que descumprem as regras de tratamento de dados pessoais, incluindo os sensíveis.

As penalidades são as seguintes:

  1. Advertência: enviada por escrito, indica a infração cometida e as medidas corretivas necessárias para evitá-la no futuro.
  2. Suspensão do funcionamento da empresa por até 6 meses: penalidade aplicada em casos graves de infração à LGPD.
  3. Multa: a empresa pode ser multada em até 2% do seu faturamento bruto no último exercício fiscal, limitada ao valor máximo de R$50 milhões.
  4. Publicização da infração: o infrator pode ser obrigado a publicar a infração cometida e as medidas corretivas adotadas em veículos de grande circulação.
  5. Bloqueio ou eliminação dos dados: a organização pode ser obrigada a bloquear ou eliminar os dados pessoais sensíveis que foram tratados em desacordo com as regras da LGPD.
  6. Proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados: a empresa pode ser proibida de realizar determinadas atividades relacionadas ao tratamento de dados pessoais.

Por isso, as empresas que sabem como deve ocorrer o tratamento de dados pessoais sensíveis conseguem se prevenir dessas penalidades e manter seu negócio competitivo no mercado.

Para tanto, é essencial compreender a importância da LGPD neste contexto.

A importância da LGPD dentro deste cenário

De acordo com o mapa da proteção de dados pessoais elaborado pelo SERPRO (Serviço Federal de Processamento de Dados), o Brasil está em um estágio incipiente no assunto. Isso porque temos leis e uma autoridade nacional, mas não mais do que isso.

Ainda assim, a Lei Geral de Proteção de Dados (LGPD) é de extrema importância para o cenário atual de tratamento de dados pessoais, especialmente no que diz respeito aos dados pessoais sensíveis. 

Com regras claras e rígidas para a coleta, tratamento, armazenamento e compartilhamento de dados pessoais sensíveis, consegue garantir a proteção da privacidade e dos direitos dos titulares desses dados.

Ela obriga as empresas a implementar medidas de segurança adequadas para proteger os dados pessoais contra acesso, alteração, divulgação ou destruição não autorizados.

Isso sem falar, é claro,nas penalidades administrativas para aqueles que descumprem as regras de tratamento.

Portanto, a LGPD ajuda a reduzir o risco de vazamentos e violações de privacidade, incentiva a adoção de boas práticas e o respeito aos direitos dos titulares dos dados.

Dessa forma, contribui também para a promoção da confiança dos clientes e do público em geral nas empresas, o que pode fortalecer a reputação das empresas e a competitividade do mercado.

Ciente desta importância, é hora de saber como evitar o vazamento de dados nas organizações.

Como evitar o vazamento de dados nas empresas?

O Brasil é o sexto país com mais vazamentos de dados no mundo, de acordo com pesquisa da Surfshark, empresa de privacidade e segurança online.

Tivemos 24,2 milhões de perfis com informações expostas devido a ataques ou brechas em sistemas de janeiro a novembro de 2021.

Diante desses dados alarmantes, é preciso adotar ações que contribuam para aumentar a segurança e evitar o vazamento de dados nas organizações. São elas:

Controle o acesso de colaboradores e ex-funcionários

A empresa deve limitar o acesso aos dados sensíveis, garantindo que apenas os colaboradores que precisam acessá-los tenham permissão para fazê-lo. 

Além disso, deve estabelecer o acesso apenas às informações estritamente necessárias para a consecução da finalidade estabelecida.

Para tanto, ela pode implementar mecanismos de autenticação e autorização para garantir que apenas os usuários autorizados possam acessar esses dados.

Vale lembrar que bloquear o acesso de ex-funcionários e antigos prestadores de serviços também é fundamental.

Evite usar ferramentas de antivírus gratuitas

As ferramentas gratuitas de antivírus são um mecanismo interessante de prevenção de ameaças, mas não para uma organização.

O ideal é que a empresa invista em soluções robustas, em geral pagas, que garantem alto grau de proteção aos dados pessoais de qualquer natureza. 

Destaca-se que uma ferramenta paga costuma ter um suporte mais adequado em caso de problemas.

Tenha a tecnologia como aliada

Por fim, a tecnologia sempre será uma aliada na hora de assegurar informações em uma empresa. E existem diversas ferramentas interessantes para esta finalidade, tais como:

  • Criptografia: permite a codificação das informações inseridas, de modo que somente usuários com autorização conseguem acessá-la.
  • Softwares antivírus e firewalls pagos: são ferramentas eficazes no combate ao vazamento de dados, pois protegem os dispositivos empresariais de ataques cibernéticos.
  • Sistema de gestão de assinatura eletrônica: solução que auxilia na conformidade com a LGPD e reduz o risco de fraudes. Por meio da assinatura eletrônica autenticada por criptografia, garante a validade jurídica e a segurança dos documentos assinados. 

Que tal conhecer o software de assinatura eletrônica da maior empresa de tecnologia do Brasil?

Conheça a solução TOTVS Assinatura Eletrônica

O TOTVS Assinatura Eletrônica é uma plataforma que permite, em um só lugar, o envio, a coleta de assinaturas e o armazenamento de documentos eletrônicos.

Com essa gestão centralizada de assinaturas eletrônicas, o gestor consegue ter mais agilidade e produtividade em sua rotina corporativa.

Além disso, há alto grau de segurança, seja na hora das assinaturas (padrão de criptografia SHA 256), seja no armazenamento das informações no ambiente TOTVS Cloud.

Experimente grátis por 30 dias o TOTVS Assinatura Eletrônica e veja como o sistema otimiza a burocracia de sua empresa!

Infográfico TOTVS Assinatura Eletrônica

Conclusão

Os dados pessoais sensíveis são informações de foro íntimo de um indivíduo que merecem cuidado especial, conforme a LGPD.

Diferente de dados pessoais, anonimizados e públicos, estes dados podem gerar prejuízos e discriminação, motivo pelo qual a lei é bastante rígida em relação ao seu tratamento.

Por isso, as empresas devem conhecer qual a melhor forma de lidar com eles e ter em mente as penalidades em caso de inadequação.

Adotar boas medidas de segurança e ferramentas, como o sistema de gestão de assinatura eletrônica, é apenas uma prática recomendada. Saiba como fazer uma política de segurança da informação e mantenha-se em conformidade com a LGPD!

Artigos Relacionados

Como enviar um documento? Conheça 4 principais formas

Continue Lendo
Conheça os documentos necessários para contrato de aluguel comercial

A agilidade e a segurança são valores inestimáveis na dinâmica atual dos negócios, e isso pass...

Continue Lendo
Contrato de locação de imóvel comercial: como fazer e modelo

A negociação de um imóvel para o funcionamento de uma empresa é um marco para empresários e ge...

Continue Lendo
Documentos para reconhecer firma: quais são necessários

Reconhecimento de firma é um procedimento legal que confirma a autenticidade da assinatura em um d...

Continue Lendo
Documentos para abrir firma: quais são necessários?

Abrir firma é um procedimento fundamental para validar a autenticidade da sua assinatura em docume...

Continue Lendo
Como enviar documento para assinatura digital? Aprenda!

Imagine que sua empresa possua dezenas de novos contratos de trabalho, mas os futuros profissionais...

Continue Lendo

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.