Dado pessoal, nos termos da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), é toda informação relativa a uma pessoa natural (não jurídica) identificada ou identificável.

Praticamente toda ação praticada relativamente a uma informação pessoal configura tratamento de dados pessoais, sujeito às regras da LGPD, desde coletar, armazenar, compartilhar, até eliminar ou arquivar. 

A lei distingue uma categoria de dados que merece proteção especial, devido ao seu elevado potencial danoso para os direitos e liberdades das pessoas, sendo passível de sujeitar o respectivo titular a tratamentos discriminatórios. São os dados sensíveis: dados relativos à origem étnica ou racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à vida sexual, à saúde, dados genéticos e biométricos. 

Informações denominadas “sensíveis” (na acepção comum do termo), porque a sua violação pode afetar gravemente a vida quotidiana do titular, não são “dados sensíveis” para efeito da LGPD, como é o caso dos dados financeiros, cujo tratamento segue o regramento geral.

Também os dados de crianças e adolescentes não são tecnicamente “dados sensíveis”, embora o seu tratamento seja sujeito a um regime mais rígido.

A LGPD dispensa aos dados sensíveis um tratamento restrito e mais rigoroso que aquele dos dados comuns, assim como o Regulamento Geral de Proteção de Dados da União Europeia.

Não é autorizado o tratamento de dados sensíveis com base num legítimo interesse da empresa, nem para a execução de contrato. A mera existência de um contrato não é suficiente para justificar a coleta, o armazenamento ou o outro uso de dados sensíveis.

O Regulamento europeu de proteção de dados estabelece a vedação ao tratamento dos dados sensíveis, deixando expresso que as hipóteses em que o autoriza representam exceção à regra. De modo diferente, mas com o mesmo sentido, a Lei brasileira dispõe que o tratamento dos dados sensíveis somente pode ocorrer quando o titular consentir ou, sem o consentimento do titular, quando o tratamento destes dados se mostrar indispensável para as finalidades que arrola nas alíneas do inciso II do artigo 11

Em outros termos, na ausência do consentimento do titular dos dados, a organização somente pode realizar o tratamento dos dados sensíveis se demonstrar a indispensabilidade deste tratamento para alcançar alguma das finalidades autorizadas na LGPD. Mas não basta indicar algum dispositivo legal, devendo-se apontar o fundamento de fato, a situação da vida que revela tal indispensabilidade.

O consentimento não se revela uma base legal adequada para operações de tratamento de dados em relações caracterizadas por um desnivelamento entre as posições jurídicas do titular dos dados e o controlador, como acontece nas relações em que há uma superioridade hierárquica ou exercício de autoridade, porque nestas situações, em geral, eventual consentimento dado pelo titular não cumpre a exigência legal de que seja uma manifestação de vontade livre. É o caso das relações de trabalho e das relações do indivíduo com a Administração Pública.

Nestas situações, se não restar evidenciada a indispensabilidade do tratamento dos dados sensíveis, este tratamento não pode ser realizado.

Merece destaque que a LGPD veda o compartilhamento de dados pessoais de saúde com o objetivo de obter vantagem econômica, exceto para a prestação de serviços de saúde e assistência farmacêutica, incluídos os serviços de diagnose e terapia, para atender interesses do titular e permitir a portabilidade dos dados, quando ele solicitar, e as transações administrativas e financeiras relativas à prestação dos serviços citados.

A LGPD veda ainda expressamente que as operadoras de plano de saúde realizem tratamento de dados de saúde para a seleção de riscos para a contratação dos serviços e exclusão de beneficiários.

A existência de dados sensíveis é determinante na definição da política de governança de dados a ser instituída pela organização, que neste caso exigirá a implementação de medidas técnicas e administrativas mais robustas para a proteção dos dados.