• English English
  • Português (Brasil) Português (Brasil)
  • Español Español
  • Prestação de Contas
  • Transparência
  • Privacidade e Proteção de Dados
  • Assinador Digital
  • HOD
  • PSS Serpro
  • Intranet
Área do Cliente
  • Loja
  • Soluções
    • Por Público
      • Empresas
        • Certificação Digital
        • Datavalid
        • SNE
        • NeoID
        • Integra Loja Franca
        • Vio
        • Renave
        • Nova Placa Veicular
        • Consulta Denatran
        • Inteligência de Negócio
        • Conexão de Redes Anexadas
        • Arquivos Estatísticos Denatran
        • Integra COMEX
        • Biovalid
      • Governo
        • Certificação Digital
        • Infovia
        • Margem Consignável
        • Radar
        • Autua
        • SNE
        • Integra Siafi
        • NeoID
        • Vio
        • DaaS
        • Govdata
        • ProID
        • Serpro Mail
        • Conexão de Redes Anexadas
        • Cartório Data
        • Biovalid
      • Cidadão
        • Certificação Digital
        • SNE
        • CDT Carteira Digital de Trânsito
        • Vio
        • NeoID
        • ProID
    • Por Linha de Negócio
      • Operações de Governo
        • SNE
        • CBIO
        • Notificação e Registro de Recall
        • Consulta Denatran
        • Emplaca
        • Integra Loja Franca
        • Painel de Inteligência Veicular
        • Renave
      • Informação e Análise
        • DaaS
        • Cartório Data
        • Plataforma de Inteligência de Negócios
        • GovData
        • Biovalid
        • Datavalid
        • Consulta CND
        • b-Cadastros
      • Software
        • SerproMail
        • Gestão de Margem Consignável
        • Radar
        • ProID
        • VendasGov
        • Cidades GOV.BR
      • Ambientes e Conectividade de TI
        • Serpro MultiCloud
        • Infovia
      • Privacidade e Segurança
        • Emissão de Carimbo de Tempo
        • Certificação Digital
        • Hospedagem de Autoridade Certificadora
        • NeoID
        • PSBio
        • Serpro LGPD
        • Vio
        • GovShield
    • Por Cliente
      • Receita Federal
      • Senatran
      • Secretaria de Portos
      • Tesouro Nacional
      • Ministério da Economia
      • Secex
      • MRE e PF
  • Suporte
    • Central de Ajuda
    • Central de Serviços
    • Atendimento Gestão de Consignação
      • Sistema de Consignação
      • Preço dos serviços
      • Cronograma Vigente
      • Cronograma 2020
      • Cronograma 2021
      • Cronograma 2022
    • Central de Serviços - Transformação Digital da Justiça
  • Insights
  • Imprensa
  • A empresa
    • Estrutura Organizacional
    • Transparência
    • Endereços
    • Visite o Serpro
    • Livro da Marca
    • Inovação Aberta
      • Serpro Ventures
      • HackSerpro
        • Hackathon - Compras Governamentais
        • Hackathon Rede +Brasil
    • Eventos
      • 2º Prêmio Serpro de Privacidade e Proteção de Dados
        • Aviso de Privacidade
      • 1ª Semana Serpro de Privacidade e Proteção de Dados
        • Participantes
      • Serpro Talks
      • Semana Nacional de Ciência e Tecnologia
      • Webinar Serpro
        • Riscos à Privacidade e Proteção de Dados
        • Inteligência Artificial - Desafios para a privacidade e proteção de dados
        • Avaliação de adequação à LGPD
        • Serpro e Fecomércio MG
        • Escritório Virtual
        • LGPD e Open Banking
        • LGPD: desafios e perspectivas
        • Pix - Pagamentos Instantâneos
        • Identificação digital e experiência do cliente
        • Privacidade e proteção de dados
      • Desafio Cultural POG
      • Lançamento da Plataforma LGPD Educacional
      • 1º Prêmio Serpro de Privacidade e Proteção de Dados
        • Aviso de Privacidade
    • Nossos Endereços
    • Eleições CA - 2022
    • Processo Seletivo COAUD
    • Certificações e Reconhecimento
  • Contato
  • Acesso à informação
  • Área do Cliente
    Redefine Cookies
    Info

    Notícias

    notícias

    Artigo

    Artigo

    Como as empresas devem tratar os dados pessoais sensíveis e não sensíveis?

    Entenda a lógica por trás das bases legais, hipóteses ou situações previstas na LGPD que autorizam operações de caráter econômico e financeiro com um dado pessoal
    Pequeno boneco sobre o teclado de um computador. Inserida no peito desse boneco está uma chave, que pode indicar abertura ou fechamento, dependendo da interpretação do leitor
    • Facebook
    • Linkedin
    • Twitter
    • Whatsapp
    by José Roberto Rebelo Simões — 24 de january de 2023

    Como já sabemos, a Lei 13.709 (Lei Geral de Proteção de Dados Pessoais - LGPD), sancionada em agosto de 2018, veio para disciplinar os diversos aspectos referentes ao tratamento e uso dos dados pessoais dos indivíduos. Ela define critérios para o tratamento de dados – regras para coleta, armazenamento, processamento e compartilhamento – além de impor penalidades para as organizações e empresas que estiverem em desacordo com esta lei.

    É importante destacar que as organizações não estão proibidas de “tratarem” dados pessoais, mas o devem fazer com cautela, observando agora as regras impostas pela lei em questão. Atualmente, nenhuma empresa consegue executar ou até aprimorar o seu negócio sem observar os cuidados necessários em relação aos tratamentos dos dados pessoais de seus clientes. A diferença é que agora as organizações devem justificar seu uso, baseando-se nas chamadas “hipóteses autorizativas” ou ainda “bases legais”, previstas na lei. 

    Figura 1 

    As bases legais correspondem às hipóteses ou situações previstas na LGPD que autorizam o tratamento de dados pessoais não sensíveis e sensíveis. Portanto, para que uma pessoa (física ou jurídica) possa realizar qualquer operação, com viés econômico-financeiro, com um dado pessoal, é obrigatório definir uma hipótese autorizativa na LGPD que justifique o tratamento desses dados pessoais. 

    Dados pessoais triviais

    A LGPD, em seu artigo 7º, define dez bases legais ou hipóteses autorizativas para o tratamento de dados pessoais triviais, conforme exemplos citados abaixo.

    1- Consentimento pelo titular
    Exemplo: o titular que, antes de efetuar o seu cadastramento em uma plataforma de e-commerce, é direcionado para a leitura do termo de consentimento, no qual ele é informado o que será feito com seus dados pessoais, devendo aceitar ou não. Isso não deve ser confundido com um Aviso ou Política de Privacidade, que também deve ser disponibilizado ao titular, contendo todas as informações sobre os tratamentos, servindo, neste caso, como um instrumento de transparência.

    2- Cumprimento de obrigação legal ou regulatória pelo controlador
    Exemplo: obrigações relacionadas ao tratamento de dados pessoais de funcionários, com a finalidade específica de efetivar a realização do pagamento de salários e benefícios. Situação em que lidar com os dados pessoais dos funcionários é necessária para o cumprimento de leis trabalhistas.

    3- Execução de políticas públicas, pela administração pública
    Exemplo: política de controle de tabagismo. Situação em que a Secretaria de Saúde efetua o tratamento de dados pessoais de pessoas que fazem uso de cigarros com a finalidade de execução de políticas públicas de controle do tabagismo e conscientização social.

    4- Realização de estudos por órgão de pesquisa
    Exemplo: pesquisas e desenvolvimento científico, social e econômico como função administrativa do Estado, como as funções do Ministério da Ciência, Tecnologia, Inovações e Comunicações.

    5- Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
    Exemplo: a formalização de um contrato entre duas partes com termos que permitem o uso de dados pessoais. Dessa forma, o tratamento de dados pode ser feito normalmente, pois, ao assinar o contrato, o titular dá permissão para que a empresa utilize essas informações.

    6- Exercício regular de direitos em processo judicial, administrativo ou arbitral
    Exemplo: uma parte desejar ingressar em face da outra. Nesse sentido, não precisará de consentimento para que possa utilizar os dados, podendo se valer desta base para validar esse tratamento.

    7- Proteção da vida ou da incolumidade física do titular ou de terceiros
    Exemplo: em casos de emergências e situações graves. Quando as informações sobre saúde são indispensáveis para garantir a vida ou o bem estar do titular ou terceiro.

    8- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
    Exemplo: quando nome, endereço e telefone são obtidos e, constando no termo para qual finalidade se presta, principalmente quando existe o compartilhamento de informações comerciais com outras redes e parceiros de clínicas, hospitais, ou instituições do mesmo grupo, planos de saúde, seguradoras etc.

    9- Interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
    Exemplo: segurança dos sistemas de informação. Situação em que uma entidade pública efetua o tratamento de dados pessoais dos seus servidores com a finalidade específica de garantir a segurança dos sistemas utilizados para promover a autenticação dos usuários e garantir que não haja a inserção de vulnerabilidades na rede interna por parte de softwares maliciosos.

    10- Proteção do crédito
    Exemplo: uma situação em que o titular tem suas informações tratadas por instituição financeira que precisa avaliar a possibilidade de concessão ou não de crédito. 

    Figura 2

     

    Dados pessoais sensíveis

    Já no artigo 11 da lei em questão, constam as oito hipóteses autorizativas para o tratamento de dados pessoais do tipo sensível. São bases legais para tratamento deste tipo de dado:

    1- Consentimento pelo titular
    Exemplo: o titular disponibiliza suas informações sobre sua origem racial ou étnica em inscrições nos exames como ENEM, PAS ou concursos públicos para obtenção do direito a cotas raciais.

    2- Cumprimento de obrigação legal ou regulatória pelo controlador
    Exemplo: uma prefeitura decreta a obrigatoriedade do comprovante de vacinação do titular em estabelecimentos públicos e privados.

    3- Execução de políticas públicas, pela administração pública
    Exemplo: quando adotadas medidas urgentes em função da emergência de saúde pública decorrente do coronavírus.

    4- Realização de estudos por órgão de pesquisa
    Exemplo: a utilização do resultado do exame de uma pessoa que é diagnosticada com HIV – positivo para fins de estudos científicos e conscientização social.

    5- Exercício regular de direitos em processo judicial, administrativo ou arbitral
    Exemplo: a utilização da prova de DNA, com dados genéticos, em uma demanda investigatória de paternidade.

    6- Proteção da vida ou da incolumidade física do titular ou de terceiros
    Exemplo: quando o uso de dados sobre a saúde do titular é essencial em um setor ou serviço de emergência que presta cuidados primários.

    7- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
    Exemplo: o compartilhamento de informações sobre prontuários médicos entre serviços de saúde.

    8- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Exemplo: a realização de cadastramento de dados biométricos para identificação do titular nas urnas eletrônicas em eleições.

    Figura 3

    Se faz muito importante ressaltar que dentre todas as bases legais apresentadas, a do Consentimento é a mais comentada, entretanto não tem prevalência sobre as demais. Caberá ao controlador definir a base legal mais adequada avaliando a finalidade específica desejada pelo tratamento, aplicando ao caso concreto (1).

    Portanto, podemos concluir claramente que as bases legais constituem o meio pelo qual uma pessoa física ou jurídica justifica a sua necessidade de tratamento. Trata-se claramente de um pré-requisito para tratamento de dados pessoais, ou seja, não se pode tratar dados pessoais sem que haja a clara e inequívoca identificação da hipótese legal que irá amparar esse tratamento.

    ________________

    Referências

    (1) Guia Orientativo Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_lgpd_final.pdf

    Links de pesquisa:
    https://resultadosdigitais.com.br/marketing/bases-legais-lgpd/
    https://www.gov.br/casacivil/pt-br/assuntos/noticias/2020/novembro/201103-faq-anpd-2.pdf
    https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd
    https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
    https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_lgpd_final.pdf

    __________________

    Sobre o autor

    José Roberto Rebelo SimõesJosé Roberto Rebelo Simões é analista de Privacidade e Proteção de Dados no Serpro, formado em Tecnologia em Processamento de Dados, pós-graduado em Segurança da Internet pela UNIRIO e MBA Master in Project Management pela UFRJ. Certificado como PMP pelo Project Management Institute - PMI, desde 2004, com experiência em Gerenciamento de Projetos, Programas e Portfólios e ainda ABNT Lead Implementer 27701. Foi aprovado no processo seletivo de Líderes da Transformação Digital 2020 do Ministério da Economia / Secretaria de Governo Digital. Também foi professor docente na Universidade Católica de Brasília, atuando em educação, comercial, consultoria em privacidade e proteção de dados pessoais; segurança da informação; governança; gestão de projetos; gestão de processos, gestão de produto; transformação digital.

    __________________

    Artigo escrito com a colaboração de Kathleen Thais Sousa Silva, estagiária de Direito no Serpro

    Doormat

    Soluções

    Por Público
    Por Linha de Negócio
    Proteção de Dados

    Suporte

    Central de Ajuda
    Central de Serviços
    Acesso Remoto (SAR)
    Consignatários
    Downloads

    Institucional

    Marca Serpro
    Quem Somos
    Integridade
    Transparência
    Carreiras
    Simplifique

    Contato

    Contatos
    Imprensa

    Empregado

    Intra Serpro
    PAS Serpro
    Plano Odontológico

    Serpro Sede

    SGAN Quadra 601 Módulo "V"

    CEP: 70836-900

    FAX: (61) 2021-8531

    Horário de atendimento: 8h às 18h

    Serpro Ministério da Fazenda Governo Federal

    Contato

    • Quero Adquirir uma Solução
    • Problemas com uma Solução
    • Assessoria de Imprensa
    • Ouvidoria
    • Outro Assunto