Desde 2018, a LGPD (Lei Geral de Proteção de Dados), Lei nº 13.709, vem intensificando e aprimorando os debates e as ações em torno da segurança dos dados pessoais dos cidadãos brasileiros. Como explica o texto da legislação, o objetivo é regular toda operação realizada com essas informações, “como as que se referem a coleta de dados, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
O tema, porém, ainda gera algumas dúvidas importantes, como as relacionadas aos dados sensíveis, algo que será esclarecido nesse artigo. Não deixe de ler.
O que são dados sensíveis?
De acordo com o Artigo 5º da LGPD, são considerados dados sensíveis de um cidadão brasileiro aqueles relacionados à origem racial ou étnica, informações genéticas, biométricas, de saúde ou de vida sexual, convicção religiosa, opinião política ou filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
O tratamento de dados pessoais sensíveis, como está destacado no Artigo 11º, somente poderá ocorrer “quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas”. A obrigatoriedade desse consentimento só será descartada nas hipóteses em que for indispensável para:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitra;
- proteção da vida ou da incolumidade física do titular ou de terceiro;
- tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Apenas como um complemento, vale lembrar que, com relação ao termo “dado pessoal”, a legislação entende que trata-se de toda “informação relacionada a pessoa natural identificada ou identificável”. Isso quer dizer que são dados que podem ajudar a identificar alguém, como nome, CPF, RG, endereço, foto, data de nascimento, número do passaporte, CNH ou e-mail.
Por que os dados sensíveis são importantes?
Dados sensíveis merecem atenção das organizações que os mantêm em sua base. Isso porque, quando revelados, eles têm potencial para prejudicar todos os envolvidos. O titular da informação pode ser exposto a uma situação de vulnerabilidade, com riscos de discriminação e ataques. Já a organização que detinha a informação no momento de um vazamento de dados pessoais – sensíveis ou não -, pode ter que arcar com sanções legais e prejuízos financeiros e reputacionais.
4 fatores imprescindíveis para lidar com dados sensíveis
Gerir os dados com segurança, eficiência e conformidade legal é uma das missões das áreas de TI e SI das organizações. Nessa missão, os guardiões do ambiente digital costumam se deparar com desafios internos, caracterizados pelo comportamento dos usuários e/ou por falhas na configuração, instalação e atualização de ferramentas, além dos riscos externos com a profissionalização dos cibercriminosos.
Por termos conhecimento desse cenário, com relação aos dados sensíveis, recomendamos que as ações contemplem:
1. Governança de Dados
Governança de Dados é um conjunto de padrões que definem como as informações devem ser coletadas, armazenadas, processadas e descartadas por uma organização. Não considerando um formato padrão, mas sim o modelo e as necessidades de cada negócio, bem como as especificidades das informações em questão. Ao ser automatizada, essa ação, ainda, oferece visibilidade total e em tempo real dos dados que circulam em bancos, sistemas e aplicações de uma empresa.
2. Gerenciamento da Postura de Segurança de Dados
Também conhecido como DSPM ou Data Security Posture Management, o Gerenciamento da Postura de Segurança de Dados auxilia a organização a entender onde seus dados estão localizados, como estão sendo usados e quais riscos estão associados a essas informações. Com esse recurso, as empresas conseguem mitigar os casos de acessos não autorizados, de uso indevido das informações e de ransomware, uma das principais ameaças cibernéticas à segurança digital dos negócios.
3. Mapeamento do ciclo de vida do dado
É imprescindível que a organização faça o mapeamento do ciclo de vida dos dados sensíveis, ou seja, tenha conhecimento de todo o caminho percorrido pela informação, desde a coleta até o descarte. São etapas que incluem, ainda, o controle de armazenamento, uso, compartilhamento, atualizações, petições, classificações, consentimentos, revogações e DSAR (Data Subject Access Request).
4. Processo efetivo de expurgo de dados
Um dos direitos garantidos pela LGPD aos titulares de dados é o expurgo (descarte) de suas informações de uma base quando elas não foram mais necessárias para as finalidades para as quais foram coletadas. Nessas situações, a organização precisa garantir, por meio de políticas e critérios claros, que a eliminação dos dados seja completa – arquivos físicos e digitais, incluindo backups -, sem possibilidade de recuperação indevida.
Na NovaRed somos especialistas em serviços e soluções de cibersegurança. Nossa equipe de profissionais está à disposição para te auxiliar a repensar a segurança dos dados da sua organização ou garantir a conformidade legal do ambiente digital do seu negócio no quesito.
Clique aqui e agende agora um bate-papo com um dos nossos especialistas?