Dados sensíveis: o que são e o que diz a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor desde agosto de 2021. Esta normativa visa principalmente garantir a utilização adequada e a proteção das informações pessoais e dos dados sensíveis dos indivíduos por organizações públicas e privadas.
Isso é especialmente importante neste momento em que os dados, de maneira geral, são considerados o novo petróleo e formam a base de inteligência para a tomada de decisões nas empresas.
Além disso, com a digitalização ainda mais presente nas atividades de trabalho, estudo, lazer e comunicação, deixamos uma trilha de dados cada vez maior.
Essa realidade, ao passo que traz mais praticidade e agilidade, oferece também mais riscos associados a vazamentos, roubo e manipulação indevida dos dados. Quando esses incidentes envolvem dados sensíveis, as consequências podem ser ainda mais graves.
Continue a leitura para descobrir o que são dados sensíveis e como lidar com eles no contexto da LGPD.
O que são dados sensíveis?
A partir das diretrizes trazidas pela LGPD, dados sensíveis são as informações consideradas classificadas, ou seja, que devem ser protegidas com rigor e que precisam ficar inacessíveis a terceiros, a menos que haja permissão específica.
Trata-se de dados confidenciais que devem, portanto, ser mantidos em segurança e fora do alcance de todos que não têm autorização para acessá-los, manipulá-los, utilizá-los, entre outros.
Exemplos de dados sensíveis
Neste contexto, são exemplos de dados sensíveis que precisam ter segurança extra em sua empresa:
- Informações pessoais que indicam a origem racial ou étnica, opiniões políticas e crenças religiosas ou filosóficas;
- Filiação partidária e sindical;
- Dados genéticos e biométricos;
- Informações relativas à saúde;
- Dados que indiquem orientação sexual ou vida sexual.
E o que não são considerados dados sensíveis?
Observe que nem todos os dados pessoais são considerados sensíveis. Por exemplo, nome ou endereço de e-mail não são classificados como sensíveis. Porém, ainda são dados pessoais e, portanto, precisam ser protegidos e receber tratamento em conformidade com a LGPD.
O que diz a LGPD sobre dados sensíveis?
A privacidade dos dados pessoais está se tornando cada vez mais importante. Em mais de 80 países, as informações de identificação pessoal são protegidas por leis de privacidade de dados que definem os limites para a coleta e uso dessas informações por organizações públicas e privadas.
Essas leis exigem que as organizações avisem claramente os indivíduos sobre quais dados estão sendo coletados, o motivo da coleta e o uso planejado para essas informações. Em estruturas legais como a LGPD, o consentimento explícito do indivíduo é necessário para tratar esse tipo de informação.
E no que diz respeito aos dados sensíveis, a LGPD determina um conjunto de normativas ainda mais específico e restritivo, que precisa ser seguido para evitar sanções como multas, por exemplo.
Entre as prescrições, temos que os dados sensíveis podem ser tratados se houver um consentimento explícito de seu titular para um uso definido.
Quando não houver esse consentimento, a LGPD estabelece que o tratamento será possível em algumas situações em que isso for considerado indispensável - como em ocorrências associadas a obrigações legais, à preservação da vida e outras.
Como lidar com dados sensíveis de seus clientes com mais segurança?
É fundamental agir em consonância com as normas trazidas pela LGPD no que diz respeito também aos dados sensíveis, de modo a garantir mais transparência e controle sobre a coleta dessas informações e sobre seu uso. Isso é importante também para adotar as melhores práticas para garantir sua segurança e proteção.
Assim, além do que já vimos até aqui, outras boas práticas de segurança e de manipulação desses dados incluem:
Identificação e avaliação da necessidade de coleta e tratamento dos dados sensíveis
É fundamental identificar e agrupar todos os dados tratados em sua empresa também sob o filtro da sensibilidade. Dependendo da sensibilidade das informações, existem diferentes níveis de proteção necessários.
Nesta hora, avalie também a real necessidade de colher e tratar esses dados. Eles são mesmo essenciais? Há algum dado que é solicitado, mas não é utilizado? Essas informações são realmente essenciais para atender à finalidade indicada?
Se você perceber que é possível reduzir o volume de dados sensíveis solicitados e tratados em sua empresa, isso permitirá minimizar riscos associados a eles. Isso também será importante para se alinhar ao princípio de necessidade trazido na LGPD.
Tal princípio estabelece a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Tenha um controle de acesso confiável
Para uma segurança da informação eficaz, é importante avaliar quais informações pessoais sua empresa utiliza e identificar quem tem acesso a elas.
Isso permitirá que você entenda como as informações fluem através de sua organização e lhe dará uma imagem completa de quem envia e de quem recebe essas informações, quais dados são coletados, quem mantém as informações captadas e quem tem acesso a elas.
Compreender como os dados sensíveis entram e saem de sua organização é essencial para avaliar vulnerabilidades em potencial e riscos de segurança cibernética.
Lembre-se de que o acesso a dados sensíveis deve ser limitado por meio de práticas de segurança de dados e informações, o que contribui para minimizar riscos de vazamentos e violações de dados.
Avaliação dos riscos
O roubo e o vazamento de dados são problemas recorrentes e que, infelizmente, se intensificaram a partir da pandemia.
E os dados sensíveis e confidenciais estão entre os mais visados pelos cibercriminosos. Com isso, para garantir o nível de proteção adequado, é essencial avaliar os riscos associados ao tratamento dessas informações.
Monitoramento e implementação de medidas de segurança consistentes
É fundamental também adotar medidas de segurança para a proteção dos dados sensíveis. Após a implementação, é fundamental monitorar a eficiência dessas iniciativas para garantir que não haja vulnerabilidades nos processos.
Entre as medidas de segurança, estão:
Usar criptografia nas informações
A criptografia permite que os dados sensíveis não sejam reconhecíveis à primeira vista, convertendo seu conteúdo para um outro formato e tornando-o acessível apenas com o uso da mesma chave criptográfica.
Manter boas práticas na criação e gerenciamento de senhas
Uma política de senha compatível com a LGPD ajuda a proteger os sistemas e plataformas da empresa para que os dados sensíveis fiquem seguros. Afinal, o objetivo de uma senha é impedir que indivíduos não autorizados acessem recursos ou dados. E o objetivo da LGPD é proteger esses dados.
Lembre-se de que quanto mais fraca for a senha, mais vulnerável a ataques de força bruta sua empresa estará, e mais facilmente seus sistemas poderão ser comprometidos.
Utilizar VPN
As Redes Privadas Virtuais, ou VPNs, são redes cuja liberação de acesso só se dá para usuários autenticados, permitindo que se defina com mais segurança quem poderá ter acesso aos dados sensíveis.
Treinar sua equipe para reduzir riscos e manter a conformidade
Muitas falhas de segurança acabam acontecendo em decorrência de erros humanos. Compartilhar arquivos com pessoas não autorizadas, utilizar senhas fracas e abrir mensagens suspeitas são exemplos de comportamentos nocivos ainda comuns.
Para minimizar esse tipo de risco, é fundamental sensibilizar e treinar seu time para que as práticas de segurança gerais e de proteção aos dados sensíveis sejam corretamente adotadas.
Sua empresa está 100% adequada às regras da LGPD? Você tem dúvidas sobre como tratar os dados sensíveis dos seus clientes? Deixe sua mensagem nos comentários.