Para realizar praticamente qualquer atividade, sobretudo nos meios eletrônicos, precisamos entregar algum dado ou informação. Em alguns casos, o que estamos repassando são dados pessoais sensíveis, informações importantes a nosso respeito que, em certos casos, podem ser utilizadas de forma lesiva.
Esses dados carregam características próprias de cada pessoa, como sexo, religião, cor, orientação sexual e muitas outras. Cada pessoa pode escolher se quer ou não que essas informações sobre si não se tornem públicas — e isso faz parte da construção dos nossos direitos da personalidade. Essa escolha é também chamada de consentimento.
Contudo, em algumas situações específicas, esses dados podem ser usados sem o consentimento de seu titular, desde que em seu benefício e interesse. Uma delas é a garantia de prevenção à fraude e segurança do titular das informações, como dispõe a Lei Geral de Proteção de Dados (LGPD), que regula as atividades de tratamento de dados pessoais no Brasil.
Neste artigo, vamos apresentar o que são dados pessoais sensíveis, como eles são compreendidos na legislação brasileira, a diferença entre dados pessoais e como eles devem ser tratados no setor de prevenção à fraude. Boa leitura!
🔒 Leia também: CPF vazado e as principais fraudes com dados pessoais
O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são informações de uma pessoa que, em determinadas situações, podem ser usadas para prejudicar o seu proprietário. Por exemplo, dados como religião ou antecedentes criminais, em algumas situações, podem ser usadas contra ela de forma prejudicial. Lembrando que não são as informações que são lesivas, mas o uso que pode ser dado a elas em certos contextos.
Segundo a legislação, qualquer dado pessoal é dotado de importância e valor. Essa noção é percebida no artigo 5º, que fornece as definições de conceitos da LGPD. Em geral, essas informações são armazenadas em bancos de dados que podem ser consultados para determinados fins e circunstâncias.
Em seu livro “Proteção de Dados Pessoais”, Bruno Bione, especialista em privacidade e proteção de dados e um dos fundadores do Data Privacy, explica a definição de dados pessoais sensíveis. Segundo o pesquisador, eles são uma espécie de dados pessoais que, por causa do seu conteúdo, apresentam uma camada extra de vulnerabilidade, marcada pela discriminação.
O professor Danilo Doneda explica, em seu livro “Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados”, que bancos de dados são “conjuntos de informação organizados sob uma determinada lógica”, que podem ser informatizados ou não.
A LGPD adota esse conceito e acrescenta que esse conjunto de informação é formado por dados pessoais, estabelecidos em um ou vários locais. A existência desse tipo de tecnologia proporcionou armazenar, organizar, processar e interpretar um grande volume de informações pessoais rapidamente.
Na Lei, esse processamento é chamado de “tratamento”, um termo guarda-chuva que abarca cerca de 20 outros verbos, como: coletar, armazenar, comunicar, avaliar e distribuir. Armazenadas em bancos de dados, as informações pessoais de usuários de um site ou dos clientes de uma empresa podem indicar padrões de comportamento, preferência, consumo e muito mais — gerando, inclusive, outros dados sensíveis.
A diferença entre dados pessoais e dados pessoais sensíveis na LGPD
“Dado pessoal” e “dados pessoais sensíveis” na LGPD são definidos da seguinte maneira:
- Dado pessoal: informação relacionada à pessoa natural [pessoa física] identificada ou identificável;
- Dados pessoais sensíveis: dado pessoal sobre origem racial/étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A principal diferença entre dados pessoais e dados pessoais sensíveis está no tipo de informação contida em cada um. Voltando ao livro do professor Danilo Doneda, essa distinção é feita sobretudo a partir do aumento de riscos potenciais apresentado entre um grupo e outro — esses são os dados pessoais sensíveis.
Para receber atendimento médico, por exemplo, pedir informações sobre gravidez ou gestação é bastante normal. Contudo, para uma vaga de emprego, esses mesmos dados podem ser vistos ou usados para práticas discriminatórias e, por isso, se tornam sensíveis. Cabe ressaltar que os dados em si não são perigosos, mas sim o uso que se pode fazer deles.
A diferenciação dessas categorias foi pensada para aumentar a proteção sobre determinadas informações que poderiam ser usadas de forma lesiva. Os dados pessoais sensíveis podem ser vistos como um subgrupo dos dados pessoais, mas também não são uma categoria imóvel, visto que uma informação pode se tornar sensível em determinado contexto.
Por isso, ainda que algumas informações pareçam pouco relevantes, quando cruzadas em um banco de dados ou quando visualizadas em situações específicas, podem gerar outras implicações. Esse é um dos motivos pelos quais é tão importante ter atenção ao tratamento concedido a elas.
🔒 Confira: Como proteger a identidade digital para evitar fraudes?
Como tratar dados pessoais sensíveis na prevenção à fraude?
Como vimos, a legislação oferece uma lista de informações que são consideradas dados pessoais sensíveis e o seu tratamento só pode ocorrer seguindo as hipóteses previstas no artigo 11º. Existem duas hipóteses principais: com consentimento fornecido pelo titular ou seu representante legal ou sem o seu consentimento, em situações em que o acesso a elas é indispensável.
O tratamento autorizado prevê que o consentimento do usuário seja feito de forma específica e destacada, e a informação deve ser usada para finalidades específicas. No segundo cenário, o fornecimento sem consentimento do titular pode acontecer em algumas circunstâncias que são mencionadas na Lei.
A garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos é uma dessas circunstâncias que são mencionadas da lei. No artigo “Tratamento de dados pessoais sensíveis: estudo sobre bases legais“, Chiara Teffé e Mario Viola ressaltam a necessidade de que os dados pessoais sensíveis recebam um tratamento especial para evitar qualquer chance de vazamento de informações.
Os pesquisadores explicam que a proibição do uso desses dados é algo inviável. Ao mesmo tempo, é importante frisar o seu uso legítimo, garantindo que só serão consultados para as hipóteses previstas em lei.
A LGPD prevê também uma série de atenções necessárias para o tratamento de dados pessoais, sobretudo aqueles de caráter sensível. Há ainda uma diferença importante quando se fala de dados de crianças e adolescentes, em que é preciso seguir a legislação pertinente.
Para mais informações sobre a prevenção à fraude no setor financeiro, ouça o episódio do podcast “Open Your Minds” com o tema “Fraudes e segurança no mercado financeiro”.
Biometria como dado pessoal sensível
A biometria é um dado pessoal sensível. A LGPD enumera o que são considerados dados pessoais sensíveis e, dentre eles, estão os dados biométricos. Portanto, seguindo as diretrizes do artigo 11º da mesma Lei, a identificação biométrica pode ser realizada com ou sem o conhecimento do titular, desde que feito em seu interesse e benefício.
Portanto, a biometria como fator de prevenção à fraude pode ser realizada sem a necessidade de consentimento do titular, desde que se apresente como informação indispensável e adequada às hipóteses da legislação. Para isso, é claro, deve considerar o interesse de titulares e das entidades envolvidas no processo.
A prevenção à fraude usando dados pessoais sensíveis pode ser vista em vários cenários. No sistema financeiro, em que diversas fraudes são registradas, a biometria é capaz de efetuar a identificação de usuários com bastante precisão.
Existem serviços que pedem a biometria de voz para liberar o acesso do usuário a uma conta digital, por exemplo. Em outro caso, uma pessoa liga para o atendimento de um banco fingindo ser outra, e solicita alterações cadastrais ou um novo cartão. O objetivo de quem está ligando é cometer uma fraude de identidade e conseguir usar o crédito do titular da conta.
Um banco que utiliza a autenticação por voz pode comparar o padrão do áudio dessa ligação com o material que já está registrado no banco de dados em nome do cliente. Por meio de inteligência artificial, será possível dizer se quem está no telefone é, realmente, o titular da conta ou não.
Maior segurança com a biometria de voz
O uso dos dados pessoais sensíveis é fundamental em diversos serviços. No setor de saúde, por exemplo, é muito importante ter acesso aos registros médicos de pacientes para se chegar a um diagnóstico preciso. Na prevenção à fraude, como você viu, essas informações são um elemento importante para a autenticação de usuários.
Esse cenário atende aos critérios da lei para uso de dados pessoais sensíveis, sendo uma hipótese do artigo 11º da LGPD, focado na prevenção de fraudes. Outro setor que pode ser beneficiado com a precisão da biometria de voz para a redução de fraude é a transferência por Pix.
Confira nosso artigo sobre o tema e veja como funciona a aplicação da autenticação por voz no sistema de pagamento instantâneo:
A seguir, você vai aprender sobre: