Dados sensíveis na LGPD: o que são, bases legais e cuidados essenciais
Nem todos os dados pessoais merecem o mesmo nível de proteção. A LGPD reconhece isso ao criar uma categoria especial: os dados pessoais sensíveis. Para esses dados, as exigências são mais rígidas, as bases legais são mais restritas e os riscos de uma violação são mais graves — porque envolvem informações que, se expostas, podem resultar em discriminação, estigma ou dano irreparável ao titular.
Este guia explica o que são dados sensíveis, quais podem ser tratados e como, e quais cuidados operacionais são indispensáveis.
O que são dados pessoais sensíveis
O Art. 5º, II da LGPD define dado pessoal sensível como aquele relativo a:
- Origem racial ou étnica
- Convicção religiosa
- Opinião política
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político
- Dado referente à saúde ou à vida sexual
- Dado genético — quando vinculado a uma pessoa natural
- Dado biométrico — quando vinculado a uma pessoa natural
A lei não exige que o dado identifique diretamente o titular — basta que seja relativo às categorias acima. Um dado que, sozinho, revela a origem étnica de alguém ou permite inferir sobre sua condição de saúde já é sensível, independentemente de estar combinado com outros dados.
Por que esses dados merecem proteção reforçada
A lógica por trás da categorização é o potencial discriminatório ou estigmatizante. Dados sobre saúde podem afetar planos de saúde, seguros e empregos. Dados sobre opinião política ou filiação sindical podem expor o titular a retaliação. Dados biométricos, uma vez vazados, não podem ser alterados — diferentemente de uma senha ou um número de cartão. Dados de crianças envolvem uma população especialmente vulnerável.
As bases legais para dados sensíveis: o Art. 11
O Art. 11 da LGPD é a norma central para dados sensíveis. Ele restringe dramaticamente as bases legais disponíveis: apenas duas hipóteses autorizam o tratamento.
Hipótese I — Consentimento específico e em destaque
O titular ou seu representante legal consente, de forma específica e em destaque, para finalidades específicas.
Dois requisitos adicionais em relação ao consentimento geral:
Específico: o consentimento deve se referir a categorias determinadas de dados sensíveis e a finalidades claramente delimitadas. Não é possível um consentimento genérico como "autorizo o uso dos meus dados de saúde para qualquer fim da empresa".
Em destaque: o consentimento para dados sensíveis deve estar visualmente separado das demais cláusulas do contrato ou do formulário. O uso de recursos gráficos — negrito, caixa separada, seção distinta, maior tamanho de fonte — é esperado. O dado sensível não pode estar "enterrado" no meio de texto geral.
Na prática, se a organização coleta nome, e-mail e dados de saúde em um único formulário, o campo de saúde (ou a caixa de consentimento que o autoriza) deve ser apresentado separadamente, com indicação clara de que se trata de dado sensível e que o usuário está autorizando especificamente esse tratamento.
Hipótese II — Sem consentimento, apenas nos casos taxativos do Art. 11, II
A lei lista sete casos em que dados sensíveis podem ser tratados mesmo sem o consentimento do titular:
| Inciso | Hipótese | Exemplo prático |
|---|---|---|
| a | Cumprimento de obrigação legal ou regulatória pelo controlador | Empresa obrigada a informar dados de saúde ocupacional ao eSocial |
| b | Tratamento compartilhado por administração pública para execução de políticas públicas | Programa público de saúde com uso de dados de pacientes |
| c | Estudos por órgão de pesquisa, garantida a anonimização quando possível | Pesquisa clínica com dados de pacientes (exige anonimização quando viável) |
| d | Exercício regular de direitos, inclusive em contrato e processo judicial, administrativo e arbitral | Empresa usando histórico de saúde de colaborador em processo trabalhista que o exige |
| e | Proteção da vida ou incolumidade física do titular ou de terceiro | Hospital tratando dados de saúde em emergência sem possibilidade de consentimento |
| f | Tutela da saúde, em procedimento realizado por profissional de saúde, serviços de saúde ou autoridade sanitária | Médico acessando prontuário para tratamento do paciente |
| g | Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação em sistemas eletrônicos | Uso de biometria (digital, face) para autenticação segura em sistemas |
Atenção: essas hipóteses são taxativas — não há margem para analogia ou interpretação extensiva. Se a atividade não se encaixa em nenhum dos incisos a a g, a única alternativa é o consentimento específico e em destaque.
Importante notar: legítimo interesse (Art. 7º, IX) não é uma base legal disponível para dados sensíveis. O Art. 11 não inclui essa hipótese, ao contrário do Art. 7º que a prevê para dados pessoais não sensíveis.
Dados sensíveis na prática: os casos mais comuns
Saúde e vida sexual (Art. 5º, II, c/c Art. 11)
É a categoria de maior volume de tratamento no Brasil. Inclui:
- Prontuários médicos e histórico de atendimentos
- Resultado de exames laboratoriais ou de imagem
- Informações sobre diagnóstico, medicamentos, tratamentos
- Dados de planos de saúde (frequência de uso, procedimentos realizados)
- Informações sobre gravidez, uso de métodos contraceptivos
- Dados de saúde mental
Atenção especial: dados de saúde de colaboradores no contexto trabalhista são frequentemente tratados com base na obrigação legal (laudos de saúde ocupacional exigidos pela legislação trabalhista) ou na execução de contrato com o plano de saúde — não necessariamente por consentimento. Cada atividade deve ter sua base legal identificada separadamente.
Biometria (Art. 5º, II, c/c Art. 11)
Dado biométrico é qualquer medição ou análise de características físicas ou comportamentais de uma pessoa que permite sua identificação única: impressão digital, geometria facial, íris, voz, padrão de digitação.
O Art. 5º, II inclui apenas biometria vinculada a uma pessoa natural — um banco de dados de templates biométricos é sensível; uma fotografia não utilizada para identificação biométrica, em princípio, não é.
Bases legais típicas para biometria:
- Consentimento específico e destacado — controle de ponto biométrico, cadastro em sistemas de acesso
- Garantia de prevenção à fraude e segurança (Art. 11, II, g) — autenticação biométrica em sistemas eletrônicos críticos
Origem racial ou étnica (Art. 5º, II, a)
Inclui dados coletados para fins legítimos de diversidade e inclusão (pesquisas internas de RH, relatórios de equidade), dados documentais que revelam origem (certidões, documentos de naturalização) e dados inferidos a partir de características observáveis.
Uso para discriminação positiva (políticas de cotas, programas de diversidade): pode ser justificado por execução de políticas públicas (Art. 11, II, b) quando implementado pela administração pública, ou por consentimento específico quando promovido por empresas privadas.
Biometria em controle de ponto
O uso de biometria (impressão digital ou reconhecimento facial) para controle de frequência de colaboradores é uma das aplicações mais disseminadas — e uma das mais questionadas do ponto de vista da LGPD.
A base legal mais utilizada é o consentimento (Art. 11, I). O TST (Tribunal Superior do Trabalho) e alguns TRTs têm discutido se o consentimento dado no contexto empregatício é verdadeiramente "livre" (dado o desequilíbrio de poder entre empregado e empregador), o que reforça a importância de oferecer alternativas ao colaborador que não deseje fornecer biometria.
Medidas de segurança específicas para dados sensíveis
O Art. 46 da LGPD exige medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados. Para dados sensíveis, o patamar de proteção é necessariamente mais elevado.
Classificação e isolamento
Dados sensíveis devem ser classificados como "críticos" na política de segurança da informação e armazenados em sistemas com controles de acesso mais restritos — idealmente em ambientes segregados dos demais dados.
Criptografia
Dados sensíveis em repouso e em trânsito devem ser criptografados. O acesso às chaves de criptografia deve ser controlado com autenticação multifator e logs de acesso.
Controles de acesso granulares
Apenas os usuários com necessidade funcional documentada devem ter acesso a dados sensíveis. O princípio do menor privilégio (Art. 46 c/c Art. 6º, III) é ainda mais crítico aqui.
Logs de auditoria completos
Todo acesso, modificação ou exportação de dado sensível deve ser registrado em log de auditoria com: usuário, data/hora, dado acessado e operação realizada. Os logs devem ser retidos por prazo suficiente para investigação de incidentes.
RIPD obrigatório
O Art. 38 da LGPD prevê o RIPD para tratamentos que possam gerar riscos às liberdades civis. O tratamento de dados sensíveis em larga escala ou com potencial impacto significativo sobre titulares sempre deve ser acompanhado de RIPD.
Erros mais comuns no tratamento de dados sensíveis
| Erro | Risco | Correção |
|---|---|---|
| Coletar dados de saúde com consentimento genérico nos termos de uso | Consentimento inválido — falta especificidade e destaque | Campo específico, separado e em destaque para autorizar o dado de saúde |
| Usar legítimo interesse como base para dado sensível | Base legal inexistente para essa hipótese | Verificar se há hipótese do Art. 11, II aplicável; senão, obter consentimento |
| Armazenar dados biométricos em sistema de RH não segregado | Exposição desnecessária de dado sensível | Isolar em sistema dedicado com controles de acesso restritos |
| Compartilhar dados de saúde com plano sem base contratual clara | Tratamento sem base legal | Documentar a base legal e formalizar DPA com o plano de saúde |
| Coletar dados de saúde de candidatos em processo seletivo sem necessidade | Coleta desnecessária de dado sensível | Restringir a coleta de dados de saúde à admissão, quando exigida por lei |
| Não elaborar RIPD para tratamento de biometria em larga escala | Descumprimento do Art. 38 | RIPD obrigatório para biometria em escala |
Conclusão
Dados sensíveis exigem um tratamento diferente não só juridicamente, mas operacionalmente. A lei restringe as bases legais a duas hipóteses, impõe requisitos adicionais ao consentimento e pressupõe medidas de segurança mais rigorosas. A consequência de tratar dados sensíveis sem base legal válida é uma das infrações mais graves possíveis sob a LGPD — e as sanções podem chegar ao teto de R$ 50 milhões por infração.
Antes de qualquer atividade que envolva dado sensível, a pergunta obrigatória é: qual é a base legal? Se a resposta não for consentimento específico e em destaque, ela precisa se encaixar com precisão em um dos incisos do Art. 11, II. Não há margem para criatividade jurídica aqui.
A Confidata classifica automaticamente dados sensíveis no inventário de atividades de tratamento, com alertas específicos para bases legais inadequadas e controles de acesso diferenciados por categoria de dado. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.