Dados Sensíveis na LGPD: Bases Legais, Anonimização e Saúde

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Se os dados pessoais comuns já exigem atenção, os dados sensíveis elevam o patamar de exigência a outro nível. A LGPD reserva a eles um regime jurídico próprio, com bases legais mais restritas e proibições expressas. Mas a lei vai além: também disciplina o que acontece quando dados deixam de ser pessoais (anonimização) e cria regras específicas para o uso de dados em pesquisas de saúde pública — um tema que ganhou relevância concreta durante a pandemia de COVID-19.

Neste post, analisamos os Arts. 11, 12 e 13 da LGPD — três dispositivos que, juntos, definem como tratar informações de alto risco, quando um dado pode ser considerado efetivamente anônimo e em que condições pesquisadores podem acessar bases de dados pessoais para fins de saúde pública.

---

Art. 11 — Bases legais para dados sensíveis

O Art. 11 é o coração do regime de proteção reforçada que a LGPD confere aos dados sensíveis — aqueles listados no Art. 5º, II: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos e dados biométricos.

O texto legal

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I — quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II — sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Análise: duas hipóteses, e só

A estrutura do Art. 11 é binária: ou há consentimento específico e destacado (inciso I), ou o tratamento se enquadra em uma das sete hipóteses taxativas do inciso II. Não há terceira via.

A diferença em relação ao Art. 7º (bases legais para dados não sensíveis) é significativa. Das dez bases legais do Art. 7º, três ficam de fora no Art. 11: legítimo interesse, proteção do crédito e execução de contrato a pedido do titular. A exclusão do legítimo interesse é a mais impactante na prática — organizações que tratam dados de saúde, biometria ou origem étnica não podem invocar essa base, por mais "legítimo" que o interesse pareça.

Consentimento específico e destacado

Quando a base legal é o consentimento (inciso I), a LGPD exige dois atributos adicionais em relação ao consentimento comum do Art. 8º:

Específico: o titular deve consentir para finalidades determinadas e para categorias identificadas de dados sensíveis. Não basta um "aceito" genérico. Se uma empresa coleta dado biométrico e dado de saúde, cada finalidade precisa de consentimento próprio.

Destacado: o consentimento para dados sensíveis deve estar visualmente separado das demais cláusulas. Caixa de seleção própria, seção separada do formulário, destaque visual — o dado sensível não pode estar escondido em termos de uso longos.

As sete hipóteses sem consentimento

Cada alínea do inciso II merece atenção:

a) Obrigação legal ou regulatória — É a base mais segura para dados sensíveis no contexto trabalhista. O eSocial exige dados de saúde ocupacional (ASO, laudos, afastamentos). A legislação previdenciária demanda informações sobre condições de saúde para concessão de benefícios. Nesses casos, o tratamento é obrigatório por lei, independentemente de consentimento.

b) Políticas públicas — Restrita à administração pública. Programas de saúde pública, campanhas de vacinação, políticas de combate à discriminação racial — todos podem tratar dados sensíveis com base nesta hipótese, desde que previstos em lei ou regulamento.

c) Estudos por órgão de pesquisa — Importante: o conceito de "órgão de pesquisa" é definido no Art. 5º, XVIII da LGPD como órgão ou entidade da administração pública direta ou indireta, ou pessoa jurídica de direito privado sem fins lucrativos, que inclua em sua missão institucional a pesquisa básica ou aplicada. Nem toda empresa que faz "pesquisa de mercado" se encaixa aqui.

d) Exercício regular de direitos — Abrange processos judiciais, administrativos e arbitrais. Um hospital pode usar prontuários em sua defesa em ação judicial. Uma seguradora pode apresentar laudos médicos em processo arbitral. O escopo é amplo, mas a finalidade deve ser estritamente processual.

e) Proteção da vida — Autoriza o tratamento emergencial. Um socorrista do SAMU que acessa dados de saúde do paciente inconsciente age sob esta base. A aplicação é situacional e temporária.

f) Tutela da saúde — A restrição é expressa: exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Isso exclui empregadores, seguradoras e operadoras de plano fora do contexto assistencial. O RH de uma empresa não pode invocar "tutela da saúde" para tratar dados médicos de colaboradores fora do contexto de saúde ocupacional.

g) Prevenção à fraude — Autoriza o uso de biometria (digital, facial, íris) para autenticação em sistemas eletrônicos. É a base mais comum para reconhecimento facial em controle de acesso e validação de identidade em aplicativos bancários. Há, porém, uma ressalva importante: a base não se aplica quando "prevalecerem direitos e liberdades fundamentais do titular" — um teste de proporcionalidade embutido no próprio dispositivo.

§§ do Art. 11 — Restrições adicionais

Os parágrafos do Art. 11 trazem três vedações e uma extensão relevantes:

§1º: aplica-se a qualquer tratamento de dados pessoais que revele dados sensíveis, mesmo que o dado em si não seja formalmente sensível. Exemplo: o histórico de compras em uma farmácia pode revelar condições de saúde — e, nesse caso, o regime do Art. 11 se aplica.

§3º: veda a comunicação ou o uso compartilhado de dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto em hipóteses de prestação de serviços de saúde, assistência farmacêutica e assistência à saúde.

§4º: proíbe operadoras de planos privados de saúde de tratar dados de saúde para a prática de seleção de riscos na contratação ou exclusão de beneficiários.

§5º: veda o tratamento de dados de saúde em prejuízo do titular no contexto de contratos de plano de saúde.

Na prática: o caso RaiaDrogasil

Em fevereiro de 2025, a ANPD notificou a RaiaDrogasil, maior rede de farmácias do Brasil, por possíveis irregularidades no tratamento de dados sensíveis. A investigação, iniciada em maio de 2023 (Processo nº 00261.001371/2023-32), apurou que o histórico de compras de medicamentos — que pode revelar condições de saúde dos consumidores — estava sendo utilizado para formação de perfis comportamentais e publicidade direcionada, com o objetivo de obter vantagem econômica.

A ANPD determinou medidas preventivas e abriu processo administrativo sancionador. O caso ilustra precisamente a aplicação do §1º (dados que revelam informações sensíveis) e do §3º (vedação de uso compartilhado de dados de saúde para vantagem econômica). Se comprovadas as violações, a multa pode chegar a R$ 50 milhões.

---

Art. 12 — Dados anonimizados e os limites da anonimização

O texto legal

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

§2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

§3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

O paradoxo da anonimização

O Art. 12 estabelece uma regra aparentemente simples: dados anonimizados saem do escopo da LGPD. Quem anonimiza dados deixa de ter obrigações legais sobre eles — ao menos em tese. Mas os parágrafos revelam um cenário mais complexo.

O §1º define que "razoável" é avaliado por critérios objetivos: custo, tempo e tecnologias disponíveis. O problema é que a tecnologia evolui. Uma técnica de anonimização considerada robusta em 2020 pode ser reversível em 2026, com o avanço de algoritmos de machine learning e o crescimento exponencial de bases de dados públicas disponíveis para cruzamento.

O que dizem os estudos

Um estudo publicado na revista Nature Communications em 2019 pelos pesquisadores Luc Rocher, Julien M. Hendrickx e Yves-Alexandre de Montjoye demonstrou que 99,98% dos americanos poderiam ser corretamente re-identificados em qualquer dataset com apenas 15 atributos demográficos. O achado é relevante porque demonstra que a anonimização baseada apenas na remoção de identificadores diretos (nome, CPF) é insuficiente quando o conjunto de dados retém variáveis combinadas suficientes para individualização.

O chamado efeito mosaico reforça essa fragilidade: informações aparentemente inofensivas, quando cruzadas com outras bases de dados, podem reconstituir a identidade do titular. Dados de localização combinados com padrão de deslocamento e faixa etária, por exemplo, podem identificar indivíduos com alta precisão.

Anonimização vs. pseudonimização

A LGPD distingue os dois conceitos, embora o Art. 12 trate diretamente apenas da anonimização:

Anonimização remove — de forma irreversível, em tese — a possibilidade de associar um dado a uma pessoa natural. Técnicas comuns incluem generalização (substituir idade exata por faixa etária), supressão (remover campos identificadores) e perturbação (adicionar ruído estatístico aos dados).

Pseudonimização, definida no Art. 13, §4º, substitui identificadores por pseudônimos (códigos, hashes), mantendo a possibilidade de reversão mediante uso de informação adicional mantida separadamente. Dados pseudonimizados continuam sendo dados pessoais para fins da LGPD — a pseudonimização é uma medida de segurança, não uma exclusão do escopo legal.

O Guia da ANPD sobre anonimização

A ANPD abriu consulta pública em 30 de janeiro de 2024 sobre o Guia de Anonimização e Pseudonimização para a Proteção de Dados Pessoais, com prazo de contribuições prorrogado até 14 de março de 2024. O guia foi subsidiado por três estudos técnicos: um sobre risco e técnicas computacionais, outro com análise jurídica e um terceiro com estudos de caso.

A abordagem adotada pelo guia é baseada em risco: reconhece que a anonimização não é absoluta e que a evolução tecnológica pode tornar reversíveis processos antes considerados seguros. Até a data desta publicação, o guia permanece em análise pelo Conselho Diretor da ANPD, aguardando aprovação final.

Na prática

Para organizações, a lição é clara: não trate a anonimização como uma licença irrevogável. Mesmo após anonimizar dados, monitore o estado da arte das técnicas de re-identificação, documente o processo utilizado e reavalie periodicamente se os dados permanecem efetivamente anônimos conforme o critério de "meios razoáveis" do §1º.

O §2º adiciona outra camada de proteção: se dados anonimizados forem usados para criar o perfil comportamental de uma pessoa identificada, voltam a ser considerados dados pessoais. Uma empresa que combina dados anonimizados de navegação com o login do usuário para personalizar ofertas está, na prática, re-identificando — e o regime da LGPD volta a se aplicar integralmente.

---

Art. 13 — Pesquisa em saúde pública

O texto legal

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

§1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.

§2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

§3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

§4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Acesso excepcional com salvaguardas rígidas

O Art. 13 cria um regime excepcional para pesquisa em saúde pública. A lógica é equilibrar dois interesses legítimos: o avanço do conhecimento médico-científico e a proteção da privacidade dos titulares cujos dados são utilizados.

As salvaguardas são cumulativas e inegociáveis:

1. Uso exclusivo dentro do órgão de pesquisa — Os dados não saem do ambiente institucional do órgão. Não há licença para compartilhamento com outras entidades, empresas ou governo.

2. Finalidade estrita — Apenas estudos e pesquisas. Não cabe uso secundário (marketing, perfilamento, desenvolvimento de produtos comerciais).

3. Ambiente controlado e seguro — Infraestrutura técnica com controles de acesso, logs de auditoria e criptografia.

4. Anonimização ou pseudonimização quando possível — A expressão "sempre que possível" reconhece que nem toda pesquisa comporta anonimização total (estudos longitudinais precisam acompanhar o mesmo paciente ao longo do tempo), mas impõe o dever de adotar a medida quando tecnicamente viável.

5. Padrões éticos — Referência implícita aos comitês de ética em pesquisa (CEPs/CONEP) que já regulam a pesquisa com seres humanos no Brasil (Resolução CNS nº 466/2012 e nº 510/2016).

O §1º — Vedação absoluta de revelação

O parágrafo é categórico: a divulgação de resultados em nenhuma hipótese pode revelar dados pessoais. Não há exceção. Um estudo epidemiológico pode publicar estatísticas agregadas, mas nunca dados que permitam identificar pacientes individuais — mesmo indiretamente.

O §2º — Proibição de transferência a terceiros

O órgão de pesquisa é o responsável pela segurança e não pode transferir os dados a terceiros. Essa vedação é absoluta e cria uma responsabilidade direta: se houver incidente de segurança ou vazamento, o órgão responde nos termos dos Arts. 42 a 44 da LGPD.

A pandemia de COVID-19 e o Art. 13

A pandemia de COVID-19 foi o primeiro grande teste prático do Art. 13. Órgãos de pesquisa públicos e privados precisaram acessar dados sensíveis de saúde de pacientes infectados — não apenas dados sobre a contaminação pelo coronavírus, mas históricos médicos completos, comorbidades, dados demográficos e informações que permitissem compreender os fatores de risco e a progressão da doença.

O Art. 13, combinado com o Art. 11, II, "c" (estudos por órgão de pesquisa), forneceu a base legal para esse acesso. Mas a pandemia também evidenciou tensões: aplicativos de rastreamento de contatos, compartilhamento de dados entre entes federativos e a pressão por velocidade na pesquisa de vacinas colocaram em xeque a rigidez das salvaguardas.

O debate doutrinário gerado foi relevante: até que ponto a emergência sanitária justifica flexibilizar as salvaguardas do Art. 13? A LGPD não possui um mecanismo explícito de "estado de exceção" para dados pessoais. A dispensa do consentimento (Art. 11, II) já era prevista, mas a vedação de transferência a terceiros (§2º) e a obrigação de anonimização (caput) permaneceram exigíveis — mesmo no auge da crise sanitária.

A definição de pseudonimização (§4º)

O §4º do Art. 13 é o único dispositivo da LGPD que define explicitamente a pseudonimização: o tratamento pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, exceto pelo uso de informação adicional mantida separadamente em ambiente controlado e seguro.

Na prática, pseudonimização significa:

• Substituir o CPF por um código hash
• Manter a tabela de correspondência (hash ↔ CPF) em ambiente separado, com controle de acesso restrito
• O dado pseudonimizado, sozinho, não identifica o titular — mas a re-identificação é possível se alguém acessar a tabela de correspondência

A diferença operacional em relação à anonimização é que a pseudonimização é reversível por design. Por isso, dados pseudonimizados continuam sendo dados pessoais e sujeitos à LGPD.

---

Erros comuns e controvérsias

Erro	Risco	Correção
Usar legítimo interesse como base para dados sensíveis	Base legal inexistente — Art. 11 não inclui esta hipótese	Verificar se há hipótese do Art. 11, II aplicável; senão, obter consentimento específico e destacado
Tratar remoção de nome/CPF como "anonimização" suficiente	Re-identificação possível por cruzamento de bases (efeito mosaico)	Aplicar técnicas robustas (generalização, supressão, perturbação) e documentar processo
Compartilhar dados de saúde com parceiros comerciais para vantagem econômica	Violação do §3º do Art. 11	Limitar compartilhamento às exceções legais (prestação de serviços de saúde, assistência farmacêutica)
Empresa privada com fins lucrativos invocando Art. 13 para "pesquisa"	Art. 13 restrito a órgãos de pesquisa conforme Art. 5º, XVIII	Avaliar se a entidade se enquadra na definição legal de órgão de pesquisa
Pesquisador publicando resultados com dados que permitem identificação indireta	Violação do §1º do Art. 13 — vedação absoluta	Garantir agregação e anonimização dos resultados antes da publicação
Usar dados pseudonimizados como se fossem anonimizados	Pseudonimização não exclui dado do escopo da LGPD	Manter todas as obrigações da LGPD para dados pseudonimizados

---

Conclusão

Os Arts. 11, 12 e 13 formam um tripé de proteção que define o tratamento jurídico para os cenários de maior risco na proteção de dados: informações sensíveis que podem causar discriminação, a fronteira técnica entre dado pessoal e dado anônimo, e o equilíbrio entre pesquisa científica e privacidade.

O Art. 11 limita drasticamente as bases legais disponíveis para dados sensíveis — e a exclusão do legítimo interesse é a restrição mais impactante para o setor privado. O Art. 12 estabelece que a anonimização não é uma linha binária, mas um espectro que depende de custo, tempo e tecnologia. O Art. 13 autoriza o acesso a dados para pesquisa em saúde, mas com salvaguardas tão rígidas que transformam o órgão de pesquisa em guardião absoluto dos dados.

Para DPOs e profissionais de compliance, a implicação prática é direta: cada atividade que envolva dados sensíveis exige análise individualizada de base legal, cada processo de anonimização exige documentação e reavaliação periódica, e qualquer pesquisa em saúde exige conformidade simultânea com o Art. 13 e com os padrões éticos de pesquisa com seres humanos.

---

A Confidata permite classificar dados sensíveis no inventário de atividades de tratamento, com alertas específicos para bases legais incompatíveis e rastreabilidade do ciclo de vida de cada dado — da coleta à anonimização. Conheça nossa plataforma.