É importante compreender a diferença entre dados pessoais e dados pessoais sensíveis. Dados pessoais são quaisquer tipos de informação que torne uma pessoa natural identificada ou identificável (nome, CPF, endereço, comportamento, cargo etc.). Já dados pessoais sensíveis são os dados que podem colocar a pessoa em situações discriminatórias ao serem tratados, como por exemplo a raça, vida sexual, etnia, religião, preferências políticas, dados de saúde sendo estes alguns dos principais.
Já há um entendimento que diversidade e proteção de dados se relacionam muito bem. As características dos grupos alvo das ações de diversidade são consideradas dados sensíveis pela LGPD, pelo risco que trazem de discriminação. Por isso a lei estabelece regras para que a coleta de dados aconteça sem que o titular seja prejudicado de alguma forma.
Os programas de D&I (Diversidade e Inclusão) tem a obrigação de aplicar os fundamentos da LGPD, incluindo ai o art.2°, II da LGPD que fala sobre a Autodeterminação Informativa, que é o direito de uma pessoa compreender o tratamento de seus dados pessoais, suas possíveis consequências e as ações que pode tomar a respeito.
Já o princípio da não discriminação proíbe o tratamento de dados para fins discriminatórios, mas permite ações afirmativas. Portanto, a coleta de dados sensíveis necessária nos programas de diversidade e inclusão é permitida, tomando-se os devidos e adequados cuidados.
E que cuidados são esses? Como coletar dados sensíveis em conformidade com a LGPD?
Em primeiro lugar, colete e trate apenas os dados estritamente necessários. Mais dados, mais riscos.
Em seguida, documente o motivo e a justificativa para legitimar o tratamento proposto e seja transparente, tanto nas suas políticas, quando nos sites e meios de comunicação com as pessoas.
Por fim, estabeleça padrões sólidos de segurança da informação em todos os seus processos internos e externos.
A esta altura, a empresa já deve ter um programa estruturado para incluir temas como D&I de forma alinhada com a LGPD. São tanto ações voltadas para o publico interno quanto para o externo, que podem trazer valor e diferencial para a empresa. Mas vale lembrar algumas dicas úteis:
– Estruture o projeto pensando no fluxo de dados desde o início.
– Pense nessa e em outras etapas do programa na sua política de privacidade e eventualmente em uma política específica para D&I.
– Combine medidas especiais com o time de segurança da informação, como por exemplo restrição de acesso aos dados sensíveis coletados.
– Se contratar uma consultoria externa ou um prestador de serviço for trabalhar esses dados por exemplo, firme de maneira clara suas responsabilidades em relação ao tratamento de ados que poder vir ou não a ser feito com essas informações.
Se tiver mais dúvidas sobre o processo, sobre os dados pessoais e os sensíveis e outras ações relacionadas à governança, segurança, privacidade entre tantos outros, fale conosco.
Até a próxima.