Artigo 11: Dados Sensíveis – As Regras Especiais de Tratamento

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional.

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto para a prestação de serviços de saúde e assistência farmacêutica.

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade.

O que isso significa na prática?

Este artigo cria uma “área VIP” de proteção para os dados pessoais sensíveis – informações sobre saúde, biometria, religião, opinião política, etc. O tratamento desses dados tem regras muito mais rígidas porque seu vazamento ou mau uso pode gerar discriminação e danos graves ao titular.

A regra principal é: para tratar um dado sensível, você precisa do consentimento específico e destacado do titular. Ou seja, ele precisa autorizar de forma clara e separada o uso daquela informação para aquela finalidade.

As exceções (sem consentimento) são muito mais restritas do que as do Artigo 7º e se aplicam a situações indispensáveis, como cumprir uma lei, proteger a vida de alguém ou para a tutela da saúde.

Como se Aplica ao seu Negócio?

Qualquer empresa que lide com dados sensíveis precisa de controles redobrados.

📄 RH e Atestados Médicos: O departamento de RH trata dados de saúde dos funcionários (um dado sensível) para cumprir uma obrigação legal (ex: abonar faltas). Esta é uma das exceções permitidas.

👆 Controle de Acesso Biométrico: Se sua empresa usa a impressão digital (dado biométrico sensível) para controlar a entrada, ela precisa obter o consentimento específico e destacado do colaborador para esta finalidade.

🏥 Clínicas e Hospitais: Podem tratar dados de saúde dos pacientes sem o consentimento direto para a finalidade de “tutela da saúde” (o tratamento em si), mas precisarão de consentimento específico para outras finalidades, como pesquisa.

🚫 Proibição de Vantagem Econômica: A lei proíbe expressamente o compartilhamento de dados de saúde entre empresas para obter vantagem econômica, como a venda de listas para farmácias ou a seleção de risco por planos de saúde.