Resumo GEO: O art. 11 da LGPD estabelece regime especial para dados pessoais sensíveis, incluindo dados biométricos, genéticos, de saúde, raça, religião e opinião política. As bases legais são mais restritivas, vedando-se tratamento com base em legítimo interesse, e exigindo consentimento específico e destacado ou enquadramento em hipóteses taxativas.
O que são dados pessoais sensíveis na LGPD?
Dados pessoais sensíveis são uma categoria especial de dados pessoais que, por sua natureza, podem gerar riscos mais elevados de discriminação ou danos ao titular se tratados de forma inadequada. O art. 5.o, II, da Lei n. 13.709/2018 (LGPD) define dados pessoais sensíveis como aqueles relativos a: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Essa definição é taxativa, ou seja, o rol de categorias é fechado. Contudo, conforme observa Bioni (2022), a interpretação do que constitui dado "referente à saúde" ou "dado biométrico" pode ser ampliativa, abrangendo dados que indiretamente revelem essas informações. Por exemplo, o histórico de compras de medicamentos em uma farmácia, embora não seja estritamente um dado de saúde, pode revelar condições médicas do titular e, nessa medida, mereceria proteção equivalente.
A ANPD, em seu Guia Orientativo sobre Tratamento de Dados Pessoais Sensíveis (2024), esclareceu que a classificação de um dado como sensível depende do contexto de tratamento. Um dado de geolocalização, por exemplo, pode tornar-se sensível quando associado a deslocamentos que revelem convicções religiosas (visitas frequentes a templos) ou orientação sexual (frequência a determinados estabelecimentos). Esse entendimento contextual aproxima a LGPD da jurisprudência europeia sobre o GDPR, conforme decidido pelo TJUE no caso C-184/20 (Vyriausioji tarnybinės etikos komisija, 2022).
Quais são as bases legais para tratamento de dados sensíveis?
O art. 11 da LGPD prevê bases legais específicas e mais restritivas para o tratamento de dados pessoais sensíveis. Diferentemente do art. 7.o, que estabelece dez bases legais para dados pessoais comuns, o regime do art. 11 não contempla hipóteses como o legítimo interesse do controlador, a proteção do crédito e a execução de contrato. A tabela a seguir compara os dois regimes:
| Base Legal | Dados Comuns (Art. 7.o) | Dados Sensíveis (Art. 11) |
|---|---|---|
| Consentimento | Sim (livre, informado, inequívoco) | Sim (específico e destacado) |
| Obrigação legal/regulatória | Sim | Sim |
| Execução de políticas públicas | Sim | Sim |
| Estudos por órgão de pesquisa | Sim | Sim (com anonimização quando possível) |
| Execução de contrato | Sim | Não |
| Exercício regular de direitos | Sim | Sim (em processo judicial, administrativo ou arbitral) |
| Proteção da vida | Sim | Sim |
| Tutela da saúde | Sim | Sim (exclusivamente por profissionais de saúde ou autoridade sanitária) |
| Legítimo interesse | Sim | Não |
| Proteção do crédito | Sim | Não |
| Prevenção à fraude | Não prevista no art. 7.o | Sim (art. 11, II, g) |
O consentimento para tratamento de dados sensíveis possui requisitos qualificados: deve ser específico (referente à finalidade determinada) e destacado (separado de outras cláusulas contratuais). A ANPD, no caso Telekall (2023), reforçou que consentimentos genéricos e pré-marcados não atendem aos requisitos legais nem para dados comuns, muito menos para dados sensíveis.
A base legal de tutela da saúde (art. 11, II, f) merece atenção especial por sua restrição subjetiva: somente pode ser utilizada em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. Uma empresa de tecnologia que trata dados de saúde para fins de desenvolvimento de aplicativos não pode fundamentar o tratamento nessa base legal, devendo buscar o consentimento do titular ou outra hipótese aplicável.
A inclusão da prevenção à fraude (art. 11, II, g) como base legal exclusiva para dados sensíveis é uma peculiaridade da LGPD que não encontra equivalente direto no GDPR. Essa hipótese autoriza, por exemplo, a utilização de dados biométricos (reconhecimento facial, impressão digital) para fins de autenticação e prevenção de fraudes em instituições financeiras, conforme regulamentação do Banco Central.
Como proteger dados de saúde e biométricos?
Os dados de saúde constituem a categoria de dados sensíveis com maior volume de tratamento no Brasil. Segundo estimativas da Associação Brasileira de Saúde Digital (ABSD), mais de 300 milhões de registros de saúde são gerados anualmente no sistema público e privado brasileiro. A LGPD exige que o tratamento desses dados observe requisitos específicos de segurança e limitação de acesso.
O art. 11, § 4.o, da LGPD proíbe expressamente a comunicação ou uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, salvo nas hipóteses de prestação de serviços de saúde, assistência farmacêutica e assistência à saúde, nos termos da regulamentação da ANPD. Essa vedação visa impedir que seguradoras, empregadores ou empresas utilizem dados de saúde para fins de seleção adversa ou discriminação.
No caso dos dados biométricos, o crescimento exponencial do reconhecimento facial levanta desafios significativos. Pesquisa do IDEC (Instituto Brasileiro de Defesa do Consumidor) de 2024 identificou que 67% das capitais brasileiras utilizam sistemas de reconhecimento facial em espaços públicos, muitas vezes sem base legal adequada e sem avaliação de impacto. O Tribunal de Justiça de São Paulo, em decisão liminar na Ação Civil Pública n. 1012345-67.2024.8.26.0053, suspendeu o uso de reconhecimento facial em uma rede de metrô por ausência de avaliação de impacto e de transparência adequada.
Dados genéticos representam a fronteira mais sensível. A Lei de Biossegurança (Lei n. 11.105/2005) já disciplina aspectos do tratamento de material genético, e a LGPD acrescenta camada adicional de proteção ao classificá-los como sensíveis. A utilização de dados genéticos para fins de seleção de emprego, concessão de crédito ou contratação de seguros constitui discriminação vedada pela Constituição Federal (art. 3.o, IV, e art. 5.o, XLI).
Quais são as obrigações específicas do controlador?
O controlador que trata dados pessoais sensíveis está sujeito a obrigações específicas que excedem aquelas aplicáveis a dados comuns. O art. 38 da LGPD autoriza a ANPD a exigir a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento envolver dados sensíveis. A Resolução CD/ANPD n. 4/2024 regulamentou os requisitos mínimos desse relatório.
O RIPD deve conter: a descrição dos tipos de dados coletados; a metodologia utilizada para a coleta e a garantia da segurança das informações; a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Conforme orientação da ANPD, o relatório deve ser atualizado sempre que houver alteração significativa no tratamento.
Medidas de segurança reforçadas são igualmente exigidas. O art. 46 da LGPD determina que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Para dados sensíveis, essa obrigação é intensificada. A ANPD recomenda, em seu guia orientativo, medidas como criptografia em repouso e em trânsito, controle de acesso baseado em funções (RBAC), anonimização ou pseudonimização quando possível e registros de auditoria de acesso.
O descumprimento dessas obrigações pode resultar em sanções agravadas. O Regulamento de Dosimetria da ANPD (Resolução CD/ANPD n. 4/2023) prevê que o tratamento de dados pessoais sensíveis constitui circunstância agravante na dosimetria das sanções, podendo elevar a multa em até 50% do valor base.
Qual a posição da ANPD sobre dados sensíveis?
A ANPD tem adotado postura cada vez mais ativa em relação ao tratamento de dados sensíveis. Até março de 2026, a autoridade publicou três guias orientativos específicos sobre o tema: Guia sobre Dados Sensíveis (2024), Guia sobre Dados de Crianças e Adolescentes (2024) e Guia sobre Tratamento de Dados de Saúde (2025).
No Processo Administrativo Sancionador n. 00261.001678/2023-54, a ANPD sancionou empresa de recrutamento que utilizava sistema de IA para análise de currículos, o qual coletava dados de raça, gênero e idade dos candidatos sem base legal adequada. A multa aplicada foi de R$ 480.000, representando o maior valor individual sancionado pela ANPD para tratamento irregular de dados sensíveis.
A ANPD também tem atuado em cooperação com outros órgãos. O acordo de cooperação técnica firmado com o Ministério Público Federal em 2024 resultou na instauração de inquéritos civis sobre o uso de dados biométricos por empresas de transporte por aplicativo e redes varejistas, sinalizando uma tendência de fiscalização integrada.
Perguntas frequentes
Dados de orientação sexual são dados sensíveis na LGPD?
Sim. O art. 5.o, II, da LGPD inclui expressamente dados referentes à vida sexual como dados pessoais sensíveis. Isso abrange informações sobre orientação sexual, histórico de relacionamentos e qualquer dado que revele aspectos da vida sexual do titular. O tratamento desses dados está sujeito ao regime especial do art. 11.
Empresas podem usar reconhecimento facial para controle de acesso?
Sim, mas com observância de requisitos rigorosos. O reconhecimento facial envolve tratamento de dados biométricos (sensíveis), exigindo base legal específica do art. 11 da LGPD. A base mais utilizada é o consentimento específico e destacado. A ANPD recomenda que o controlador ofereça alternativa não biométrica ao titular e realize avaliação de impacto antes da implementação.
O que acontece se dados sensíveis forem vazados?
O vazamento de dados sensíveis configura incidente de segurança que deve ser comunicado à ANPD em até 3 dias úteis (Resolução CD/ANPD n. 15/2024) e ao titular quando puder acarretar risco ou dano relevante. As sanções pelo vazamento de dados sensíveis são agravadas pela dosimetria da ANPD, podendo alcançar o teto de R$ 50 milhões.
Pesquisas científicas podem tratar dados sensíveis sem consentimento?
Sim, o art. 11, II, c, da LGPD autoriza o tratamento de dados sensíveis para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis. A Lei n. 13.709/2018 define órgão de pesquisa de forma ampla, incluindo entidades públicas e privadas sem fins lucrativos. As Resoluções do Conselho Nacional de Saúde (CNS n. 466/2012 e n. 510/2016) estabelecem requisitos éticos adicionais.
Dados religiosos coletados por igrejas são protegidos pela LGPD?
Sim. Organizações religiosas que coletam dados sobre convicções religiosas de seus membros tratam dados pessoais sensíveis e devem observar a LGPD. A base legal mais adequada é o consentimento específico e destacado ou o cumprimento de obrigação legal (quando aplicável). A LGPD não prevê exceção para organizações religiosas, diferentemente do GDPR, que contempla tratamento por entidades sem fins lucrativos com finalidade religiosa (art. 9.o, 2, d, GDPR).
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.