Nem todos os dados pessoais são iguais perante a Lei 13.709/2018. A LGPD estabelece uma distinção fundamental entre dados pessoais comuns — nome, CPF, endereço, e-mail — e uma categoria especialmente protegida: os dados pessoais sensíveis. Para esses, o regime jurídico é mais restritivo, as bases legais que autorizam o tratamento são menos numerosas, as exigências de segurança são mais rigorosas, e as consequências do tratamento irregular são proporcionalmente mais graves. A razão é direta: informações sobre saúde, origem racial, convicção religiosa, orientação sexual ou biometria têm potencial de causar discriminação, estigmatização e danos à dignidade do titular que dados comuns tipicamente não têm.

No ambiente corporativo, dados sensíveis estão presentes com mais frequência do que muitas empresas percebem. O prontuário de saúde ocupacional do colaborador, a impressão digital coletada no ponto eletrônico, o atestado médico processado pelo RH, o formulário de plano de saúde empresarial que pergunta sobre condições preexistentes: todos são dados sensíveis sujeitos ao regime do art. 11 da LGPD — não ao art. 7º que regula os dados comuns. Confundir os dois regimes é um dos erros mais frequentes nos programas de conformidade e uma das causas de exposição regulatória identificadas pela ANPD em suas fiscalizações.

Este artigo analisa o conceito jurídico de dados sensíveis na LGPD, o rol do art. 5º, II, as bases legais específicas do art. 11, os setores de maior exposição e as obrigações práticas para empresas que tratam essas categorias. É parte do cluster de Direito Digital da Barbieri Advogados, em continuidade às análises sobre obrigações gerais da LGPD para empresas e sobre sanções da ANPD e responsabilidade civil.—

O que são dados sensíveis segundo a LGPD

Definição do art. 5º, II — o rol legal

O art. 5º, II da LGPD define dados pessoais sensíveis como aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O rol é taxativo — somente as categorias expressamente listadas recebem a proteção reforçada do art. 11. Isso não significa que dados não listados possam ser tratados sem cuidado: dados comuns continuam sujeitos às obrigações gerais da lei. Mas o regime especial — com suas bases legais mais restritas e exigências adicionais — aplica-se exclusivamente às categorias do art. 5º, II.

A inclusão de determinadas categorias no rol dos dados sensíveis não é arbitrária: reflete o histórico de uso dessas informações como instrumento de discriminação e controle. Dados sobre origem racial foram e continuam sendo usados para discriminação no mercado de trabalho e no acesso a serviços. Dados sobre convicção religiosa e opinião política têm potencial de perseguição em contextos de instabilidade política. Dados de saúde afetam seguros, empregabilidade e relações sociais. Dados biométricos, quando comprometidos, não podem ser alterados como uma senha — o titular carrega o risco para sempre. É essa combinação de potencial discriminatório e dano irreparável que justifica o regime mais restritivo.

Diferença entre dados pessoais comuns e dados sensíveis na prática

A distinção não é apenas teórica. No plano das bases legais, dados comuns podem ser tratados com base em qualquer uma das dez hipóteses do art. 7º da LGPD — incluindo o legítimo interesse do controlador (inciso IX), que é a base mais flexível disponível. Dados sensíveis, por sua vez, só podem ser tratados com base nas hipóteses mais restritas do art. 11: consentimento específico e destacado para finalidades específicas, ou uma das hipóteses de dispensa do consentimento, que são em número menor e mais rigorosas em seus requisitos do que as do art. 7º.

No plano das medidas de segurança, o art. 46 da LGPD exige medidas técnicas e administrativas proporcionais ao risco de cada operação de tratamento. Dados sensíveis implicam, por definição, nível de risco mais elevado — o que exige controles de acesso mais rígidos, criptografia mais robusta, políticas de retenção mais curtas e auditorias mais frequentes do que o padrão aplicável a dados comuns. Empresas que aplicam o mesmo nível de segurança para dados biométricos e para cadastros de endereço estão, objetivamente, em desconformidade com a lei.—

Dados sensíveis na LGPD: exemplos por categoria

Dados de saúde

Dados de saúde são a categoria de dados sensíveis com maior presença no ambiente corporativo cotidiano. O prontuário médico é o exemplo mais imediato, mas a categoria vai muito além: atestados médicos apresentados pelo colaborador ao empregador; laudos e resultados de exames solicitados em processos admissionais; informações sobre doenças preexistentes coletadas em formulários de plano de saúde empresarial; dados de saúde ocupacional registrados pelo SESMT (Serviço Especializado em Engenharia de Segurança e Medicina do Trabalho); registros de afastamentos e CIDs em sistemas de RH; e informações sobre condições de saúde mencionadas em perícias médicas do trabalho.

O dado de saúde não precisa ser um diagnóstico formal para ser enquadrado na categoria. Qualquer informação que, direta ou indiretamente, revele o estado de saúde ou físico de uma pessoa é dado sensível. Um registro de ausência com código de afastamento por doença, sem especificar o diagnóstico, já é dado de saúde. Uma fotografia que revele visualmente uma condição física pode ser dado de saúde. O critério é funcional, não formal: se a informação é capaz de revelar algo sobre o estado de saúde do titular, o regime do art. 11 se aplica.

Dados biométricos

O art. 5º, II define dados biométricos como sensíveis quando vinculados a uma pessoa natural — o que abrange todas as modalidades de biometria pessoal: impressões digitais, reconhecimento facial, geometria de mão, leitura de íris, análise de voz e qualquer outra característica física ou comportamental única e mensurável. No ambiente corporativo, os sistemas de controle de ponto e de acesso físico são as fontes mais comuns de coleta de dados biométricos.

A sensibilidade dos dados biométricos decorre de uma característica que os distingue de todos os outros dados pessoais: são imutáveis. Uma senha comprometida pode ser alterada; um número de cartão de crédito pode ser substituído; um endereço pode ser mudado. Uma impressão digital ou um mapa facial comprometido pertence ao titular para sempre. O vazamento de dados biométricos em larga escala — como os que ocorreram em sistemas de controle de acesso de grandes empregadores — cria riscos permanentes para os titulares afetados, sem possibilidade de remediação completa. Essa característica é o que torna o tratamento de dados biométricos o ponto de maior risco regulatório para empregadores no contexto da LGPD.

Dados genéticos

Dados genéticos são aqueles relacionados às características genéticas herdadas ou adquiridas de uma pessoa natural, que fornecem informações únicas sobre a fisiologia ou a saúde do titular e que resultam, nomeadamente, de uma análise de amostra biológica — testes de DNA, exames de sequenciamento genético, resultados de testes de predisposição a doenças. No ambiente empresarial, a ocorrência de dados genéticos é menos frequente do que a de dados de saúde ou biométricos, mas está presente em setores específicos: saúde, pesquisa clínica, medicina do trabalho em atividades com risco de doenças ocupacionais geneticamente relacionadas, e seguros de vida.

Origem racial ou étnica

Dados sobre origem racial ou étnica incluem qualquer informação que permita identificar ou inferir a raça ou etnia de uma pessoa — declarações expressas, dados coletados em formulários de diversidade, informações de censo interno de empregadores, fotografias que permitam inferência, e até dados de localização que, combinados com outros fatores, revelem origem étnica. No contexto empresarial, programas de diversidade, equidade e inclusão (DEI) frequentemente coletam dados de origem racial dos colaboradores. Esses programas têm base legal legítima — cumprimento de obrigações legais em contextos de cotas e políticas afirmativas, ou consentimento específico para fins declarados — mas precisam de estrutura jurídica adequada para não constituir tratamento irregular de dados sensíveis.

Convicção religiosa, opinião política e filiação sindical

Essas três categorias são as de menor presença no ambiente empresarial privado, mas sua sensibilidade é alta quando tratadas. Filiação sindical é a mais relevante para empregadores: o vínculo do colaborador com sindicato tem implicações diretas na relação de trabalho — negociação coletiva, contribuições sindicais, representação em conflitos. O tratamento inadequado desse dado — acesso irrestrito por gestores diretos, uso para decisões de promoção ou desligamento — é uma das formas de discriminação antisindical mais difíceis de provar, mas de consequências trabalhistas e regulatórias significativas.

Dados sobre vida sexual e orientação sexual

Dados referentes à vida sexual ou orientação sexual são sensíveis por seu potencial de discriminação e estigmatização. No ambiente corporativo, esses dados raramente são coletados de forma explícita, mas podem ser inferidos de outros dados — benefícios de cônjuge do mesmo sexo em planos empresariais, registros de acompanhante em eventos corporativos, informações em formulários de dependentes. A coleta e o processamento dessas informações exigem atenção especial tanto à base legal quanto às medidas de controle de acesso.—

Bases legais para o tratamento de dados sensíveis: o art. 11 da LGPD

A regra geral: consentimento específico e destacado

O art. 11, I da LGPD estabelece que dados sensíveis podem ser tratados mediante consentimento do titular, que deve ser específico e destacado, para finalidades específicas. O consentimento para dados sensíveis tem requisitos mais rigorosos do que o consentimento para dados comuns: precisa ser separado dos demais consentimentos, com linguagem clara sobre as finalidades específicas do tratamento, e não pode ser genérico ou abrangente. Um formulário de admissão que inclua uma cláusula geral de “consentimento com o tratamento de todos os dados” não cumpre o requisito de consentimento específico e destacado para dados sensíveis.

Além disso, o consentimento é a base legal mais frágil para dados sensíveis no contexto de relações assimétricas — especialmente a relação de emprego. A ANPD e a doutrina de proteção de dados reconhecem que, quando há dependência econômica ou hierárquica entre o titular e o controlador, a livre manifestação do consentimento pode ser comprometida. Por essa razão, empregadores que fundamentam o tratamento de dados de saúde de seus colaboradores exclusivamente no consentimento estão em terreno jurídico instável: o consentimento pode ser questionado como condicionado à manutenção do emprego.

As hipóteses de dispensa do consentimento

O art. 11, II da LGPD prevê as hipóteses em que dados sensíveis podem ser tratados sem o consentimento do titular. São hipóteses numerus clausus — um rol fechado, sem possibilidade de interpretação extensiva. As mais relevantes para o ambiente empresarial são:

O cumprimento de obrigação legal ou regulatória pelo controlador (inciso II, a) ampara o tratamento de dados de saúde exigido pela legislação trabalhista — como os dados coletados pelo PCMSO (Programa de Controle Médico de Saúde Ocupacional) e pelo PPRA (Programa de Prevenção de Riscos Ambientais), obrigatórios nos termos da Consolidação das Leis do Trabalho e das Normas Regulamentadoras do Ministério do Trabalho. O tratamento de dados de filiação sindical para fins de desconto de contribuição sindical em folha de pagamento também se enquadra nessa hipótese.

A tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (inciso II, f) é a base legal que ampara o tratamento de dados de saúde por médicos do trabalho, enfermeiros ocupacionais e demais profissionais de saúde no SESMT. O elemento central dessa hipótese é a exclusividade da finalidade de saúde: o médico do trabalho pode tratar os dados do colaborador para fins de saúde ocupacional, mas não pode compartilhá-los com o gestor direto para fins de avaliação de desempenho ou decisão de desligamento.

O exercício regular de direitos em contrato de trabalho, incluindo o cumprimento das obrigações legais e regulatórias a ele relacionadas (inciso II, d, por analogia com o art. 7º, V, aplicável a dados comuns), ampara tratamentos diretamente vinculados à execução do contrato de trabalho — desde que a finalidade seja estritamente necessária para essa execução. O processamento de atestados médicos para gestão de afastamentos e acesso a benefícios previdenciários se enquadra nessa lógica.—

Setores de maior exposição a dados sensíveis

Saúde — o setor de maior risco regulatório

Hospitais, clínicas, laboratórios, operadoras de plano de saúde, farmácias com programas de fidelidade e qualquer prestador de serviços de saúde tratam dados sensíveis como atividade-fim. O volume, a variedade e a profundidade dos dados de saúde tratados por esses agentes são incomparáveis a qualquer outro setor. Prontuários médicos, resultados de exames, histórico de medicações, diagnósticos, informações sobre procedimentos cirúrgicos: cada uma dessas informações é dado sensível, sujeito ao regime mais restritivo da LGPD, com exigências de segurança que vão muito além do padrão mínimo aplicável a dados comuns.

O setor de saúde enfrenta um desafio adicional: o compartilhamento de dados de saúde entre diferentes agentes — hospital que encaminha prontuário para operadora de plano; laboratório que envia resultados para médico solicitante; plataforma de telemedicina que armazena consultas na nuvem — envolve operações de tratamento complexas, com múltiplos controladores e operadores. A cadeia de responsabilidades precisa estar contratualmente estruturada, com Data Processing Agreements (DPAs) que vinculem cada agente às obrigações de conformidade aplicáveis.

Recursos Humanos — o empregador como controlador de dados sensíveis

Todo empregador que utiliza sistema de ponto biométrico, que processa atestados médicos, que administra plano de saúde empresarial ou que coleta dados de diversidade de seus colaboradores está tratando dados sensíveis. O departamento de RH é, em muitas empresas, o maior controlador de dados sensíveis da organização — e frequentemente o menos preparado para lidar com as obrigações específicas desse regime.

Os riscos mais recorrentes no contexto de RH incluem: acesso irrestrito de gestores diretos a dados de saúde dos colaboradores, sem segregação de função; armazenamento de atestados médicos em sistemas de RH sem controle de acesso adequado; uso de dados biométricos para finalidades além do controle de ponto (como monitoramento de comportamento); e coleta de dados de saúde em processos seletivos, prática vedada pela LGPD e pela legislação trabalhista. Para uma análise integrada das obrigações de proteção de dados no contexto trabalhista, recomendamos a consulta à nossa equipe especializada em Direito do Trabalho.

Setor financeiro — dados que revelam condições de saúde e comportamento

O setor financeiro lida com dados sensíveis de forma frequentemente indireta: dados de seguro de vida que pressupõem informações de saúde; análises de crédito que podem revelar ou inferir condições de saúde (padrões de compra em farmácias, consultas médicas pagas no cartão); produtos de previdência complementar que coletam dados de saúde para cálculo atuarial; e fintechs de saúde que combinam dados financeiros e médicos. A combinação de dados de diferentes categorias — fenômeno conhecido como agregação de dados — pode transformar dados aparentemente comuns em dados sensíveis pela inferência que permitem.

Tecnologia e inteligência artificial

Sistemas de inteligência artificial que processam imagens faciais para identificação, reconhecimento de voz, análise de comportamento ou inferência de estado emocional coletam dados biométricos e podem gerar inferências sobre estado de saúde — ambos na categoria de dados sensíveis. O uso de IA no recrutamento e seleção, por exemplo, pode gerar inferências sobre saúde mental, origem étnica ou estado emocional do candidato a partir de análise de expressão facial ou padrão de fala — operações de tratamento de dados sensíveis sujeitas ao regime do art. 11. Esse tema é tratado em profundidade em nosso artigo sobre inteligência artificial e a proteção de dados dos clientes.—

Obrigações específicas para o tratamento de dados sensíveis

Base legal adequada e documentação

A primeira obrigação — e a mais frequentemente descumprida — é a identificação e documentação da base legal correta do art. 11 para cada operação de tratamento de dados sensíveis. Não basta ter uma base legal genérica na política de privacidade: cada operação de tratamento precisa ter sua base legal identificada e registrada no mapeamento de dados. O médico do trabalho usa a hipótese do inciso II, f; o RH que processa atestados para gestão de afastamentos usa o inciso II, a (cumprimento de obrigação legal); o programa de diversidade que coleta dados de origem racial usa o consentimento específico do inciso I.

A confusão entre as bases legais do art. 7º (dados comuns) e do art. 11 (dados sensíveis) é o erro mais comum. Uma empresa que fundamenta o tratamento de dados biométricos no “legítimo interesse” do controlador está em desconformidade: o legítimo interesse é base legal apenas para dados comuns (art. 7º, IX), não para dados sensíveis. O art. 11 não prevê o legítimo interesse como hipótese admissível para o tratamento dessas categorias.

Medidas de segurança reforçadas

O art. 46 da LGPD exige medidas de segurança proporcionais ao risco. Dados sensíveis implicam risco elevado por definição — o que exige controles adicionais em comparação ao padrão aplicável a dados comuns. Na prática, isso significa: criptografia forte para dados em repouso e em trânsito; controle de acesso por perfil e necessidade de conhecimento (need-to-know), com registros de auditoria; separação funcional entre dados de saúde e dados de RH para finalidades gerenciais; políticas de retenção mais curtas, com eliminação segura ao término da finalidade; e processos de anonimização ou pseudonimização quando o tratamento para a finalidade original pode ser realizado sem identificação direta do titular.

Relatório de Impacto à Proteção de Dados (RIPD)

O art. 38 da LGPD atribui à ANPD competência para exigir do controlador o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para operações de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais. A orientação da ANPD é que o RIPD é especialmente recomendado — e pode ser exigido — para operações que envolvam o tratamento de dados sensíveis em larga escala, dados biométricos para identificação de pessoas, e operações que utilizem novas tecnologias com impacto relevante sobre os titulares. Empresas que tratam dados sensíveis em escala devem considerar o RIPD como parte integrante de seu programa de conformidade.

Vedações expressas

O art. 11, §1º da LGPD estabelece vedação expressa ao uso de dados sensíveis para finalidades discriminatórias ilícitas ou abusivas. Isso inclui: uso de dados de saúde para decisões de admissão, promoção ou desligamento; uso de origem racial para qualquer decisão que não esteja amparada em programa de ação afirmativa legalmente estruturado; uso de filiação sindical como critério em decisões de gestão de pessoal; e uso de dados biométricos para monitoramento de comportamento além das finalidades declaradas de controle de acesso e ponto.—

Perguntas frequentes

1) O que são dados sensíveis segundo a LGPD?

Dados pessoais sensíveis são os definidos no art. 5º, II da LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização religiosa, filosófica ou política, dados de saúde ou vida sexual, dados genéticos e dados biométricos quando vinculados a uma pessoa natural. Recebem proteção reforçada porque seu tratamento irregular tem potencial de causar discriminação, estigmatização e danos à dignidade do titular mais graves do que dados comuns.

2) Quais são exemplos de dados sensíveis na LGPD?

No ambiente corporativo, os exemplos mais frequentes são: dados de saúde em prontuários, atestados e laudos médicos; dados biométricos em sistemas de ponto eletrônico e controle de acesso (impressão digital, reconhecimento facial); dados genéticos em exames de predisposição; dados de filiação sindical em folha de pagamento; dados de origem racial coletados em programas de diversidade; e informações sobre orientação sexual inferíveis de formulários de dependentes e benefícios.

3) Qual a diferença entre dados pessoais e dados sensíveis na LGPD?

Dados pessoais são qualquer informação que identifique ou torne identificável uma pessoa natural. Dados sensíveis são uma subcategoria específica — as oito categorias do art. 5º, II — que recebem proteção reforçada. A diferença prática está nas bases legais: dados comuns admitem dez hipóteses do art. 7º, incluindo o legítimo interesse; dados sensíveis admitem apenas as hipóteses mais restritas do art. 11, sem previsão de legítimo interesse.

4) Uma empresa pode tratar dados sensíveis de seus funcionários?

Sim, desde que amparada em base legal do art. 11. No contexto trabalhista, as bases mais aplicáveis são: cumprimento de obrigação legal (PCMSO, PPRA, desconto sindical); tutela da saúde por profissional de saúde sujeito a sigilo; e exercício regular de direitos no contrato de trabalho. O consentimento do empregado é a base mais frágil pela assimetria da relação — pode ser questionado como não livre. A base legal deve ser documentada para cada operação de tratamento.

5) Dados biométricos de controle de ponto são dados sensíveis?

Sim. O art. 5º, II inclui expressamente dados biométricos como sensíveis quando vinculados a pessoa natural. Impressão digital e reconhecimento facial em sistemas de ponto são dados biométricos sujeitos ao regime do art. 11. A empresa precisa de base legal adequada, medidas de segurança reforçadas e não pode usar esses dados para finalidades além das declaradas ao titular. A coleta de biometria sem base legal é uma das infrações mais verificadas pela ANPD em fiscalizações de empregadores.

6) O que acontece se a empresa tratar dados sensíveis sem base legal?

É infração sujeita às sanções do art. 52 da LGPD: advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio e eliminação dos dados, e publicização da infração. Além das sanções da ANPD, a empresa fica exposta à responsabilidade civil objetiva por danos aos titulares. Por tratar-se de categoria especialmente protegida, o dano moral decorrente do tratamento irregular de dados sensíveis tende a ser reconhecido com maior facilidade pelo Judiciário do que em casos de dados comuns.—

Conclusão

Dados sensíveis são, na arquitetura da LGPD, a categoria que exige o maior rigor jurídico e operacional. A restrição das bases legais disponíveis, a vedação expressa ao uso discriminatório, as exigências de segurança reforçadas e o maior potencial de dano ao titular em caso de violação fazem do tratamento de dados sensíveis o ponto de maior exposição regulatória para a maioria das empresas — mesmo aquelas que, à primeira vista, não operam em setores tipicamente associados a informações sigilosas.

O empregador que coleta biometria no ponto, o hospital que armazena prontuários, a fintech que analisa padrões de saúde inferíveis do comportamento financeiro: todos estão no mesmo regime jurídico mais restritivo do art. 11. Identificar onde os dados sensíveis estão, qual base legal ampara cada operação de tratamento, e quais controles de segurança são proporcionais ao risco — esse é o trabalho que distingue um programa de conformidade funcional de uma política de privacidade publicada no site.—

Este artigo foi redigido para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.

© 2026. Direitos Autorais reservados a Barbieri Advogados.—