Um guia prático de dados pessoais sensiveis sob o GDPR

Este guia explica dados pessoais sensiveis sob o GDPR na prática, com foco em decisões de analytics que respeitam a privacidade.

As regras de dados pessoais confidenciais GDPR podem ser aplicadas ao rastreamento da web quando o comportamento de navegação revela características protegidas. Um cookie ID por si só pode parecer técnico. Um cookie ID ligado a visitas sobre tratamento de cancro, organização sindical, serviços religiosos, cuidados de fertilidade ou campanhas políticas pode tornar-se muito mais sensível.

O GDPR chama isso de “categorias especiais de dados pessoais”. O Artigo 9 abrange dados que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos utilizados para identificação, dados de saúde e dados relativos à vida sexual ou orientação sexual (Artigo 9 do GDPR).

Por que o Web Analytics pode criar dados confidenciais

A análise da web geralmente registra:

• Página URLs.
• Termos de pesquisa.
• Referentes.
• Parâmetros de campanha.
• Cookie ou IDs de dispositivos.
• Localização derivada de IP.
• Eventos de clique e conversão.
• IDs de conta ou hashes de e-mail em algumas implementações.

Em uma página de produto comum, isso pode ser de baixo risco. Num website de uma clínica de saúde mental, num recurso de saúde reprodutiva, num site de campanha política, num site de uma comunidade religiosa ou numa página de disputas laborais, os mesmos dados podem revelar informações sensíveis sobre o visitante.

O risco aumenta quando os dados analíticos são vinculados a páginas, sessões, contas ou plataformas de terceiros.

O aviso do Meta/Bundeskartellamt

O Tribunal de Justiça da União Europeia abordou preocupações de categoria especial no acórdão Meta Platforms v Bundeskartellamt. O tribunal concluiu que visitar websites ou aplicações relacionadas com tópicos de categorias especiais pode revelar dados sensíveis e que o tratamento desses dados pode ser abrangido pelo artigo 9.º, dependendo das circunstâncias (CJEU processo C-252/21).

A aula prática não se limita às redes sociais. Se os sistemas de rastreamento coletam comportamentos no nível da página que revelam interesses confidenciais, as organizações precisam tratar esses dados com extremo cuidado.

Exemplos para equipes de análise

Exemplos de alto risco:

• Uma clínica de saúde envia páginas URLs sobre condições específicas para um fornecedor de análise terceirizado.
• Uma organização sem fins lucrativos rastreia visitantes de recursos sobre violência doméstica com identificações persistentes.
• Uma campanha política compartilha páginas de participação em eventos com plataformas de anúncios.
• Um site de organização sindical redireciona os visitantes com base nas páginas visualizadas.
• Um aplicativo de saúde mental registra visualizações de páginas de tópicos de terapia em uma pilha de marketing geral.

Exemplos de menor risco:

• Contagem agregada de páginas sem identificadores persistentes.
• Logs do lado do servidor com retenção curta e minimização IP.
• Contagens de eventos que evitam títulos de páginas confidenciais ou strings de consulta.
• Relatórios em nível de país sem históricos em nível de usuário.

O contexto é importante. O mesmo evento analítico pode ser inofensivo em um blog genérico e sensível em uma página de saúde.

Implicações de conformidade

O processamento de categorias especiais é geralmente proibido, a menos que se aplique uma exceção do Artigo 9, como consentimento explícito ou outra base jurídica específica. O consentimento normal para cookies analíticos pode não ser suficiente se o processamento envolver dados confidenciais e perfis de terceiros.

As equipes também podem precisar de:

• Uma avaliação de impacto na proteção de dados.
• Controles de acesso mais fortes.
• Menor retenção.
• Restrições do fornecedor.
• Consentimento explícito quando apropriado.
• Proibição do uso de publicidade.
• Divulgações de privacidade cuidadosas.
• Revisão de transferências internacionais.

Para locais relacionados à saúde nos Estados Unidos, HIPAA também poderá ser aplicado se a organização for uma entidade coberta ou associada comercial. HHS emitiu orientações e atenção de aplicação em torno de tecnologias de rastreamento on-line usadas por entidades regulamentadas por HIPAA (orientação sobre tecnologias de rastreamento on-line HHS). Advertência importante para 2024: HHS observa que um tribunal federal anulou o boletim na medida em que tratou um endereço IP mais uma visita a certas páginas de saúde pública não autenticadas como acionamento automático de obrigações HIPAA. Isso não elimina o risco de portais, fluxos de trabalho de agendamento, recebimento, pagamento, autenticação ou divulgação de PHI.

Redução prática de riscos

Use uma lista de verificação analítica de contexto sensível:

1. Identifique páginas que revelam saúde, religião, política, sexualidade, situação sindical, crianças ou outros temas delicados.
2. Desative os pixels de publicidade nessas páginas.
3. Evite reprodução de sessão e mapas de calor em fluxos sensíveis.
4. Remova as strings de consulta antes da coleta de análises.
5. Não envie títulos de páginas que incluam termos sensíveis se categorias agregadas servirem.
6. Evite identificadores persistentes sempre que possível.
7. Mantenha os relatórios agregados.
8. Restrinja o acesso.
9. Reduza a retenção de dados brutos.
10. Revise fornecedores e subprocessadores.

Medição que prioriza a privacidade

A análise que prioriza a privacidade é especialmente valiosa em contextos sensíveis. Uma clínica, uma organização sem fins lucrativos, um grupo de defesa ou um serviço público muitas vezes pode responder a questões operacionais sem rastrear viagens identificáveis.

Métricas úteis de baixo risco incluem:

• Total de visitas a uma categoria de recurso.
• Domínios referenciadores agregados.
• Classe de dispositivo para verificações de usabilidade.
• Termos de pesquisa apenas quando anonimizados e revisados.
• Contagens de conversão para ações não confidenciais.

Se uma pergunta não puder ser respondida sem coletar comportamento delicado, pergunte se vale a pena correr o risco. Em muitos casos, uma métrica, uma pesquisa ou um registro operacional do lado do servidor menos detalhado é mais seguro e respeitoso.

Bandeiras vermelhas no design de eventos

Revise os nomes e propriedades dos eventos antes do lançamento. Eventos como depression_quiz_started, union_contact_form_submitted ou pregnancy_help_clicked podem ser úteis internamente, mas podem expor significados confidenciais se enviados para análises gerais ou ferramentas de publicidade.

Use categorias neutras sempre que possível, restrinja o acesso e mantenha análises confidenciais fora de ecossistemas de anúncios de terceiros. Em contextos sensíveis, “mais granular” muitas vezes não é melhor.

Exemplos de nomenclatura mais segura

A nomenclatura de eventos pode reduzir o risco sem tornar os relatórios inúteis. Em vez de enviar pregnancy_options_page_viewed, envie resource_category_viewed com uma categoria ampla visível apenas de forma agregada. Em vez de therapy_for_grief_video_75_percent, envie video_progress com um conteúdo não confidencial ID que somente uma tabela interna restrita pode interpretar.

O mesmo princípio se aplica aos URLs. Evite caminhos e strings de consulta que exponham diagnóstico, status legal ou preocupações pessoais quando uma estrutura de página mais simples for suficiente. Se palavras confidenciais precisarem aparecer para usabilidade ou SEO, configure a análise para remover o caminho ou relatório em um nível de categoria mais amplo. O objetivo não é esconder o serviço dos usuários; é evitar transmitir significado sensível a sistemas analíticos de uso geral.

Revisão de contexto sensível

Antes de rastrear páginas confidenciais, documente a categoria da página, nomes de eventos, comportamento URL, identificadores, fornecedores, retenção, controles de acesso e se o Artigo 9 ou outra lei do setor pode ser aplicável. Em seguida, teste a página em um perfil de navegador limpo e inspecione chamadas de rede, cookies, armazenamento e eventos do servidor.

Se a análise ainda enviar nomes de condições, termos de pesquisa confidenciais, IDs persistentes ou chamadas publicitárias de páginas confidenciais, o problema não está no texto do aviso de privacidade. O design dos dados precisa ser reduzido.