Princípios da LGPD – tratamento de dados pessoais

Princípios-LGPD-Tratamento-de-dados-pessoais-

Vamos explicar quais são os princípios que guiam o tratamento de dados pessoais previstos na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei  nº 13.709/2018)

1. Princípio da boa-fé – art. 6, caput

O princípio da boa-fé é conceituado pelo Código de Civil (CC) nos artigos 133 e 422.

Em resumo, as partes que pretendem formalizar um negócio jurídico devem agir de forma ética, honesta e legal.

Por exemplo:

  • devem as partes agiram de boa-fé, antes, durante e depois de assinarem um contrato.
2. Princípio da finalidade  art. 6, inciso I

I- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Este é um dos princípios mais importantes da LGPD, motivo pelo qual vamos explicá-lo mais detalhadamente.

Primeiramente, precisamos entender o que significa tratamento de dados pessoais:

  • toda operação relacionada a dados de pessoas naturais

Além disso, para que um  controlador de dados possa realizar um tratamento de dados é necessário que haja uma base legal.

O consentimento do titular é uma das bases legais para que seja processado dados pessoais.

Nesse contexto, quando um controlador solicitar o consentimento de um titular, ele deve informar, antes e de forma clara, para qual finalidade esses dados serão utilizados.

Em outras palavras, em regra, o controlador não tem permissão para processar dados do titular além do que lhe foi consentido pelo titular.

  • Por exemplo, uma empresa de streaming obtém o consentimento do cliente para indicar filmes que ele possa ter interesse de assistir, levando em consideração os seus históricos de navegação

Todavia,  a referida empresa não tem a permissão para compartilhar essas informações para terceiros, sem coletar um novo consentimento do titular.

Visto que, tal tratamento (compartilhamento de dados com terceiros) não é compatível com o consentimento que foi fornecido incialmente.

Por outro lado, seria razoável se essa empresa enviasse aos seus clientes e-mails informativos sobre os novos filmes que entrarão em cartaz em sua plataforma.

Desse modo, o controlador de dados deve analisar com cautela ao executar um tratamento de dados que possa não ser compatível com sua finalidade originária do consentimento.

Enfim, é sempre recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.

3. Princípio da adequação – art. 6, inciso II

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Está entre os princípios ligado ao da finalidade, pois o controlador deve respeitar às finalidades previstas no consentimento, notadamente aquelas que sejam compatíveis com contexto no qual for usado.

Por exemplo:

  • seria compatível que uma rede social solicitasse ao titular  sua idade com a finalidade de saber se ele tem a idade mínima para poder utilizar a plataforma.

Por outro lado, seria incompatível que uma rede social exigisse do titular sua preferência sexual ou religiosa (dados sensíveis) como requisito obrigatório para acessá-la.

4. Princípio da necessidade – art. 6, inciso III

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos  em relação às finalidades do tratamento de dados;

O controlador pode solicitar ao titular informações necessárias para uma determinada finalidade.

No entanto, não deve requerer ou armazenar informações além do necessário.

Por exemplo:

  • nos Estados Unidos, a Netflix foi obrigada a mudar a sua política de privacidade, haja vista que retinha informações das preferências de seus ex-clientes por mais de 1 ano com a finalidade de marketing.

Neste caso, foi entendido que este tratamento não estava previsto nos termos da política de privacidade da Netflix.

Em outras palavras, a Netflix retinha informações – sem consentimento – por tempo desnecessário e com finalidade diversa da qual foi solicitada originalmente.

5. Princípio do livre acesso, art. 6, inciso IV

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

O titular tem o direito de consultar gratuitamente sobre como seus dados estão sendo processados, por quanto tempo e quais dados exatamente foram coletados.

Por exemplo:

  • um cliente, que não se recorda se fez um cadastro em uma determinada empresa (controladora), solicita a ela que confirme se seus dados estão sendo utilizados.
6. Princípio da qualidade dos dados – art. 6, inciso V

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Este é um dos princípios que as empresas (controladoras) devem ter atenção extra, em especial, as que tratam dados sensíveis.

Por exemplo:

  • uma farmácia – que não tem o endereço atualizado dos seus clientes – pode enviar, equivocadamente, um remédio de um cliente para um terceiro desconhecido.

Nesse contexto, a privacidade do cliente foi desrespeitada, uma vez que o terceiro, agora, sabe qual doença (dado sensível) o cliente tem ou está tratando. 

7. Princípio da transparência – art. 6, inciso VI

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Esse é mais um dos princípios basilares da LGPD.

O controlador que pretende utilizar dados pessoais deve, de forma clara, precisa e acessível, informar aos titulares como e para qual finalidade seus dados foram coletados e, também,  esclarecer se haverá compartilhamento de dados com outras empresas/operadoras.

Por exemplo:

  • uma empresa/controlador elabora uma política de privacidade que não deixa claro para o titular se seus dados poderão ser compartilhados com terceiros.

Dessa forma, o controlador está ferindo o princípio da transparência, visto que ela não esclareceu ao titular se suas informações estão sendo compartilhas com outras operadoras,  podendo, inclusive, gerar punições.

8. Princípio da segurança – art. 6, inciso VII

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Os agentes de tratamento devem tomar as medidas de segurança necessárias para proteger os dados dos titulares.

Logo, caberá a Agência Nacional de Proteção Dados (ANPD) estabelecer os padrões mínimos de segurança – art. 46, §1ª, LGPD.

9. Princípio da prevenção – art. 6, inciso VIII

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

As empresas devem agir de forma preventiva, ou seja, devem utilizar as medidas necessárias para evitar que os titulares venham sofrer algum tipo de dano relacionado ao tratamento de dados.

Por exemplo:

  • uma empresa, ao iniciar o processo de adequação à LGPD,  deve realizar treinamentos com seus funcionários para aumentar a consciência deles no tocante aos temas de privacidade e de proteção de dados.
10. Princípio da não discriminação, art. 6, inciso IX

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

A LGPD trata de forma diferenciada os dados que podem causar alguma discriminação ao titular, são também conhecidos como dados sensíveis.

No Brasil, antes mesmo da LPGD entrar em vigor, uma grande empresa que comercializa passagens áreas e acomodações foi condenada por descriminação e prática abusiva.

O Departamento de Proteção e Defesa do Consumidor (DPDC) decidiu que a referida empresa fazia diferenciação de preço das acomodações de acordo com a localização  geográfica e da etnia do consumidor.

11. Princípio da responsabilização e prestação de contas – art. 6, inciso X

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os agentes de tratamento (controlador e operador) precisam comprovar que estão de fato cumprindo as regras da LGPD.

Por exemplo:

  • não basta uma empresa elaborar uma política de privacidade impecável, se na realidade ela não é aplicada.

Claro que ter uma política de privacidade é importante, mas ela sozinha não é suficiente para comprovar que uma empresa está em conformidade com a LGPD.

Igualmente, é fundamental, observar todos os princípios que envolvem o tratamento de dados pessoais.

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!