Os princípios da LGPD (Lei Geral de Proteção de Dados Pessoais) são diretrizes fundamentais que orientam e regulam o tratamento ético, transparente e seguro dos dados pessoais, assegurando os direitos dos titulares e estabelecendo obrigações claras para os agentes de tratamento.
Princípios são normas que servem como alicerces para a construção e interpretação de outras normas jurídicas. Segundo Miguel Reale “os princípios são verdades fundantes de um sistema de conhecimento”.
Eles não apenas orientam a aplicação das normas, mas também garantem a coerência e a harmonia do ordenamento jurídico.
No contexto da LGPD, os princípios estabelecidos no art. 6º atuam como guias para assegurar um tratamento de dados pessoais ético, transparente e seguro. São princípios da LGPD:
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Além deles, o caput do art. 6º cita que as atividades de tratamento de dados pessoais deverão observar a boa-fé, o que pode ser considerado um 11º princípio ou o norteador dos demais princípios da LGPD.
A numeração apresentada na lei não significa que exista uma ordem de hierarquia entre os princípios. Todos são igualmente importantes. Também não há alternatividade. Não há como escolher um princípio ou outro. Todos precisam ser observados em qualquer tratamento de dados.
Neste artigo, vamos explorar cada um dos princípios da LGPD, elucidando suas definições e aplicações práticas.
Princípios da LGPD: Finalidade
O primeiro e talvez mais relevante entre os princípios da LGPD é o da Finalidade, embora não haja uma relação de hierarquia entre os princípios, devendo todos serem cumpridos.
Este princípio determina que o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular.
Por exemplo, se uma empresa coleta dados para fins de marketing, ela deve informar os titulares de maneira explícita que seus dados serão utilizados para enviar ofertas e promoções, e não para outros fins, como a venda de informações a terceiros.
O Princípio da Finalidade é essencial para assegurar que os dados pessoais coletados sejam utilizados de maneira transparente e previsível, evitando que sejam desviados para fins não consentidos ou inadequados.
A finalidade do tratamento deve ser clara desde o momento da coleta, permitindo que os titulares dos dados saibam exatamente como suas informações serão utilizadas.
A clareza e a especificidade da finalidade são cruciais para construir e manter a confiança dos titulares de dados. Quando uma empresa ou organização informa os titulares sobre o propósito específico do uso de seus dados, ela está promovendo a transparência e evitando possíveis abusos ou mal-entendidos.
Além disso, o Princípio da Finalidade impede que os dados pessoais sejam utilizados de forma indiscriminada ou para finalidades secundárias que não tenham sido previamente informadas ao titular.
Isso significa que qualquer mudança na finalidade do uso dos dados deve ser previamente comunicada ao titular.
Por exemplo, se uma pesquisa acadêmica coleta dados para um estudo específico e, posteriormente, deseja utilizá-los para outro estudo com objetivos diferentes, será necessário obter um novo consentimento dos titulares, caso a base legal utilizada tenha sido a do consentimento.
Menções ao Princípio da Finalidade ao longo do LGPD
O Princípio da Finalidade é mencionado diversas vezes ao longo do LGPD, demonstrando a importância que ele tem para a proteção de dados pessoais.
Um exemplo relevante está na própria definição de consentimento, onde se lê que ele é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim, o consentimento deve se referir a finalidades determinadas, sendo consideradas nulas pela LGPD as autorizações genéricas para o tratamento de dados pessoais.
Caso haja mudanças da finalidade não compatíveis com o consentimento original, o titular precisa ser informado e pode revogar o consentimento se discordar das alterações.
Outros três princípios da LGPD também se relacionam com o Princípio da Finalidade:
- Adequação é a compatibilidade do tratamento com a finalidade informada ao titular;
- Necessidade é a limitação do tratamento ao mínimo necessário para a realização da finalidade informada;
- Qualidade dos dados deve estar de acordo com o cumprimento da finalidade.
Em outras passagens, vemos que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade; que o titular tem o direito de saber qual é a finalidade específica do tratamento; e que o legítimo interesse do controlador só pode fundamentar tratamento para finalidades legítimas, consideradas a partir de situações concretas.
Princípios da LGPD: Adequação
O Princípio da Adequação exige que o tratamento de dados pessoais seja compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Este princípio assegura que os dados coletados sejam utilizados de maneira coerente com o propósito inicialmente comunicado, evitando desvios que possam prejudicar o titular dos dados.
A adequação garante que o uso dos dados permaneça dentro das expectativas razoáveis do titular, promovendo uma maior transparência e confiança no tratamento de dados pessoais.
Só o contexto pode dizer se o tratamento está compatível com a finalidade informada ao titular. Assim, a observação do Princípio da Adequação depende sempre da análise do caso concreto.
Princípio da Necessidade
O Princípio da Necessidade dispõe que o tratamento de dados pessoais deve se limitar ao mínimo necessário para a realização de suas finalidades.
Também conhecido como Princípio da Minimização ou do Mínimo Necessário, ele objetiva evitar a coleta excessiva e o armazenamento desnecessário de dados pessoais, garantindo que apenas as informações essenciais sejam processadas.
A aplicação desse princípio protege os titulares de dados contra possíveis abusos e minimiza os riscos associados ao tratamento de grandes volumes de informações pessoais.
Assim, ele é positivo tanto para o controlador quanto para o titular do ponto de vista da segurança.
A implementação do Princípio da Necessidade exige que as organizações realizem uma avaliação criteriosa sobre quais dados pessoais são realmente necessários para atingir as finalidades específicas informadas aos titulares.
Por exemplo, ao realizar um cadastro para fornecer um serviço, a empresa deve solicitar apenas as informações indispensáveis para a prestação desse serviço, evitando a coleta de dados irrelevantes ou excessivos. Isso não apenas protege a privacidade dos titulares, mas também otimiza os recursos da organização, que não precisará gerenciar informações desnecessárias.
Além disso, o Princípio da Necessidade implica a adoção de políticas e práticas internas que promovam a minimização de dados.
Isso pode incluir a revisão periódica dos dados coletados, a exclusão de informações desnecessárias e a restrição de acesso aos dados apenas para aqueles que realmente necessitam deles para realizar suas funções.
Princípio do Livre Acesso
Entre os princípios da LGPD, o do Livre Acesso assegura aos titulares de dados o direito de consultar de forma facilitada e gratuita sobre a forma e duração do tratamento de seus dados, bem como sobre a integralidade de suas informações pessoais.
Esse princípio promove a transparência e a confiança no tratamento de dados, permitindo que os titulares tenham um controle efetivo sobre suas informações. Nos termos do art. 9º da LGPD:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso
O acesso facilitado é essencial para que os titulares possam verificar a exatidão dos dados, solicitar correções e entender como suas informações estão sendo utilizadas.
O titular deve ter o acesso facilitado, por exemplo, a informações como:
- Finalidade específica do tratamento;
- Forma e duração do tratamento, observados os segredos comercial e industrial;
- Identificação do controlador e de suas informações de contato;
- Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
- Responsabilidades dos agentes que realizarão o tratamento.
Para cumprir o Princípio do Livre Acesso, as organizações devem implementar sistemas e processos que permitam a consulta e a gestão dos dados pelos titulares de maneira eficiente e descomplicada.
Isso pode incluir a disponibilização de portais online onde os usuários possam acessar suas informações pessoais, revisar o histórico de tratamento de dados e solicitar alterações ou exclusões.
Além disso, é fundamental que as organizações ofereçam suporte e canais de comunicação adequados para responder a quaisquer dúvidas ou solicitações dos titulares de dados.
Princípios da LGDP: Qualidade dos Dados
O quinto dos princípios da LGDP garante aos titulares que seus dados pessoais serão exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento.
Este princípio assegura que as informações mantidas pelas organizações sejam precisas e utilizáveis para os fins aos quais se destinam, evitando erros e mal-entendidos que possam surgir do uso de dados incorretos ou desatualizados.
Para cumprir o Princípio da Qualidade dos Dados, as organizações devem adotar práticas rigorosas de verificação e atualização de informações.
Isso inclui processos regulares de revisão e correção de dados, garantindo que qualquer informação imprecisa ou desatualizada seja prontamente identificada e corrigida.
Princípios da LGPD: Transparência
O sexto dos princípios da LGPD estabelece que os titulares devem ter acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais e sobre os respectivos agentes de tratamento.
Esse princípio é essencial para promover a confiança dos titulares de dados, garantindo que eles saibam exatamente como, por quem e para quais finalidades suas informações estão sendo utilizadas.
Como se nota, existe uma relação entre esses três últimos princípios da LGPD listados: livre acesso, qualidade dos dados e transparência.
Para cumprir o Princípio da Transparência, as organizações devem adotar uma comunicação aberta e acessível com os titulares de dados.
Isso inclui a elaboração de políticas de privacidade claras e detalhadas, que expliquem de maneira compreensível todos os aspectos do tratamento de dados.
Essas políticas devem estar facilmente disponíveis, por exemplo, no site da empresa, e serem escritas em uma linguagem que seja compreensível para o público geral, evitando jargões técnicos ou legais excessivamente complexos.
Além disso, é importante que as organizações forneçam informações sobre os direitos dos titulares, como o direito de acessar, corrigir e excluir seus dados.
A transparência também implica que as organizações devem notificar os titulares de dados sobre quaisquer mudanças significativas nas práticas de tratamento de dados ou nas políticas de privacidade.
Incidentes de segurança, como por exemplo vazamentos de dados pessoais, também devem ser comunicados de forma transparente, para que todos tenham ciência dos riscos e possíveis danos.
Nesses casos, o art. 48 da LGPD, complementado pela Resolução ANPD 15/2024, dispõe que o controlador deve comunicar à ANPD (Autoridade Nacional de Proteção de Dados) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o que liga o Princípio da Transparência ao sétimo dos princípios da LGPD: Segurança.
Princípio da Segurança
O Princípio da Segurança determina que as organizações devem adotar medidas técnicas e administrativas apropriadas para proteger os dados pessoais contra acessos não autorizados, bem como contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Entre os princípios da LGPD, este é fundamental para garantir a integridade e a confidencialidade das informações pessoais, minimizando os riscos associados ao tratamento de dados.
Não por acaso, a LGPD dedica todo um Capítulo para tratar da Segurança e das Boas Práticas, a partir do art. 46, cujo caput dispõe:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Tais medidas de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Para implementar o Princípio da Segurança, as organizações devem investir em tecnologias e processos que reforcem a proteção dos dados.
Isso inclui a utilização de ferramentas de criptografia para proteger dados sensíveis durante a transmissão e o armazenamento, a adoção de sistemas de autenticação robustos para controlar o acesso a essas informações e a implementação de firewalls e sistemas de detecção de intrusões para prevenir ataques cibernéticos.
Além disso, é crucial realizar backups regulares dos dados para garantir que as informações possam ser recuperadas em caso de perda ou dano.
Para evitar incidentes de segurança, o controlador deve ficar atento ao próximo na lista dos princípios da LGPD: Prevenção.
Princípio da Prevenção
O Princípio da Prevenção exige que as organizações adotem medidas proativas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Esse princípio enfatiza a importância de antecipar riscos e implementar práticas preventivas que possam mitigar possíveis impactos negativos sobre os titulares dos dados.
Para cumprir o oitavo entre os princípios da LGPD, as organizações devem realizar uma avaliação contínua dos riscos associados ao tratamento de dados pessoais.
Isso pode incluir a identificação de possíveis ameaças, como vulnerabilidades em sistemas de segurança, e a análise do impacto potencial de incidentes de segurança.
Com base nessa avaliação, devem ser implementadas medidas preventivas adequadas, como a adoção de tecnologias de segurança avançadas, políticas rigorosas de acesso a dados e procedimentos de resposta a incidentes.
A implementação de medidas de prevenção também envolve a educação e a capacitação dos colaboradores. Treinamentos regulares sobre práticas de segurança da informação e proteção de dados pessoais são essenciais para garantir que todos na organização estejam cientes dos riscos e saibam evitá-los.
O maior exemplo de aplicação prática do Princípio da Prevenção é a previsão na LGPD de elaboração do relatório de impacto à proteção de dados pessoais, uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O relatório precisa ser elaborado sempre que a ANPD determinar ao controlador, observados os segredos comercial e industrial.
Princípios da LGPD: Não Discriminação
O penúltimo dos princípios da LGPD listados no art. 6º proíbe o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos.
O objetivo é assegurar que os dados pessoais não sejam utilizados de maneira a prejudicar, segregar ou excluir indivíduos com base em características como cor da pele, etnia, religião, origem nacional, gênero, orientação sexual, condição de saúde, entre outras.
A não discriminação é fundamental para proteger os direitos humanos e promover a igualdade e a justiça no tratamento de dados.
Não existe vedação para o combate à discriminação
Vale ressaltar que o Princípio da Não Discriminação veda o tratamento para fins discriminatórios ilícitos ou abusivos.
Não existe, portanto, nenhuma vedação ao uso de dados pessoais para combater a discriminação.
Se uma organização precisa coletar dados como cor da pele ou gênero para promover políticas de igualdade racial ou de gênero, não existe nenhum obstáculo causado pelo Princípio da Não Discriminação. Basta seguir o disposto quanto ao uso de dados pessoais sensíveis e deixar clara a finalidade do tratamento.
O cumprimento do Princípio da Não Discriminação não só garante a conformidade legal com a LGPD, mas também reforça a responsabilidade social das organizações.
Promover a igualdade e evitar a discriminação no tratamento de dados contribui para a construção de uma sociedade mais justa e inclusiva. Além disso, práticas não discriminatórias fortalecem a reputação das organizações, promovendo a confiança e a lealdade dos clientes, colaboradores e demais partes interessadas.
Em suma, a não discriminação é um pilar essencial para um tratamento de dados ético e respeitoso dos direitos individuais.
Princípios da LGPD: Responsabilização e Prestação de Contas
O último dos dez princípios da LGPD listados nos incisos do art. 6º é o da Responsabilização e Prestação de Contas.
Este princípio impõe aos agentes de tratamento a obrigação de demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
A chamada “accountability” destaca a importância de uma postura proativa e transparente das organizações em relação à proteção de dados, assegurando que elas não apenas cumpram as exigências legais, mas também estejam preparadas para provar essa conformidade.
Para cumprir o Princípio da Responsabilização e Prestação de Contas, as organizações devem implementar um programa de governança de dados, que inclua políticas claras de proteção de dados, procedimentos documentados e medidas de segurança adequadas.
Além de implementar políticas e procedimentos, é crucial que as organizações mantenham registros detalhados de todas as atividades de tratamento de dados. Esses registros devem documentar as finalidades do tratamento, as categorias de dados tratados, os destinatários dos dados e as medidas de segurança adotadas.
Manter uma documentação completa e precisa permite que a organização demonstre facilmente a conformidade com a LGPD em caso de fiscalização por parte da ANPD, de processos judiciais ou de questionamentos por parte dos titulares.
Bônus: o Princípio da Boa-fé
O Princípio da Boa-fé, mencionado no caput do art. 6º da LGPD, orienta todos os outros princípios listados nos incisos do referido artigo, promovendo a confiança mútua e a ética nas relações de tratamento de dados pessoais.
A boa-fé é um conceito jurídico amplamente reconhecido que implica agir com honestidade, transparência, lealdade e de maneira justa em todas as interações.
No contexto da LGPD, a boa-fé exige que os agentes de tratamento de dados ajam de forma responsável e respeitosa, sempre buscando proteger os direitos e interesses dos titulares de dados.
Não adianta o agente de tratamento seguir formalmente os demais princípios caso a intenção por trás seja de má-fé. Por exemplo, não adianta obter o consentimento para uma finalidade sendo que essa finalidade é ilícita. Não adianta manter a qualidade dos dados se os dados vão ser utilizados para prejudicar alguém.
Aplicar o Princípio da Boa-fé no tratamento de dados pessoais significa que as organizações devem ser transparentes sobre suas práticas e intencionalidades ao coletar, processar e utilizar dados pessoais.
Conclusão: a relação entre os princípios da LGPD
Bruno Bioni propõe o agrupamento dos princípios da LGPD em quatro categorias, quais sejam:
- Monólogo: agrupa os princípios da LGPD que são definidos praticamente de forma isolada pelos agentes de tratamento. Aqui entram os princípios da Finalidade, da Necessidade e da Adequação.
- Diálogo: agrupa os princípios da LGPD que implicam uma relação direta com os titulares dos dados pessoais. Aqui entram os princípios do Livre Acesso, da Transparência e da Qualidade dos Dados. O grupo do Diálogo requer uma conversa bidirecional entre agentes de tratamento e titulares, com transparência que permita contraditório e ampla defesa, para o devido processo informacional.
- Salvaguardas: agrupa os princípios da LGPD voltados para isonomia e prevenção de incidentes, ou seja, os princípios da Segurança, da Prevenção e da Não Discriminação.
- Accountability: isoladamente vem o princípio da Responsabilização e Prestação de Contas, que impõe que o agente de tratamento não apenas diga que observa os três grupos anteriores de princípios da LGPD, mas também que demonstre, que preste contas e prove que os está cumprindo de acordo com o exigido pela lei.
Assim, os princípios da LGPD estabelecem diretrizes fundamentais para um tratamento de dados pessoais ético, seguro e transparente.
Cada princípio, desde a finalidade até a boa-fé, contribui para a proteção dos direitos dos titulares e a promoção de práticas responsáveis por parte dos agentes de tratamento.
Compreender e aplicar esses princípios é crucial não apenas para a conformidade legal, mas também para construir uma relação de confiança e respeito com os indivíduos cujos dados são tratados.
Ao seguir esses princípios, as organizações demonstram seu compromisso com a privacidade e a proteção de dados, promovendo um ambiente de confiança mútua e segurança jurídica.
Referências
BIONI, Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento. 2ª ed. São Paulo: Editora Forense, 2019.
BIONI, Bruno. Arquitetura da Privacidade e Proteção de Dados Pessoais. 22 abr. 2024. Notas de aula.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 22 maio 2024.
REALE, Miguel. Lições Preliminares de Direito. 27ª ed. São Paulo: Saraiva, 2002
