Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/92719
Para ver outras publicações como esta, acesse https://jus.com.br

Princípios da LGPD – tratamento de dados pessoais

Princípios da LGPD – tratamento de dados pessoais

Publicado em . Elaborado em .

Vamos explicar quais são os princípios que guiam o tratamento de dados pessoais previstos na Lei Geral de Proteção de Dados Pessoais (LGPD – n. 13.709/2018).

Princípios-LGPD-Tratamento-de-dados-pessoais-

1. Princípio da boa-fé – art. 6, caput

O princípio da boa-fé é conceituado pelo Código de Civil (CC) nos artigos 133 e 422.

Em resumo, as partes que pretendem formalizar um negócio jurídico devem agir de forma ética, honesta e legal.

Por exemplo, devem as partes agiram de boa-fé, antes, durante e depois de assinarem um contrato.

2. Princípio da finalidade art. 6, inciso I

I- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Este é um dos princípios mais importantes da LGPD, motivo pelo qual vamos explicá-lo com mais detalhes.

Entretanto, primeiro precisamos entender alguns conceitos, como por exemplo, o que é tratamento de dados pessoais, em síntese, podemos defini-lo como:

“toda operação relacionada a dados pessoais de pessoas vivas”.

Além disso, para que um controlador de dados possa realizar um tratamento de dados é necessário que haja uma base legal.

Uma das bases legais é o processamento de dados pessoais mediante o consentimento do titular.

Nesse contexto, quando um controlador solicitar o consentimento de um titular de dados, ele deve informar, antes e de forma clara, para qual finalidade esses dados serão utilizados.

Em outras palavras, em regra, o controlador não tem permissão para processar dados do titular além do que lhe foi consentido pelo titular dos dados.

  • Por exemplo, uma empresa (controladora) de streaming de filmes e de séries tem o consentimento do titular para indicar filmes que o cliente pode ter interesse de assistir, levando em consideração as suas preferências, ou seja, os filmes que ele já assistiu e gostou.

Todavia, a empresa não tem a permissão para vender essas informações (dados que contém as preferências dos clientes) para terceiros, sem adquirir um novo consentimento do titular.

Visto que, tal tratamento (compartilhamento de dados com terceiros) não é compatível com o consentimento que foi dado a empresa de streaming.

Por outro lado, em tese, seria compatível se essa empresa enviasse aos seus clientes e-mails informativos sobre os novos filmes que entrarão em cartaz em sua plataforma.

Desse modo, o controlador de dados deve analisar com cautela ao executar um tratamento de dados que possa não ser compatível com o que foi consentindo pelo titular.

Enfim, é sempre recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.

3. Princípio da adequação – art. 6, inciso II

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Este princípio está ligado ao da finalidade, pois o controlador deve respeitar às finalidades previstas no consentimento, notadamente aquelas que sejam compatíveis com contexto no qual for usado.

Por exemplo:

  • seria compatível que uma rede social solicitasse ao titular – que pretende se cadastrar nela – sua idade, com a finalidade de saber se ele tem a idade mínima exigida pela empresa ou pela lei do país.

Por outro lado, seria incompatível que uma rede social exigisse do titular sua preferência sexual ou religiosa como requisito para ter acesso a ela.

4. Princípio da necessidade – art. 6, inciso III

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

O controlador pode solicitar ao titular informações necessárias para uma determinada finalidade.

No entanto, não deve requerer ou armazenar informações além do necessário.

Por exemplo:

  • nos Estados Unidos, a Netflix foi obrigada a mudar a sua política de privacidade, haja vista que retinha informações das preferências de seus ex-clientes por mais de 1 ano com a finalidade de marketing.

Neste caso, foi entendido que este tratamento não estava previsto nos termos da política de privacidade da Netflix.

Em outras palavras, a Netflix retinha informações – sem consentimento – por tempo desnecessário e com finalidade diversa da qual foi solicitada originalmente.

5. Princípio do livre acesso, art. 6, inciso IV

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

O titular tem o direito de consultar gratuitamente sobre como seus dados estão sendo processados, por quanto tempo e quais dados exatamente foram coletados.

Por exemplo:

  • um cliente (titular), que não se recorda se fez um cadastro – com informações pessoais – em uma determinada empresa (controladora), solicita a ela que confirme se seus dados estão sendo utilizados, armazenados etc.

Para não sair do foco deste artigo e caso você queria aprofundar mais sobre este tema, recomendamos a leitura deste texto – direitos do titular de dados.

6. Princípio da qualidade dos dados – art. 6, inciso V

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

As empresas (controladoras) devem ter atenção extra a este princípio, em especial, as que tratam dados sensíveis.

Por exemplo:

  • uma farmácia – que não tem o endereço atualizado de seus clientes – pode enviar sem querer um remédio de um cliente para um terceiro.

Nesse contexto, a privacidade do titular/cliente seria desrespeitada, uma vez que o terceiro teria condições de identificar a doença do cliente, haja vista que, agora, ele sabe qual remédio o titular está ingerindo.

7. Princípio da transparência – art. 6, inciso VI

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

O controlador que pretende utilizar os dados do titular deve, de forma clara, informar como serão tratadas suas informações e também se elas serão compartilhas com outras empresa/operadoras.

Por exemplo:

  • uma empresa/controlador elabora uma política de privacidade que não deixa claro para o titular se seus dados poderão ser compartilhados com terceiros.

Dessa forma, o controlador está ferindo o princípio da transparência, visto que ela não esclareceu ao titular se suas informações estão sendo compartilhas com outras operadoras.

8. Princípio da segurança – art. 6, inciso VII

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Os agentes de tratamento devem tomar as medidas de segurança necessárias para proteger os dados dos titulares.

E caberá a Agência Nacional de Proteção Dados (ANPD) estabelecer os padrões mínimos de segurança – art. 46, § 1ª, LGPD.

9. Princípio da prevenção – art. 6, inciso VIII

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

As empresas devem agir de forma preventiva, ou seja, devem utilizar as medidas necessárias para evitar que os titulares venham sofrer algum tipo de dano relacionado ao tratamento de dados.

Por exemplo:

  • uma empresa, ao iniciar o processo de adequação à LGPD, deve realizar treinamentos com seus funcionários para aumentar a consciência deles no tocante aos temas de privacidade e de proteção de dados.

10. Princípio da não discriminação, art. 6, inciso IX

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

A LGPD trata de forma diferenciada os dados que podem causar alguma discriminação ao titular, são também conhecidos como dados sensíveis (art. 5 inciso II, da LGPD)

No Brasil, antes mesmo da LPGD entrar em vigor, uma grande empresa que comercializa passagens áreas e acomodações foi condenada por descriminação e prática abusiva.

O Departamento de Proteção e Defesa do Consumidor (DPDC) decidiu que a referida empresa fazia diferenciação de preço das acomodações de acordo com a localização geográfica e da etnia do consumidor.

11. Princípio da responsabilização e prestação de contas – art. 6, inciso X

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os agentes de tratamento (controlador e operador) precisam comprovar que estão de fato cumprindo as regras da LGPD.

Por exemplo:

Claro que ter uma política de privacidade é importante, mas somente ela não é suficiente para comprovar que uma empresa está em conformidade com a Lei.

Existem diversas formas de uma empresa demonstrar que está utilizando das melhores práticas com intuito de proteger os dados do titular.

Nesse sentido, para demonstrar que sua empresa adota as medidas necessárias para proteger os dados pessoais e adequar-se a LGPD, recomendamos que você busque auxílio de consultorias especializadas em implementação da LGPD.

FONTE: https://www.giarllarielli.adv.br/principios-da-lgpd-tratamento-de-dados-pessoais/


Autor

  • Gustavo Giarllarielli

    DPO da 12ª Subseção da OAB/SP.

    Sócio-fundador do escritório Giarllarielli Advogados.

    DPO certificado EXIN

    Atualmente, responsável pela implementação de projetos de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD).

    Com mais de 10 anos de experiência em assessoria jurídica empresarial - contenciosa e preventiva.

    Escreve artigos jurídicos sobre a LGPD e Direito do Trabalho: https://www.giarllarielli.adv.br/noticias-e-artigos/

    Membro a Comissão de Privacidade e Proteção de Dados da OAB/SP.

    Membro da Comissão de Direito Digital, Internet e Tecnologia da 12ª Subseção OAB.

    Textos publicados pelo autor

    Fale com o autor

    Site(s):

Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

GIARLLARIELLI, Gustavo. Princípios da LGPD – tratamento de dados pessoais. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 26, n. 6690, 25 out. 2021. Disponível em: https://jus.com.br/artigos/92719. Acesso em: 28 mar. 2024.