Quais são os dez princípios da LGPD
A Lei Geral de Proteção de Dados (LGPD) prevê que todas as atividades de tratamento de dados pessoais no Brasil devem observar alguns princípios. Ao todo são dez princípios, que ajudam a entender os objetivos da lei e devem ser respeitados por todos que tratam dados pessoais.
Na prática, isso quer dizer que a conformidade com a LGPD vai além de seguir apenas regras específicas, como a obrigatoriedade de se enquadrar em uma base legal. É preciso incorporar os princípios da lei à própria cultura empresarial, internalizando o compromisso com a proteção de dados.
Neste artigo, nós vamos explicar o que são os princípios da LGPD e detalhar mais cada um deles.
O que são os princípios da LGPD
Os dez princípios da LGPD são os alicerces, as diretrizes, que devem embasar todas as operações de tratamentos de dados pessoais no Brasil. Eles são elencados no Art. 6º e ajudam a entender os objetivos da lei e a forma como a legislação foi construída.
Analisando os princípios da LGPD, fica claro que a lei tem como meta trazer mais transparência para os processos envolvendo dados pessoais, dando prioridade ao poder do titular sobre as suas informações. Da mesma maneira, os princípios da LGPD depositam uma responsabilidade nas empresas, elencando a necessidade de se comprometer com a segurança dos dados e a não discriminação, dentre outros pontos.
Desrespeitar os princípios da LGPD é desrespeitar a lei. Se uma operação de tratamento de dados não segue alguma dessas diretrizes gerais, ela pode ser considerada ilegal. Portanto, é fundamental que as empresas e pessoas que tratam dados pessoais entendam e incorporem esses princípios à sua rotina.
Conheça os princípios da LGPD
1. Finalidade
“Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
O princípio da finalidade deixa claro que todo tratamento de dados deve ter um objetivo específico e legítimo. Ou seja, não é permitido coletar um nome ou e-mail simplesmente para compor um banco de dados. É preciso que essa coleta tenha uma finalidade clara, que deve ser informada ao titular. Além disso, também não é possível alterar posteriormente a finalidade do tratamento.
Por exemplo, digamos que a empresa coletou nome e e-mail com a finalidade específica de notificar o titular a respeito do status de uma compra. Ela não pode, posteriormente, usar esses mesmos dados pessoais para enviar e-mails promocionais, a não ser que tenha informado ao titular que essa também era uma finalidade da coleta.
2. Adequação
“Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o
contexto do tratamento”.
O princípio da adequação é bastante ligado ao da finalidade. Na prática, ele impõe que o tratamento em si (como o tipo de dado coletado e a quantidade de informações) seja compatível com as finalidades informadas ao titular.
No ponto anterior, demos como exemplo uma empresa que coleta dados com a finalidade de notificar o titular a respeito do status de uma compra. Neste caso, faria sentido coletar informações como nome, e-mail e telefone, que seriam armazenadas por um prazo específico.
Por outro lado, solicitar informações como nível educacional, orientação sexual ou status de relacionamento poderiam indicar um tratamento incompatível com a finalidade informada, desrespeitando o princípio da adequação.
3. Necessidade
“Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
O princípio da necessidade é um dos mais relevantes no contexto prático do tratamento de dados pessoais. Ele pode ser resumido em uma frase simples: não trate mais dados do que o necessário.
Esse princípio também tem uma relação clara com o da finalidade. Afinal, com a finalidade bem definida é mais fácil identificar quais informações são de fato necessárias para alcançar o objetivo informado ao titular.
Se uma empresa coleta mais dados do que precisa, ela descumpre o princípio da necessidade.
Além disso, quanto mais dados armazenados, de maneira geral maior é o grau de risco. Lembre-se sempre que o controlador é responsável por proteger e evitar o mau uso de cada dado coletado, respondendo legalmente por danos causados ao titular.
4. Livre acesso
“Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.”
O princípio do livre acesso garante que os titulares sempre possam consultar, gratuitamente, informações sobre quais dados seus a empresa possui, como é feito o tratamento e qual é a sua duração.
Cabe ao controlador criar uma forma de acesso facilitada para que o titular possa fazer essa consulta.
5. Qualidade dos dados
“Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.
Esse princípio coloca como uma prioridade do controlador manter dados corretos, exatos e atualizados. Isso preserva o titular de eventuais erros na prestação de serviços. Um nome ou número de documento inexato, por exemplo, pode dificultar serviços como a concessão de um crédito, a prestação de um atendimento de saúde ou a locação de um imóvel. Sem falar na possibilidade de que dados incorretos sejam transferidos também para terceiros. É interessante notar como esse princípio destaca novamente a importância de manter os dados considerando sempre a necessidade e a finalidade do tratamento.
6. Transparênciaça
“Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.”
A importância da transparência permeia diversos pontos da lei e é um dos seus princípios mais relevantes. Ele parte do pressuposto de que o dono da informação, afinal, é o titular. Portanto, ele deve saber quem tem acesso às suas informações e como elas são usadas.
Por isso, além do livre acesso aos dados (princípio IV da lei), é preciso garantir ao titular informações transparentes a respeito da realização do tratamento e dos agentes de tratamento (controlador e operadores). Ou seja, o titular deve ser informado sobre quem é o responsável pelo tratamento e com quem os dados são compartilhados.
Isso pode ser feito por meio de termos de privacidade simples e acessíveis, destacando de maneira clara todas as informações relevantes sobre o tratamento. Esse conhecimento permite ao titular não apenas entender a finalidade do tratamento, como, se quiser, retirar o consentimento para o uso dos seus dados.
7. Segurançado
“Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
A proteção de dados está intrinsecamente ligada à segurança da informação. Não à toa, a LGPD reconhece essa relação e coloca a segurança como um princípio básico para o tratamento de dados. Portanto, para estar em conformidade com a lei não basta se ater aos aspectos jurídicos da proteção de dados, como o enquadramento em uma base legal. É preciso adotar medidas para proteger os dados de incidentes de segurança, como acessos não autorizados, destruição, perda de dados etc.
8. Prevenção
“Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.
Outro conceito importante trazido pela LGPD é o princípio da prevenção. Basicamente, ele impõe que as empresas atuem de forma proativa para prevenir incidentes e proteger a privacidade dos titulares. Portanto, mais do que simplesmente responder de forma efetiva a um problema de privacidade, é preciso mostrar que a empresa adotou medidas para evitar que ele ocorresse.
9. Não discriminação
“Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.”
Esse princípio importantíssimo da LGPD visa garantir que nenhum agente de tratamento use dados pessoais para fins discriminatórios ilícitos ou abusivos. É importante que os agentes de tratamento incorporem esse princípio especialmente em relação ao tratamento de dados pessoais sensíveis, como orientação sexual, religião e filiação política.
10. Responsabilização e prestação de contas
“Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Por fim, o último princípio da LGPD deixa claro que os agentes de tratamento são responsáveis por garantir a proteção dos dados sob sua tutela. Além disso, eles devem ser capazes de prestar contas sobre as medidas adotadas para garantir o cumprimento da lei.
Na prática, isso quer dizer que a empresa deve sempre documentar suas medidas de privacidade e proteção de dados. Por exemplo, treinamentos de funcionários, bases legais adotadas para cada atividade de tratamento, protocolos para o atendimento aos direitos dos titulares, indicação de DPO, ferramentas de segurança da informação utilizadas etc.
Assim, a empresa não apenas “diz” que está em conformidade com a lei; ela é capaz de comprovar essa conformidade caso seja necessário.
Fonte: Privally