A importância dos princípios no tratamento de dados pessoais
A LGPD (Lei Geral de Proteção de Dados Pessoais) regulamenta, no Brasil, como empreendedores e o Poder Público devem tratar (usar) dados pessoais no desempenho de atividades.
A LGPD dispõe sobre o tratamento de dados pessoais em meios físicos e digitais, por pessoa física ou jurídica de direito público ou privado, com o intuito de proteger os direitos fundamentais previstos na Constituição Federal, de liberdade e de privacidade da pessoa natural (pessoa física), conforme previsto no art. 1º.
Ao longo dos seus 65 artigos, a Lei Geral de Proteção de Dados Pessoais informa o que são dados pessoais e o que “espera” do empreendedor e do Poder Público quanto ao uso de dados de pessoas naturais, dividindo os assuntos em Capítulos específicos.
No Capítulo I, que trata das disposições preliminares e interessa ao presente ensaio, estão elencados, no art. 6º, os princípios que devem ser observados quando agentes de tratamento, como por exemplo empresários, utilizarem dados pessoais para desempenhar seu objetivo social.
Princípios são os alicerces, os postulados básicos, os pontos considerados iniciais para um determinado assunto. O termo “princípio” vem do latim principium, que significa “origem" ou "início”.
Segundo Celso Antônio Bandeira de Mello, “violar um princípio é muito mais grave que transgredir uma norma qualquer. A desatenção ao princípio implica ofensa não apenas a um específico mandamento obrigatório, mas a todo o sistema de comandos. É a mais grave forma de ilegalidade.”
Portanto, sempre que houver dúvida, dentro de uma organização, sobre estar ou não correto algum procedimento vinculado ao tratamento de dados pessoais, ou quando estiver acontecendo, dentro da empresa, o processo de adequação à LGPD, deverão ser harmonizados os processos internos de coleta, arquivamento, descarte, etc, dos dados pessoais, com os princípios previstos na lei.
Assim dispõe o art. 6º da LGPD:
“As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. (Para que uma empresa possa usar dados pessoais no desenvolvimento dos negócios, precisa ter um fim específico);
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. (Deve existir uma vinculação entre o tratamento realizado e a finalidade informada);
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. (O uso dos dados pessoais deve se restringir ao mínimo necessário para atingir a finalidade informada);
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. (O protagonista da lei de dados é o titular de dados pessoais, que passou a ter vários direitos previstos no art. 18 da LGPD);
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. (Os dados tratados devem ser exatos, verdadeiros, claros);
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. (Fornecer informações claras e inequívocas quanto ao tratamento de dados pessoais é dever dos agentes de tratamento, tanto empresas quanto Poder Público);
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. (Manter o ambiente seguro para proteção dos dados pessoais);
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. (Empresários devem comprovar que adotaram medidas para prevenir a ocorrência de danos);
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. (É vedada qualquer tipo de prática discriminatória relacionada a, por exemplo, raça, religião, etc);
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (Todas as medidas adotadas pelo agente de tratamento na implementação da LGPD devem ser documentadas).
Após cada princípio, conforme destacado nos parágrafos anteriores, está a explicação do significado, sendo todos eles fundamentais em processos de implementação da LGPD para auxiliar/confirmar que, efetivamente, é lícito o tratamento de dados pessoais realizado dentro de uma organização.
Importante destacar que a boa-fé é princípio geral a ser observado pelos empresários, além de todos os demais relacionados no art. 6º da LGPD.
Segundo Caroline de Melo Lima Gularte, o princípio da boa-fé “remonta ao comportamento que a sociedade espera do agente (empresa ou Poder Público), sendo contrário à má-fé, ao dolo, à fraude e à má-intenção. A boa-fé é o primeiro princípio exposto pela LGPD.”
Portanto, empresários, enquanto agentes de tratamento (controladores ou operadores), deverão agir com boas intenções quando utilizarem dados pessoais.
Ademais, deverão provar a boa-fé em caso de fiscalização pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ou de demanda judicial (movida pelo titular dos dados, por sindicatos, Procons, Ministério Público, etc).
A LGPD, portanto, obriga a quem usa dados pessoais (toda e qualquer empresa, independentemente do porte e do segmento) agir com boa-fé em questões relacionadas ao tratamento de dados pessoais, o que, na prática, segundo Caroline Gularte, irá gerar a obrigação de “documentar todas as medidas e cautelas adotadas no processamento de dados pessoais, de forma a produzir a prova do agir de boa-fé, se for necessário.” Ou seja, não basta agir de boa-fé, é preciso que empreendedores comprovem a conduta lícita.
Para melhor explicar, imaginemos uma empresa que trata (usa) dados pessoais de funcionários para cumprir um contrato de trabalho e obrigações legais. O cumprimento de um contrato (no caso, de trabalho) e a obediência a obrigações legais ou regulatórias são bases legais previstas no art. 7º da LGPD. Ou seja, o empresário estará agindo licitamente se fundamentar o uso dos dados pessoais de colaboradores nestas duas hipóteses previstas na LGPD. Mas não é só isto.
Ele precisará, igualmente, verificar se o tratamento de dados fere ou não algum princípio previsto na Lei Geral de Proteção de Dados. A título de exemplo, deverá questionar se todos os dados coletados para cumprir o contrato de trabalho são necessários para o desempenho de sua atividade (observando o princípio da necessidade). Deverá, igualmente, analisar se existe prática discriminatória no tratamento de dados pessoais (atendendo ao princípio da não discriminação no uso dos dados de colaboradores). Ou seja, terá que cumprir a LGPD observando também os princípios nela relacionados para que o tratamento de dados pessoais seja considerado lícito.
Em resumo e para concluir, empresas devem respeitar os princípios jurídicos previstos na LGPD, principalmente o princípio geral da boa-fé, devendo usá-los para confirmar se estão ou não agindo corretamente quanto ao tratamento de dados pessoais.
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV
Izabela Lehn Advocacia
