OS PRINCÍPIOS QUE NORTEIAM O TRATAMENTO DE DADOS PESSOAIS

Com o surgimento da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) e sua entrada em vigor no próximo ano, as dúvidas e preocupações quanto à adequação às suas normas são cada vez mais frequentes em empresas e startups que tratam dados pessoais.

A preocupação não surpreende uma vez que na era digital os negócios são pautados invariavelmente sobre dados, que passam a figurar atualmente como verdadeira moeda da economia contemporânea. Sua coleta e seu tratamento passam a figurar, então, como prática habitual nos modelos de negócios atuais para a consecução de bons serviços, tanto públicos quanto privados, mas precisam ser rigorosamente pautados em regras que sustentem uma exploração de maneira transparente, justa e adequada, principalmente no tocante aos denominados dados pessoais.

Entende-se por dados pessoais todos aqueles vinculados a uma pessoa identificada ou identificável, de maneira direta ou indireta, e que, por orbitarem a esfera de sua personalidade, ou seja, o seu conjunto de características que a distingue dos demais, resultam na necessidade de proteção que vai além do resguardo à privacidade, implicando verdadeira tutela à personalidade humana. Não é por outro motivo que a proteção de dados pessoais é considerada como novo direito de personalidade.

TRATAMENTO DE DADOS PESSOAIS. O QUE SIGNIFICA TRATAR DADOS PESSOAIS?

O tratamento de dados pessoais vem definido de maneira bastante abrangente no artigo 5º da Lei Geral de Proteção de Dados Pessoais. Segundo a descrição nele prevista, consiste em toda operação realizada com dados pessoais, o que implica dizer todas as atividades compreendidas entre sua coleta e seu descarte.

Assim, estão submetidas aos ditames desta lei todas as operações realizadas com dados pessoais e que se referem à coleta, à produção, à recepção, à classificação, à utilização, ao acesso, à reprodução, à transmissão, à distribuição, ao processamento, ao arquivamento, ao armazenamento, à eliminação, à avaliação ou ao controle da informação, à modificação, à comunicação, à transferência, à difusão ou à extração.

O tratamento de dados pessoais somente será legalmente aceito se, além de aplicar os princípios previstos na lei, também atender a uma das seguintes hipóteses (art. 7º, da LGPD):

  • autorização do titular para tratamento de seus dados pessoais por meio de consentimento para finalidades determinadas, fornecido por escrito ou por outro meio que demonstre sua manifestação de vontade. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação. Além disso, haverá possibilidade de ser dispensado quanto aos dados tornados manifestamente público pelo titular;
  • para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • ·     para o tratamento e uso compartilhado de dados, pela Administração Pública, necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • ·     quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • ·     para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • ·     para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      
  • ·     quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • ·     para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

OS PRINCÍPIOS ELECANDOS NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Os princípios atinentes especificamente ao tratamento de dados pessoais previstos no artigo 6º da Lei Geral de Proteção de Dados Pessoais, ao lado do princípio boa-fé, não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte, isto porque, todos os princípios são normas jurídicas vinculantes e que norteiam a criação, interpretação e aplicação do Direito como um todo.

A comprovação de obediência a cada um deles deverá ser feita pelo controlador e é considerada um fator determinante para a aferição do nível de proteção de dados de um país e decisiva na permissão da transferência internacional de dados pessoais. Esta somente será possível quando o controlador oferecer e comprovar garantias do cumprimento dos direitos do titular, do regime legal de proteção de dados e também dos princípios abaixo elencados e descritos de forma sucinta: 

  • PRINCÍPIO DA FINALIDADE: consiste na realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Assim, os dados pessoais coletados não podem ser utilizados para finalidades distintas daquelas que fundamentaram o consentimento de seu tratamento e que foram previamente expostas de maneira precisa. Tal princípio orienta os controladores a avaliarem as finalidades do tratamento de dados pessoais desde a concepção dos projetos (privacy by design) como forma de assegurar a legalidade do uso de tais dados durante todo o seu ciclo de vida (VAIZOF, 2018). Além disso, conforme alerta Danilo Doneda (DONEDA, 2019), por meio desse princípio é possível coibir a transferência de dados a terceiros e também formular um critério apto a detectar possível abusividade quanto às utilizações pouco razoáveis com a finalidade que embasou o consentimento para seu tratamento;  
  • PRINCÍPIO DA ADEQUAÇÃO: consiste na compatibilidade do tratamento com as finalidades informadas ao titular;
  • PRINCÍPIO DA NECESSIDADE: consiste na limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos. O controlador deverá fazer um juízo de razoabilidade sobre quais dados seriam necessários para atendar à determinada finalidade e, buscando assegurar licitude ao tratamento, observar a possibilidade de exclusão de dados desnecessários. Deverá haver, portanto, proporcionalidade entre o objetivo do tratamento e a natureza e quantidade de dados coletados.
  • PRINCÍPIO DO LIVRE ACESSO: consiste na garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. A utilização deste princípio aliado ao princípio da qualidade dos dados permite, portanto, ao titular dos dados pessoais corrigir informações incorretas e/ou suprimir outras desnecessárias à finalidade proposta.
  • PRINCÍPIO DA QUALIDADE DOS DADOS: consiste na garantia, aos titulares, de exatidão, clareza, relevância e atualização periódica dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
  • PRINCÍPIO DA TRANSPARÊNCIA: consiste na garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização e respectivos agentes de tratamento, observados os segredos comercial e industrial. Está diretamente ligado ao necessário consentimento informado dado pelo titular de dados, pois este deverá dispor de seus dados pessoais de maneira consciente. É também o princípio da transparência que fundamenta, quando houver decisões automatizadas, a necessidade de informar o titular dos dados a lógica subjacente e as consequências previstas em tal tratamento.
  • PRINCÍPIO DA SEGURANÇA: consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • PRINCÍPIO DA PREVENÇÃO: consiste na adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Está atrelado ao princípio da segurança e indica a necessidade de serem adotadas posturas de forte segurança da informação, com investimento em tecnologia, de modo a evitar riscos não só aos direitos dos titulares de dados, como também à reputação da empresa realizadora do tratamento dos dados pessoais.
  • PRINCÍPIO DA NÃO DISCRIMINAÇÃO: consiste na impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos, sendo especialmente relevante no tocante ao tratamento de dados pessoais sensíveis. Ele deverá ser observado em todas as circunstâncias em que o processamento dos dados pessoais, sensíveis ou não, gerarem algum tipo de desvalor ou indução a resultados que não seriam equitativos (MULHOLLAND, 2018).
  • PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: consiste na demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

No tocante aos princípios da segurança e prevenção, é importante ainda ressaltar que em sua aplicação, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para seus titulares, poderá implementar programa de governança em privacidade que, no mínimo:

  • demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  • seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  • estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  • esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
  • conte com planos de resposta a incidentes e remediação; e
  • seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Relacionados os mencionados princípios norteadores previstos na Lei Geral de Proteção de Dados Pessoais, é válido afirmar que sua correta e respectiva observância será sempre mais eficaz se os titulares dos dados pessoais forem considerados em sua intrínseca vulnerabilidade quanto à compreensão acerca dos meandros e possibilidades decorrentes da tratamento dos dados pessoais, devendo, assim, serem esclarecidos de maneira clara e segundo seu grau de instrução.

REFERÊNCIAS BIBLIOGRÁFICAS

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função dos limites do consentimento. Rio de Janeiro: Forense, 2019.

DONEDA, Danilo. O direito fundamental à proteção de dados pessoais. Direito digital: direito privado e internet/Allan Rocha de Souza [et al.]; organizado por Guilherme Magalhães Martins, João Victor Rozatto Longui. – 2.ed. – Indaiatuba, SP: Editora Foco, 2019, p. 35-53

MACHADO,Diego; DONEDA, Danilo. Proteção de dados pessoais e criptografia: tecnologias criptográficas entreanonimização e pseudonimização de dados. Revista dos Tribunais . vol. 998. Caderno Especial. p. 99-128. São Paulo: Ed. RT, dezembro 2018 Disponível em: https://www.academia.edu/38168713/Prote%C3%A7%C3%A3o_de_dados_pessoais_e_criptografia_tecnologias_criptogr%C3%A1ficas_entre_anonimiza%C3%A7%C3%A3o_e_pseudonimiza%C3%A7%C3%A3o_de_dados Acesso em: 27/10/2019.

MULHOLLAND, Caitlin Sampaio. DADOS PESSOAIS SENSÍVEIS E A TUTELA DE DIREITOS FUNDAMENTAIS: UMA ANÁLISE À LUZ DA LEI GERAL DE PROTEÇÃO DE DADOS (LEI 13.709/18). Revista de Direitos e Garantias Fundamentais, v. 19, n. 3. p.159-180. Vitória: FDV- Faculdade de Direito de Vitória. .Disponível em: http://sisbib.emnuvens.com.br/direitosegarantias/article/view/1603/pdf. Acesso em: 28/10/2019.

UNIÃO EUROPEIA. Regulamento Geral de Proteção de Dados. Portal EUR-LEX. Disponível em: https://gdpr-info.eu/art-4-gdpr/. Acesso em: 27/10/2019.

VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: BLUM, Renato Opice; MALDONADO, Viviane Nóbrega (Coordenadores.). Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Thomson Reuters Brasil, 2018, p.37/83.

Tags: LGPD, proteção de dados, dados, dados pessoais, tratamento de dados, princípios,

Autora: Ana Carolina

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

A sua empresa já está certificada para a LGPD?

O IAPD é o instituto especializado em certificação de empresas e e de profissionais para avaliação da conformidade da sua atuação em relação à Lei Geral de Proteção de Dados. Prepare-se para as novas exigências do mercado no que se refere à privacidade e à segurança dos dados de seus clientes e parceiros.
Entre em contato

+55 (16) 99621-8887

/

/

Horário de Atendimento
Rolar para cima