10 princípios que norteiam o tratamento dos dados pessoais segundo a LGPD
Com a vigência da Lei Geral de Proteção de Dados (LGPD), cresce a preocupação das empresas para estar em conformidade com a lei.
A propósito, a LGPD cobra das empresas mais transparência em relação ao uso de dados pessoais e exige que haja um cuidado maior também em relação à segurança das informações.
Em outras palavras, nós podemos dizer que a LGPD exige que as empresas atuem em diferentes frentes de trabalho, criando uma cultura de proteção e de privacidade de dados.
Por se tratar de uma lei nova, ainda há muitas dúvidas sobre o assunto. Mas, para facilitar a compreensão da lei brasileira de proteção de dados, vamos apresentar os 10 princípios da LGPD que norteiam o tratamento dos dados pessoais.
Vamos explicar também os conceitos de dado pessoal e de dado pessoal sensível, que são a matéria-prima da lei. Agora, se a sua empresa precisa de ajuda para se adequar à lei, confira como funciona o trabalho de uma consultoria pra LGPD.
Confira neste artigo!
Precisa se adequar à LGPD?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.
O que é dado pessoal e dado pessoal sensível?
Os dados pessoais são a base da LGPD e também de outras leis e normas de privacidade e proteção, como a GDPR (General Data Protection Regulation), na Europa, e a CCPA (California Consumer Privacy Act), na Califórnia, nos EUA.
De acordo com a LGPD, no Art. 5º, dado pessoal é qualquer “informação relacionada a pessoa natural identificada ou identificável”.
Na verdade, a lógica para entender a definição de dado pessoal é simples. Se uma informação permite que você identifique uma pessoa, essa informação pode ser considerada um dado pessoal. Os exemplos mais comuns de dados pessoais são nome, RG, CPF, data de nascimento, endereço e telefone.
A lei cita ainda o termo dado pessoal sensível, que se refere a uma categoria especial ou diferenciada de dado pessoal.
Segundo a LGPD, dado pessoal sensível é qualquer “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Estas definições são importantes porque a LGPD versa muito sobre a questão do propósito, sobre a finalidade com a qual o dado foi coletado e será posteriormente tratado. Vamos falar mais sobre isso adiante, nos princípios estabelecidos pela LGPD para o tratamento de dados.
Quais são os 10 princípios da LGPD?
No Art. 6º, a LGPD determina 10 princípios que devem nortear o tratamento de dados pessoais. Estes princípios é que vão ajudar a garantir que a empresa esteja em conformidade e adequada à lei.
1. Finalidade
Como já comentamos, a LGPD obriga que as empresas tenham propósitos bem determinados ao tratar dados pessoais. Mas não apenas isto. Elas precisam também deixar claras as suas intenções para o titular dos dados, justificando e apontando o uso dos dados pessoais.
Ou seja, ao coletar um endereço de e-mail com a finalidade exclusiva de enviar um boleto bancário ou uma fatura para o cliente, por exemplo, a empresa não pode utilizar o e-mail para enviar ofertas e promoções.
Sobre o princípio da finalidade, a LGPD diz: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
2. Adequação
O princípio da adequação, segundo a LGPD, refere-se à “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”.
Em outras palavras, a empresa precisa justificar e garantir que os dados coletados tenham valor e sejam condizentes com o modelo de negócio da organização.
Vamos criar exemplos. Primeiro, você é proprietário de uma farmácia. Ao fazer compras on-line, os clientes precisam preencher um cadastro e fornecer informações sobre orientação sexual.
Segundo, o seu negócio é uma academia e você solicita, na matrícula, informações de caráter religioso e político.
De fato, nos dois exemplos apresentados, o tratamento dos dados não é compatível com o seu negócio e, consequentemente, com a lei, tornando a coleta e o tratamento injustificáveis e, inclusive, passíveis de punições e multas.
3. Necessidade
O princípio da necessidade é interessante sob o ponto de vista da LGPD porque ele leva em consideração a responsabilidade das empresas acerca dos dados tratados.
Na prática, quanto mais dados pessoais você trata, maior é a sua responsabilidade e, por consequência, maior é a cobrança e mais caras são as multas em casos de erros e falhas.
A LGPD afirma que o princípio da necessidade envolve “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
A sua empresa precisa garantir que apenas os dados pessoais essenciais para o desenvolvimento do seu negócio sejam coletados e tratados. Basicamente, a LGPD diz: prenda-se ao necessário e essencial, e elimine os excessos.
4. Livre acesso
O princípio do livre acesso é um dos pontos fundamentais da LGPD. De acordo com a lei, o livre acesso é a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.
Na prática, a empresa deve criar mecanismos para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita. Além disso, a empresa precisa deixar evidente os seus objetivos e o período de tempo que os dados serão utilizados.
5. Qualidade dos dados
O princípio da qualidade dos dados se refere à “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.
Ou seja, para respeitar as normas da LGPD, garanta que a base de dados pessoais que a sua empresa mantém seja verdadeira e esteja atualizada. Além disso, ela tem que estar alinhada com o propósito do seu negócio.
6. Transparência
A transparência é outro princípio essencial da LGPD. Em suma, este princípio determina que as empresas precisam ser honestas com os titulares dos dados. Inclusive, devem informar aos proprietários dos dados sobre os respectivos agentes de tratamento, que são, basicamente, outras empresas envolvidas no processo de tratamento dos dados.
O princípio da transparência, de acordo com a lei, é a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”.
7. Segurança
Como o próprio nome sugere, o princípio da segurança envolve a adoção de procedimentos, tecnologias e soluções que garantam maior proteção dos dados pessoais em casos de acessos não autorizados, como em ataques hackers, e de situações acidentais ou ilícitas de perda e alteração, por exemplo.
Sobre o princípio de segurança, diz a LGPD: “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
8. Prevenção
A velha máxima que diz que é melhor prevenir do que remediar também vale para a LGPD. O princípio da prevenção versa justamente sobre o ato de estar preparado para lidar com eventuais problemas envolvendo o tratamento de dados pessoais antes mesmo que eles surjam.
O princípio da prevenção determina a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.
9. Não discriminação
O tratamento de dados pessoais jamais pode ser realizado com objetivos de discriminar ou de promover abusos contra os seus titulares. Neste caso, geralmente, estamos falando dos dados pessoais sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa e opinião política, por exemplo.
O principio da não discriminação, de acordo com a LGPD, refere-se à “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”.
10. Responsabilização e Prestação de Contas
O princípio da responsabilização e prestação de contas dispõe sobre o cumprimento da lei tendo em vista provas e evidências de que medidas e procedimentos foram tomados pela empresa a fim de garantir a proteção dos dados
Sobre o princípio de segurança, diz a LGPD: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Como se adequar à LGPD de maneira simples
Se você tiver dúvidas ou está em busca de uma consultoria especializada em LGPD, conte com os serviços da Get Privacy.
Nós temos um time multidisciplinar com experiência em assessoria jurídica, TI e segurança da informação. Oferecemos uma solução completa de adequação à LGPD. Entre em contato.
Fale conosco para saber mais:
CONFIRA
OUTROS POSTS