A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), sancionada em agosto de 2018, regula acerca do tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme seu artigo 1º.
Todavia, ao realizar tratamento de dados pessoais, os agentes de tratamento – controladores e operadores – deverão observar os princípios da boa fé e outros em suas atividades, conforme dispõe o artigo 6º da Lei, que segue:
O primeiro princípio a ser analisado é o princípio da Finalidade. Segundo a Lei, o princípio refere-se à realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Segundo a autora Adrianne Lima, significa constar na cláusula do “Tratamento de Dados” a finalidade dos dados tratados pela pessoa física ou jurídica. Cita o seguinte exemplo: “os dados serão tratados e armazenados no ambiente X da empresa para fins de obrigação legal. Imaginemos que você tem um empregado na sua empresa e é necessário repassar informações deste para o INSS. Nessa hipótese, há uma lei que autoriza o repasse dessa informação e uma finalidade legítima”.
De acordo com a LGPD, o princípio da adequação remete a ideia de compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Refere-se à limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Adrianne Lima explica que, ao formalizar o contrato, deve-se coletar apenas os dados necessários para a elaboração desse documento, bem como ter uma política de retenção de dados e tabela de temporalidade definidas para que, assim que os dados pessoais já não sejam mais necessários, possam ser eliminados. Explana que, na política de privacidade dos sites, o ideal é que se tenha, de maneira clara e objetiva, a finalidade de cada dado coletado.
De acordo com a Lei Geral de Proteção de Dados, esse princípio garante, aos titulares, a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Garante, aos titulares, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento, segundo a Lei.
O princípio da Transparência garante, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Adrianne Lima explica que esse princípio já era exigível mesmo antes da LGPD, no art. 4º do Código de Defesa do Consumidor, bem como alerta que, para que o titular consiga exercitar seus direitos e ter controle sobre os seus dados pessoais, deve ter ciência quais deles foram coletados, como são tratados, para quais finalidades, por quanto tempo e com quem são compartilhados. Sendo assim, é necessária a transparência no tratamento de dados pessoais.
O Princípio da Segurança refere-se à utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Importante mencionar que tais medidas devem ser demonstradas no contrato e devem ser ratificadas com os demais agentes de tratamento de que esses também adotam medidas eficazes, tendo em vista os princípios de segurança e prevenção previstos na LGPD e, após, essas medidas podem constar anexas no contrato de prestação de serviços e até serem estabelecidas pelo controlador uma análise ou auditoria periódica para averiguação, conforme explica Adrianne Lima.
Refere-se à adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Adrianne Lima explica que o caso a caso é que vai determinar as medidas a adotar internamente e também com prestadores de serviço, sendo que o controlador deve analisar quem são os seus operadores para determinar quais medidas devem ser adotadas por eles, sendo que, eventualmente, pode haver responsabilidade solidária pela controladora por tratamento de um operador.
Esse princípio refere-se à impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
É necessária a compreensão de como são definidos os critérios de perfis de clientes ativos, inativos e potenciais clientes e, então, se há riscos a potencial abordagem discriminatória, explana Adrianne Lima.
É a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Ou seja, conforme argumenta a autora Adrianne Lima, é estar claro que os dados pessoais do titular estão bem protegidos e que há um conjunto de documentos capaz de evidenciar que tais obrigações estão de fato sendo satisfeitas.
Assim, a autora sintetiza que, sob o aspecto prático, todos os princípios devem eclodir em uma das cláusulas do contrato que versarem sobre tratamento de dados pessoais, a fim de não restar dúvidas sobre o cumprimento das normas de proteção de dados.
Por fim, para demonstrar o cumprimento dos princípios previstos na Lei Geral de Proteção de Dados, segundo Adrianne Lima, deve ser estabelecida a Governança em Privacidade para monitoramento da governança em privacidade pela organização, com métricas, controles, análises de riscos e mitigadores, realização de auditorias internas e/ou externas, procedimentos e registros para violação ou suspeita de violação de dados, visando também o melhoramento contínuo.
REFERÊNCIAS BIBLIOGRÁFICAS:
1 – LIMA, Adrianne. LGPD para contratos, capítulo 5, Como demonstrar o cumprimento de princípio da LGPD, Editora Expressa, pgs. 45-48.